TRM Trazas $28M Robadas en la brecha de LastPass a intercambios rusos mediante análisis de demixing

Fuente: CoinEdition Título original: TRM Rastreó $28M Criptomonedas Robadas en la Brecha de LastPass a Intercambios Rusos mediante Análisis de Demixing Enlace original:

Resumen

• TRM Labs rastrea $28 millones en criptomonedas robadas en la brecha de LastPass de 2022 hasta mixers.
• El análisis en cadena apunta a infraestructura de ciberdelincuentes rusos y exchanges.
• Las técnicas de demixing revelan que Bitcoin robado fluyó a través de Cryptex y Audi6.

Antecedentes

Los analistas de inteligencia blockchain han rastreado criptomonedas robadas vinculadas a la brecha del gestor de contraseñas LastPass de 2022. El análisis identifica patrones en la cadena que sugieren la participación de ciberdelincuentes rusos en operaciones de lavado que abarcan 2024 y 2025.

Los hackers vulneraron LastPass en 2022, exponiendo copias de seguridad cifradas de aproximadamente 30 millones de cofres de clientes que contenían credenciales digitales, claves privadas de criptomonedas y frases semilla. Aunque los cofres requerían contraseñas maestras para descifrarlos, los atacantes los descargaron en masa. Esto creó una ventana de varios años para crackear contraseñas débiles offline y vaciar activos con el tiempo.

El análisis en cadena revela una campaña de lavado coordinada

Los analistas de TRM identificaron drenajes de carteras que continuaron durante 2024 y 2025, extendiendo el impacto de la brecha mucho más allá de la divulgación inicial. Al analizar agrupaciones recientes de robos, los investigadores rastrearon fondos robados a través de servicios de mixing hacia dos intercambios rusos de alto riesgo utilizados por ciberdelincuentes como puntos de salida fiat.

El análisis revela firmas en cadena consistentes en todos los robos. Las claves de Bitcoin robado se importaron en software de cartera idéntico, produciendo características compartidas en las transacciones, incluyendo uso de SegWit y funciones de Replace-by-Fee. Los activos que no eran Bitcoin se convirtieron rápidamente a Bitcoin mediante servicios de intercambio instantáneo, y luego se transfirieron a direcciones de un solo uso y se depositaron en Wasabi Wallet.

Flujo de fondos por hackers de LastPass

TRM estima que más de $28 millones en criptomonedas fueron robados, convertidos a Bitcoin y lavados a través de Wasabi a finales de 2024 y principios de 2025. En lugar de analizar los robos individualmente, los investigadores de TRM examinaron la actividad como una campaña coordinada. Usando técnicas propietarias de demixing, los analistas emparejaron depósitos de hackers con agrupaciones de retiros cuyo valor y cronología coincidían estrechamente con las entradas.

La infraestructura de intercambios rusos sirve como punto de salida fiat

El análisis de la actividad de lavado vinculada a LastPass revela dos fases distintas que convergen en intercambios rusos. Una fase anterior enrutó fondos robados a través de servicios de mixing y salió mediante Cryptex, un intercambio con sede en Rusia sancionado por la OFAC en 2024.

Una ola posterior identificada en septiembre de 2025 mostró que los analistas de TRM rastrearon aproximadamente $7 millones en fondos robados a través de Wasabi Wallet. Los retiros fluyeron a Audi6, otro intercambio ruso asociado con actividad de ciberdelincuentes. Uno de estos intercambios recibió fondos vinculados a LastPass tan recientemente como en octubre de 2025.

Las huellas digitales en blockchain observadas antes del mixing, combinadas con inteligencia asociada a las carteras después del proceso de mixing, apuntaron consistentemente a control operativo basado en Rusia. Los primeros retiros en Wasabi ocurrieron días después de los drenajes iniciales de las carteras. Esto sugiere que los propios atacantes ejecutaron la actividad de CoinJoin.