TRM Melacak $28M Pencurian dalam Pelanggaran LastPass ke Bursa Rusia melalui Analisis Demixing

Sumber: CoinEdition Judul Asli: TRM Melacak $28M Crypto Curian dalam Pelanggaran LastPass ke Bursa Rusia melalui Analisis Demixing Tautan Asli:

Gambaran Umum

• TRM Labs melacak $28 juta crypto curian dari pelanggaran LastPass 2022 ke mixer.
• Analisis on-chain menunjukkan infrastruktur cybercriminal Rusia dan bursa.
• Teknik demixing mengungkap Bitcoin yang dicuri mengalir melalui Cryptex dan Audi6.

Latar Belakang

Analis intelijen blockchain telah melacak cryptocurrency yang dicuri terkait pelanggaran pengelola kata sandi LastPass 2022. Analisis ini mengidentifikasi pola on-chain yang menunjukkan keterlibatan cybercriminal Rusia dalam operasi pencucian uang yang berlangsung dari 2024 hingga 2025.

Peretas membobol LastPass pada 2022, mengungkap cadangan terenkripsi sekitar 30 juta vault pelanggan yang berisi kredensial digital, kunci pribadi crypto, dan frasa seed. Meskipun vault memerlukan kata sandi utama untuk didekripsi, penyerang mengunduhnya secara massal. Ini menciptakan jendela multi-tahun untuk memecahkan kata sandi yang lemah secara offline dan menguras aset dari waktu ke waktu.

Analisis Blockchain Mengungkap Kampanye Pencucian Uang Terkoordinasi

Analis TRM mengidentifikasi pengurasan dompet yang berlanjut sepanjang 2024 dan 2025, memperluas dampak pelanggaran jauh di luar pengungkapan awal. Dengan menganalisis kluster pencurian terbaru, para peneliti melacak dana curian melalui layanan mixing ke dua bursa Rusia berisiko tinggi yang digunakan oleh cybercriminal sebagai jalur keluar fiat.

Analisis ini mengungkap tanda tangan on-chain yang konsisten di seluruh pencurian. Kunci Bitcoin yang dicuri diimpor ke dalam perangkat lunak dompet yang identik, menghasilkan karakteristik transaksi bersama termasuk penggunaan SegWit dan fitur Replace-by-Fee. Aset non-Bitcoin dengan cepat dikonversi ke Bitcoin melalui layanan swap instan, lalu dipindahkan ke alamat sekali pakai dan disetorkan ke Wasabi Wallet.

Alur dana oleh peretas LastPass

TRM memperkirakan lebih dari $28 juta cryptocurrency dicuri, dikonversi ke Bitcoin, dan dicuci melalui Wasabi pada akhir 2024 dan awal 2025. Alih-alih menganalisis pencurian secara terpisah, peneliti TRM memeriksa aktivitas tersebut sebagai kampanye terkoordinasi. Menggunakan teknik demixing proprietary, analis mencocokkan deposit peretas dengan kluster penarikan yang nilai dan waktunya secara keseluruhan sangat sesuai dengan arus masuk.

Infrastruktur Bursa Rusia Berfungsi sebagai Jalur Keluar Fiat

Analisis aktivitas pencucian terkait LastPass mengungkap dua fase berbeda yang berkonvergensi di bursa Rusia. Fase awal mengarahkan dana curian melalui layanan mixing dan keluar melalui Cryptex, sebuah bursa berbasis Rusia yang disanksi OFAC pada 2024.

Gelombang berikutnya yang terdeteksi pada September 2025 menunjukkan TRM melacak sekitar $7 juta dana curian melalui Wasabi Wallet. Penarikan mengalir ke Audi6, bursa Rusia lain yang terkait dengan aktivitas cybercriminal. Salah satu bursa ini menerima dana terkait LastPass paling lambat Oktober 2025.

Sidik jari blockchain yang diamati sebelum proses mixing, dikombinasikan dengan intelijen terkait dompet setelah proses mixing, secara konsisten menunjukkan kendali operasional berbasis Rusia. Penarikan awal dari Wasabi terjadi dalam beberapa hari setelah pengurasan dompet awal. Ini menunjukkan bahwa pelaku sendiri yang melakukan aktivitas CoinJoin.