TRM 追踪$28M 在LastPass泄露事件中被盗资金流向俄罗斯交易所的Demixing分析

来源：CoinEdition 原文标题：TRM追踪$28M 在LastPass漏洞中被盗资金流向俄罗斯交易所的Demixing分析 原文链接：

概述

• TRM Labs追踪到2022年LastPass漏洞中被盗的$28 百万加密货币流向混合器。
• 链上分析指向俄罗斯网络犯罪基础设施和交易所。
• Demixing技术揭示被盗的比特币通过Cryptex和Audi6流转。

背景

区块链情报分析师追踪到与2022年LastPass密码管理器漏洞相关的被盗加密货币。分析识别出链上模式，暗示俄罗斯网络犯罪分子参与了跨越2024年至2025年的洗钱操作。

黑客在2022年入侵LastPass，曝光了大约3000万客户保险库的加密备份，包含数字凭证、加密私钥和种子短语。虽然保险库需要主密码解密，但攻击者批量下载了这些数据。这为离线破解弱密码和逐步提取资产提供了多年的窗口。

区块链分析揭示协调的洗钱行动

TRM分析师发现，钱包资金在2024年和2025年持续被转出，远超最初披露的影响范围。通过分析近期的盗窃集群，研究人员追踪被盗资金通过混合服务流向两个由网络犯罪分子用作法币出境点的高风险俄罗斯交易所。

分析显示，盗窃事件中链上的签名具有一致性。被盗的比特币私钥被导入到相同的钱包软件中，产生了共享的交易特征，包括SegWit的使用和Replace-by-Fee功能。非比特币资产被迅速通过即时兑换服务转换为比特币，然后转入一次性地址并存入Wasabi钱包。

LastPass黑客资金流向

TRM估算在2024年底至2025年初，超过$28 百万的加密货币被盗、转换为比特币，并通过Wasabi进行洗钱。TRM研究人员没有单独分析每次盗窃，而是将活动视为一场协调行动。利用专有的demixing技术，分析师将黑客的存款与提款集群匹配，其总价值和时间点与流入高度一致。

俄罗斯交易所基础设施作为法币出境点

对LastPass相关洗钱活动的分析揭示了两个不同阶段，均指向俄罗斯交易所。早期阶段通过混合服务将被盗资金转出，并通过Cryptex（一家受OFAC制裁的俄罗斯交易所）出境。

2025年9月发现的后续波次中，TRM分析师追踪到约$7 百万被盗资金通过Wasabi钱包流转。提款流向Audi6，另一家与网络犯罪相关的俄罗斯交易所。这些交易所中的一家在2025年10月仍接收了与LastPass相关的资金。

在混合前观察到的区块链指纹，以及混合后钱包的情报，始终指向俄罗斯的操作控制。早期的Wasabi提款发生在钱包被盗几天内。这表明攻击者本人执行了CoinJoin操作。