4 min
Nel mondo delle criptovalute, la sicurezza dei wallet è una questione che coinvolge tanto i singoli investitori quanto le istituzioni governative. Un episodio clamoroso arrivato dalla Corea del Sud dimostra che anche le autorità fiscali più attrezzate possono commettere errori elementari di sicurezza digitale, con conseguenze potenzialmente devastanti per i fondi confiscati. La vicenda ha fatto rapidamente il giro della comunità crypto internazionale, diventando un caso di studio su cosa non fare mai quando si gestisce un hardware wallet.
Il National Tax Service (NTS) sudcoreano aveva condotto a fine mese delle operazioni di sequestro ai danni di 124 cittadini accusati di evasione fiscale, riuscendo a mettere le mani su asset digitali per un valore complessivo di 5,6 milioni di dollari. Un risultato operativo di tutto rispetto, che avrebbe dovuto rappresentare una vittoria netta per le autorità fiscali in un Paese che negli ultimi anni ha intensificato i controlli sul settore crypto.
L'operazione si è però trasformata in un disastro di proporzioni imbarazzanti. Nell'entusiasmo di comunicare il successo all'opinione pubblica, gli agenti dell'NTS hanno pubblicato fotografie del wallet hardware sequestrato — contenente 4,8 milioni di dollari in criptovalute — con accanto un foglio scritto a mano riportante chiaramente la mnemonic recovery phrase, ovvero la sequenza di parole che consente l'accesso completo e irrevocabile a qualsiasi fondo contenuto nel dispositivo.
Per chi non ha familiarità con il funzionamento dei wallet non-custodial, la frase mnemonica (o seed phrase) è l'equivalente digitale delle chiavi di un caveau: chiunque ne entri in possesso può trasferire tutti i fondi in essa custoditi, senza possibilità di blocco o recupero. Come ha sottolineato un esperto del settore, "scattare una foto a una frase mnemonica e pubblicarla online equivale a dire 'prendetevi tutto'" — e qualcuno, inevitabilmente, lo ha fatto.
Un soggetto opportunista ha sfruttato la falla pubblicata dalle stesse autorità per sottrarre la quasi totalità dei fondi. Esiste tuttavia un fattore tecnico che ha limitato il danno: i fondi erano denominati in Pre-Retogeum (PRTG), un token dalla liquidità estremamente ridotta, con una capitalizzazione di mercato totale di circa 12 milioni di dollari e quotazione su un unico exchange. Il valore sottratto corrispondeva al 40% dell'intera supply circolante del token, il che significa che qualsiasi tentativo di vendita massiccia avrebbe provocato un crollo verticale del prezzo ben prima del completamento delle transazioni — un classico problema di slippage estremo che affligge i token a bassa capitalizzazione.
In termini pratici, muovere una quantità così sproporzionata di PRTG senza impattare il mercato è quasi impossibile: si tratta di un asset illiquido per definizione, e chi ha sottratto i fondi potrebbe trovarsi con un wallet pieno di token difficilmente convertibili in stablecoin o in Bitcoin (BTC). Questo non toglie, ovviamente, la gravità dell'accaduto né riduce la responsabilità istituzionale dell'NTS.
L'agenzia fiscale sudcoreana ha pubblicato un'ammissione pubblica di colpa nel weekend successivo all'incidente: "Questo episodio è avvenuto per via della pubblicazione incauta di foto originali ai media, senza riconoscere che contenessero informazioni sensibili su asset virtuali. Non ci sono scuse." Le autorità hanno annunciato una revisione completa dei protocolli interni, con un audit del sistema di sicurezza e la riscrittura dei manuali operativi per l'intero processo di sequestro, custodia e vendita di criptovalute.
A fare i conti della serviette, dei 5,6 milioni di dollari inizialmente sequestrati, circa 800.000 dollari risultano ancora sotto il controllo delle autorità sudcoreane. Una cifra significativamente inferiore agli obiettivi iniziali, che mette in luce quanto sia critica la formazione specifica in materia di self-custody anche per le istituzioni governative che operano nel settore degli asset digitali.
La vicenda arriva in un momento in cui la Corea del Sud sta rafforzando la propria infrastruttura normativa per il settore crypto, un percorso parallelo a quello europeo con il framework MiCA. L'ironia è che proprio mentre si costruiscono regole più stringenti per gli operatori privati, un'agenzia governativa ha commesso uno degli errori di sicurezza più elementari documentati nell'ecosistema blockchain. Per gli investitori e gli sviluppatori, questo caso rappresenta un promemoria concreto: la custodia responsabile degli asset digitali — che si tratti di fondi personali o di sequestri istituzionali — richiede competenze specifiche che nessuna normativa può sostituire.