TRM تتبع $28M السرقة في اختراق LastPass إلى البورصات الروسية عبر تحليل التفكيك

المصدر: CoinEdition العنوان الأصلي: TRM تتبع $28M سرقة في خرق LastPass إلى بورصات روسية عبر تحليل Demixing الرابط الأصلي:

نظرة عامة

• TRM Labs تتبع $28 مليون دولار من العملات المشفرة المسروقة من خرق LastPass في 2022 إلى الممزجين.
• التحليل على السلسلة يشير إلى بنية تحتية للجرائم الإلكترونية الروسية وبورصات.
• تقنيات Demixing تكشف عن تدفق البيتكوين المسروق عبر Cryptex و Audi6.

الخلفية

قام محللو ذكاء البلوكشين بتتبع العملات المشفرة المسروقة المرتبطة بخرق مدير كلمات المرور LastPass في 2022. يحدد التحليل أنماطًا على السلسلة تشير إلى تورط الجريمة الإلكترونية الروسية في عمليات غسيل الأموال التي تمتد إلى 2024 و2025.

اختراق الهاكرز لـ LastPass في 2022، كشف عن نسخ احتياطية مشفرة لحوالي 30 مليون خزنة عملاء تحتوي على بيانات اعتماد رقمية، ومفاتيح خاصة للعملات المشفرة، وعبارات بذرة. على الرغم من أن الخزائن كانت تتطلب كلمات مرور رئيسية لفك التشفير، إلا أن المهاجمين قاموا بتنزيلها بكميات كبيرة. هذا خلق نافذة متعددة السنوات لكسر كلمات المرور الضعيفة دون اتصال وسحب الأصول مع مرور الوقت.

التحليل على السلسلة يكشف عن حملة غسيل منسقة

حدد محللو TRM أن عمليات سحب المحافظ استمرت طوال عام 2024 و2025، ممتدة تأثير الخرق بعيدًا عن الكشف الأولي. من خلال تحليل مجموعات السرقة الأخيرة، تتبع الباحثون الأموال المسروقة عبر خدمات المزج إلى بورصتين روسيتين تستخدمهما الجريمة الإلكترونية كمخارج للعملة الورقية.

يكشف التحليل عن توقيعات ثابتة على السلسلة عبر عمليات السرقة. تم استيراد مفاتيح البيتكوين المسروقة إلى برامج محافظ متطابقة، مما أدى إلى خصائص معاملات مشتركة تشمل استخدام SegWit وميزات Replace-by-Fee. تم تحويل الأصول غير البيتكوين بسرعة إلى بيتكوين عبر خدمات المبادلة الفورية، ثم نُقلت إلى عناوين للاستخدام الواحد وُضعت في محفظة Wasabi.

تدفق الأموال من قبل قراصنة LastPass

تقدر TRM أن أكثر من $28 مليون دولار من العملات المشفرة سُرقت، وتحولت إلى بيتكوين، وغُسلت عبر Wasabi في أواخر 2024 وأوائل 2025. بدلاً من تحليل عمليات السرقة الفردية بشكل منفصل، فحص باحثو TRM النشاط كحملة منسقة. باستخدام تقنيات Demixing الخاصة، قام المحللون بمطابقة إيداعات الهاكرز مع مجموعات السحب التي توافقت قيمتها الإجمالية وتوقيتها بشكل وثيق مع التدفقات الداخلة.

بنية تحتية لبورصة روسية تعمل كمخرج للعملة الورقية

يكشف تحليل نشاط غسيل الأموال المرتبط بـ LastPass عن مرحلتين متميزتين تتجهان نحو البورصات الروسية. المرحلة الأولى وجهت الأموال المسروقة عبر خدمات المزج وخُرجت عبر Cryptex، وهي بورصة روسية خضعت لعقوبات OFAC في 2024.

المرحلة التالية التي تم تحديدها في سبتمبر 2025، أظهرت تتبع TRM لحوالي $7 مليون دولار من الأموال المسروقة عبر محفظة Wasabi. تدفقت عمليات السحب إلى Audi6، وهي بورصة روسية أخرى مرتبطة بالنشاط الإجرامي الإلكتروني. واحدة من هذه البورصات تلقت أموال مرتبطة بـ LastPass في أكتوبر 2025.

الأطراف الرقمية قبل المزج، جنبًا إلى جنب مع المعلومات الاستخباراتية المرتبطة بالمحافظ بعد عملية المزج، أشارت باستمرار إلى السيطرة التشغيلية الروسية. حدثت عمليات سحب Wasabi المبكرة خلال أيام من عمليات سحب المحافظ الأولية. هذا يشير إلى أن المهاجمين أنفسهم نفذوا نشاط CoinJoin.