TRM Trace $28M Volé lors de la violation de LastPass vers des échanges russes via une analyse de démixage

Source : CoinEdition Titre original : TRM Trace $28M Crypto volé lors de la violation LastPass vers des échanges russes via une analyse de démixage Lien original :

Aperçu

• TRM Labs trace $28 millions de crypto-monnaie volés lors de la violation LastPass 2022 jusqu’aux mixers.
• L’analyse on-chain pointe vers une infrastructure de cybercriminalité russe et des échanges.
• Les techniques de démixage révèlent que le Bitcoin volé a circulé via Cryptex et Audi6.

Contexte

Les analystes en intelligence blockchain ont tracé la crypto-monnaie volée liée à la violation du gestionnaire de mots de passe LastPass en 2022. L’analyse identifie des schémas on-chain suggérant une implication de cybercriminels russes dans des opérations de blanchiment s’étendant de 2024 à 2025.

Les hackers ont pénétré LastPass en 2022, exposant des sauvegardes cryptées d’environ 30 millions de coffres-forts clients contenant des identifiants numériques, des clés privées crypto et des phrases de récupération. Bien que les coffres nécessitent des mots de passe maîtres pour être décryptés, les attaquants les ont téléchargés en masse. Cela a créé une fenêtre de plusieurs années pour cracker les mots de passe faibles hors ligne et drainer les actifs au fil du temps.

L’analyse blockchain révèle une campagne de blanchiment coordonnée

Les analystes de TRM ont identifié des drainages de portefeuilles se poursuivant tout au long de 2024 et 2025, étendant l’impact de la violation bien au-delà de la divulgation initiale. En analysant les clusters de vols récents, les chercheurs ont tracé les fonds volés via des services de mixing vers deux échanges russes à haut risque utilisés par des cybercriminels comme points de sortie fiat.

L’analyse révèle des signatures on-chain cohérentes à travers les vols. Les clés Bitcoin volées ont été importées dans des logiciels de portefeuille identiques, produisant des caractéristiques de transaction communes, notamment l’utilisation de SegWit et la fonction Replace-by-Fee. Les actifs non-Bitcoin ont été rapidement convertis en Bitcoin via des services d’échange instantané, puis transférés vers des adresses à usage unique et déposés dans Wasabi Wallet.

Flux de fonds par les hackers de LastPass

TRM estime que plus de $28 millions de crypto-monnaie ont été volés, convertis en Bitcoin, puis blanchis via Wasabi à la fin 2024 et début 2025. Plutôt que d’analyser chaque vol séparément, les chercheurs de TRM ont examiné l’activité comme une campagne coordonnée. En utilisant des techniques de démixage propriétaires, les analystes ont fait correspondre les dépôts des hackers aux clusters de retraits dont la valeur et le calendrier correspondaient étroitement aux flux entrants.

L’infrastructure des échanges russes sert de point de sortie fiat

L’analyse de l’activité de blanchiment liée à LastPass révèle deux phases distinctes convergeant vers des échanges russes. Une phase antérieure acheminait les fonds volés via des services de mixing et sortait via Cryptex, une plateforme russe sanctionnée par l’OFAC en 2024.

Une vague ultérieure, identifiée en septembre 2025, a permis aux analystes de TRM de tracer environ $7 millions de fonds volés via Wasabi Wallet. Les retraits ont été dirigés vers Audi6, un autre échange russe associé à une activité de cybercriminalité. L’un de ces échanges a reçu des fonds liés à LastPass aussi récemment qu’en octobre 2025.

Les empreintes blockchain observées avant le mixing, combinées aux renseignements liés aux portefeuilles après le processus de démixage, indiquent systématiquement un contrôle opérationnel basé en Russie. Les premiers retraits via Wasabi ont eu lieu quelques jours après les premiers drainages de portefeuilles. Cela suggère que les attaquants eux-mêmes ont exécuté l’activité CoinJoin.