TRM Traces $28M Stolen na Violação do LastPass para Exchanges Russas através de Análise de Demixing

Fonte: CoinEdition Título Original: TRM Rastreia $28M Cripto roubada na Brecha LastPass para Exchanges Russas via Análise de Demixing Link Original:

Visão Geral

• TRM Labs rastreia $28 milhões em criptomoedas roubadas na violação do LastPass em 2022 até mixers.
• Análise on-chain aponta para infraestrutura de cibercriminosos russos e exchanges.
• Técnicas de demixing revelam que Bitcoin roubado passou por Cryptex e Audi6.

Contexto

Analistas de inteligência de blockchain rastrearam criptomoedas roubadas relacionadas à violação do gerenciador de senhas LastPass em 2022. A análise identifica padrões on-chain que sugerem envolvimento de cibercriminosos russos em operações de lavagem que se estendem por 2024 e 2025.

Hackers invadiram o LastPass em 2022, expondo backups criptografados de aproximadamente 30 milhões de cofres de clientes contendo credenciais digitais, chaves privadas de criptomoedas e frases-semente. Embora os cofres exigissem senhas mestras para serem descriptografados, os atacantes os baixaram em massa. Isso criou uma janela de vários anos para quebrar senhas fracas offline e esvaziar ativos ao longo do tempo.

Análise de Blockchain Revela Campanha de Lavagem Coordenada

Analistas da TRM identificaram drenagens de carteiras que continuaram ao longo de 2024 e 2025, estendendo o impacto da violação muito além da divulgação inicial. Ao analisar clusters recentes de roubos, os pesquisadores rastrearam fundos roubados através de serviços de mixing para duas exchanges russas de alto risco usadas por cibercriminosos como pontos de saída de fiat.

A análise revela assinaturas on-chain consistentes em todos os roubos. Chaves de Bitcoin roubadas foram importadas para softwares de carteira idênticos, produzindo características de transação compartilhadas, incluindo uso de SegWit e recursos de Replace-by-Fee. Ativos que não eram Bitcoin foram rapidamente convertidos para Bitcoin através de serviços de troca instantânea, depois transferidos para endereços de uso único e depositados na Wasabi Wallet.

Fluxo de fundos pelos hackers do LastPass

A TRM estima que mais de $28 milhões em criptomoedas foram roubados, convertidos em Bitcoin e lavados através da Wasabi no final de 2024 e início de 2025. Em vez de analisar roubos individuais separadamente, os pesquisadores da TRM examinaram a atividade como uma campanha coordenada. Usando técnicas proprietárias de demixing, os analistas combinaram depósitos de hackers com clusters de saques cujo valor agregado e cronograma alinhavam-se de perto com os influxos.

Infraestrutura de Exchange Russa Serve como Ponto de Saída de Fiat

A análise da atividade de lavagem vinculada ao LastPass revela duas fases distintas que convergiram para exchanges russas. Uma fase anterior direcionou fundos roubados através de serviços de mixing e saiu via Cryptex, uma exchange russa sancionada pela OFAC em 2024.

Uma onda subsequente, identificada em setembro de 2025, viu os analistas da TRM rastrearem aproximadamente $7 milhões em fundos roubados através da Wasabi Wallet. Os saques fluíram para Audi6, outra exchange russa associada à atividade de cibercriminosos. Uma dessas exchanges recebeu fundos vinculados ao LastPass mais recentemente, em outubro de 2025.

Impressões digitais de blockchain observadas antes do mixing, combinadas com inteligência associada às carteiras após o processo de mistura, apontaram consistentemente para controle operacional baseado na Rússia. Os primeiros saques na Wasabi ocorreram dias após os primeiros drenagens de carteiras. Isso sugere que os próprios atacantes executaram a atividade CoinJoin.