TRM Traces $28M Вкраденого у зломі LastPass до російських бірж через аналіз деміксингу

Джерело: CoinEdition Оригінальна назва: TRM Відстежує $28M крадене у зломі LastPass до російських бірж через аналіз деміксінгу Оригінальне посилання:

Огляд

• TRM Labs відстежує $28 мільйонів украдених криптовалют з злома LastPass 2022 року до міксерів.
• Аналіз у блокчейні вказує на російську кіберзлочинну інфраструктуру та біржі.
• Техніки деміксінгу виявляють, що викрадені Bitcoin проходили через Cryptex та Audi6.

Передумови

Аналітики блокчейн-розвідки відстежили викрадену криптовалюту, пов’язану із зломом менеджера паролів LastPass у 2022 році. Аналіз визначає шаблони у блокчейні, що свідчать про участь російських кіберзлочинців у відмиванні коштів у період з 2024 по 2025 рік.

Зломщики проникли у LastPass у 2022 році, викривши зашифровані резервні копії приблизно 30 мільйонів клієнтських сейфів, що містили цифрові облікові дані, приватні ключі криптовалют і фрази насіння. Хоча сейфи вимагали головних паролів для розшифровки, зловмисники завантажили їх масово. Це створило багаторічне вікно для зламу слабких паролів офлайн і витоку активів з часом.

Аналіз блокчейну виявляє скоординовану кампанію відмивання

Аналітики TRM визначили, що витоки з гаманців тривали протягом 2024 і 2025 років, значно розширюючи вплив зломів за межі початкового розголосу. Аналізуючи останні групи крадіжок, дослідники простежили викрадені кошти через міксери до двох високоризикових російських бірж, які використовувалися кіберзлочинцями як фіатні виходи.

Аналіз показує послідовні підписки у блокчейні для всіх крадіжок. Вкрадені ключі Bitcoin імпортувалися у ідентичне програмне забезпечення гаманця, що створювало спільні характеристики транзакцій, включаючи використання SegWit і функцію Replace-by-Fee. Небіткоїнові активи швидко конвертувалися у Bitcoin через миттєві обміни, потім переводилися на одноразові адреси і депонувалися у Wasabi Wallet.

Потік коштів від хакерів LastPass

TRM оцінює, що понад $28 мільйонів у криптовалюті було викрадено, конвертовано у Bitcoin і відмито через Wasabi наприкінці 2024 і на початку 2025 року. Замість аналізу окремих крадіжок, дослідники TRM розглядали цю активність як скоординовану кампанію. Використовуючи власні техніки деміксінгу, аналітики співставляли депозити хакерів із групами виведень, сукупна вартість і час яких тісно відповідали потокам.

Російська інфраструктура бірж слугує як фіатний вихід

Аналіз діяльності з відмивання, пов’язаної з LastPass, виявляє два різні етапи, що зійшлися на російських біржах. Перший етап маршрутував викрадені кошти через міксери і виводив через Cryptex, російську біржу, санкціоновану OFAC у 2024 році.

Наступна хвиля, виявлена у вересні 2025 року, показала, що TRM відстежила близько $7 мільйонів викрадених коштів через Wasabi Wallet. Виведення коштів здійснювалося до Audi6, ще однієї російської біржі, пов’язаної з кіберзлочинною діяльністю. Одна з цих бірж отримала кошти, пов’язані з LastPass, так недавно, як у жовтні 2025 року.

Біметричні підписки у блокчейні, зафіксовані перед міксінгом, у поєднанні з розвідкою, пов’язаною із гаманцями після процесу міксінгу, послідовно вказували на російський операційний контроль. Ранні виведення з Wasabi відбувалися протягом кількох днів після початкових витоків із гаманців. Це свідчить про те, що самі зловмисники виконували активність CoinJoin.