TRM Traces $28M LastPass漏洩で盗まれた資産がDemixing分析を通じてロシアの取引所に流入

ソース：CoinEdition オリジナルタイトル：TRM、Demixing分析を通じてロシアの取引所に流出したLastPass侵害の$28M 盗難を追跡 オリジナルリンク：

概要

• TRM Labsは、2022年のLastPass侵害からマixerを経由して$28 百万ドル相当の盗難暗号資産を追跡。
• オンチェーン分析により、ロシアのサイバー犯罪インフラと取引所を特定。
• Demixing技術により、盗まれたビットコインがCryptexとAudi6を通じて流通していたことが判明。

背景

ブロックチェーンインテリジェンスのアナリストは、2022年のLastPassパスワードマネージャー侵害に関連する盗難暗号資産を追跡してきました。分析により、2024年および2025年にわたるマネーロンダリング活動にロシアのサイバー犯罪者が関与している可能性を示すオンチェーンパターンが特定されました。

ハッカーは2022年にLastPassを侵害し、約3000万の顧客の金庫の暗号化バックアップを公開しました。これにはデジタル資格情報、暗号の秘密鍵、シードフレーズが含まれていました。金庫はマスターパスワードで復号化が必要でしたが、攻撃者は一括でダウンロードしました。これにより、弱いパスワードをオフラインで解読し、資産を時間をかけて引き出すための数年にわたるウィンドウが生まれました。

ブロックチェーン分析により協調したマネーロンダリングキャンペーンが明らかに

TRMのアナリストは、2024年および2025年にわたるウォレットの流出を特定し、侵害の影響が最初の公開をはるかに超えて続いていることを示しました。最近の盗難クラスターを分析することで、研究者は盗まれた資金をマixingサービスを経由して追跡し、サイバー犯罪者が法定通貨のオフランプとして使用している2つの高リスクロシア取引所にたどり着きました。

分析は、盗難のオンチェーン署名が一貫していることを示しています。盗まれたビットコインの鍵は、同一のウォレットソフトウェアにインポートされ、SegWitの使用やReplace-by-Fee機能などの共通の取引特性を生み出しました。ビットコイン以外の資産は、即時スワップサービスを通じて迅速にビットコインに変換され、その後、使い捨てアドレスに送金され、Wasabi Walletに預け入れられました。

LastPassハッカーによる資金の流れ

TRMは、2024年後半から2025年前半にかけて、暗号資産の総額が$28 百万ドル以上盗まれ、ビットコインに変換され、Wasabiを通じてマネーロンダリングされたと推定しています。個々の盗難を個別に分析するのではなく、TRMの研究者は活動を協調したキャンペーンとして捉えました。独自のdemixing技術を用いて、アナリストはハッカーの預金と引き出しクラスターを一致させ、その合計価値とタイミングが流入と密接に一致していることを確認しました。

ロシアの取引所インフラが法定通貨のオフランプとして機能

LastPassに関連したマネーロンダリング活動の分析により、2つの異なるフェーズがロシアの取引所に収束していることが明らかになりました。初期のフェーズでは、盗まれた資金はマixingサービスを経由し、Cryptexというロシアの取引所を通じてオフランプされました。これは2024年にOFACによって制裁対象となっています。

その後のフェーズは、2025年9月にTRMのアナリストがWasabi Walletを通じて約$7 百万ドルの盗難資金を追跡したもので、引き出しはAudi6という別のロシアの取引所に流れました。この取引所は、LastPassに関連した資金を2025年10月まで受け取っていました。

マixing前のブロックチェーンの指紋と、マixing後のウォレットに関連する情報を組み合わせると、ロシアに拠点を置く運用管理を示す証拠が一貫して示されました。初期のWasabiの引き出しは、最初のウォレット流出から数日以内に行われました。これは、攻撃者自身がCoinJoin活動を実行したことを示唆しています。