TRM Traces $28M Украденных в результате утечки LastPass на российские биржи с помощью анализа демиксинга

Источник: CoinEdition Оригинальный заголовок: TRM отслеживает $28M украденных в утечке LastPass к российским биржам через демиксинг-анализ Оригинальная ссылка:

Обзор

• TRM Labs отслеживает $28 миллионов украденных криптовалют с утечки LastPass 2022 года до миксеров.
• Анализ на блокчейне указывает на российскую киберпреступную инфраструктуру и биржи.
• Техники демиксинга показывают, что украденные Bitcoin проходили через Cryptex и Audi6.

Предыстория

Аналитики блокчейн-разведки проследили украденную криптовалюту, связанную с утечкой менеджера паролей LastPass 2022 года. Анализ выявил on-chain шаблоны, которые указывают на участие российских киберпреступников в отмывании средств, охватывающем 2024 и 2025 годы.

Хакеры взломали LastPass в 2022 году, что привело к утечке зашифрованных резервных копий примерно 30 миллионах пользовательских сейфов, содержащих цифровые учетные данные, приватные ключи криптовалют и сид-фразы. Хотя сейфы требовали мастер-пароли для расшифровки, злоумышленники скачали их массово. Это создало многолетнее окно для взлома слабых паролей офлайн и постепенного вывода активов.

Анализ блокчейна выявляет скоординированную кампанию по отмыванию

Аналитики TRM обнаружили, что утечки средств продолжались в 2024 и 2025 годах, расширяя влияние утечки далеко за пределы первоначального раскрытия. Анализируя недавние кластеры краж, исследователи проследили украденные средства через миксеры до двух рискованных российских бирж, используемых киберпреступниками как фиатные off-ramps.

Анализ выявил постоянные on-chain подписи по всем кражам. Ключи украденных Bitcoin импортировались в идентичное программное обеспечение кошелька, что создавало общие характеристики транзакций, включая использование SegWit и функции Replace-by-Fee. Не-Bitcoin активы быстро конвертировались в Bitcoin через instant swap-сервисы, затем переводились на одноразовые адреса и депонировались в Wasabi Wallet.

Поток средств от хакеров LastPass

TRM оценивает, что более $28 миллионов криптовалюты было украдено, конвертировано в Bitcoin и отмыто через Wasabi в конце 2024 и начале 2025 годов. Вместо анализа отдельных краж, исследователи TRM рассматривали активность как скоординированную кампанию. Используя собственные техники демиксинга, аналитики сопоставили депозиты хакеров с кластерами выводов, чья совокупная стоимость и временные рамки тесно совпадали с притоком средств.

Инфраструктура российских бирж служит фиатным off-ramp

Анализ деятельности по отмыванию, связанной с LastPass, выявил два различных этапа, сходящихся на российских биржах. Более ранний этап направлял украденные средства через миксеры и off-рапы через Cryptex, российскую биржу, санкционированную OFAC в 2024 году.

Последующая волна, зафиксированная в сентябре 2025 года, показала, что TRM проследила примерно $7 миллионов украденных средств через Wasabi Wallet. Выводы шли на Audi6, другую российскую биржу, связанную с киберпреступной деятельностью. Одна из этих бирж получила средства, связанные с LastPass, уже в октябре 2025 года.

Блокчейн-отпечатки, зафиксированные до миксинга, в сочетании с разведданными, связанными с кошельками после процесса миксинга, постоянно указывали на операционный контроль, базирующийся в России. Ранние выводы через Wasabi происходили в течение нескольких дней после начальных утечек кошельков. Это говорит о том, что сами злоумышленники выполняли активность CoinJoin.