Investigadors de TRM Labs han vinculat una sèrie de robatoris de criptomonedes que sumen al voltant de 35 milions de dòlars a una violació de credencials a LastPass, un gestor de contrasenyes popular. L'anàlisi es va centrar en els actius robats després de la intrusió de 2022, que va exposar cofres d'usuari xifrats que contenien claus privades. Tot i la necessitat de contrasenyes mestres per accedir als comptes individuals, contrasenyes febles van permetre el desxiframent fora de línia de dades clau, permetent als atacants exfiltrar informació de les carteres durant un període llarg i dirigir-se a comptes pertanyents a usuaris que posseeixen criptomonedes.
Les dades forenses de blockchain de TRM van revelar que actius que no són Bitcoin es van canviar ràpidament per Bitcoin mitjançant serveis d'intercanvi en la cadena. Els dipòsits posteriors van ser encaminats cap a Wasabi Wallet, un protocol de mesclatge centrat en la privacitat, per amagar l'origen de les transaccions. Els investigadors van identificar signatures de transaccions consistents, incloent entrades SegWit i programari de cartera comú, vinculant incidents distints a un únic actor de la amenaça. Es van aplicar tècniques de desmezcla per rastrejar més de 28 milions de dòlars en fons blanquejats a través de Cryptomixer.io i Cryptex, una borsa russa sancionada per l'OFAC. Una ona posterior al setembre de 2025 va portar 7 milions addicionals a Audi6, reforçant l'evidència de grups de retirades coordinades.
L'investigació subratlla la reducció de les garanties d'anonimat ofertes pels serveis de mesclatge quan els actors de la amenaça depenen de punts d'intercanvi geogràfics estables. L'ús recurrent de punts d'escapament russos destaca vulnerabilitats sistèmics en la infraestructura financera global que faciliten la monetització de la ciberdelinqüència. TRM Labs defensa ampliar les capacitats d'intel·ligència de blockchain per detectar la continuïtat conductual a través de les fases de blanqueig. El cas LastPass és una rara exposició a la cadena de blocs de com les violacions històriques de credencials poden convertir-se en campanyes d'explotació plurianuals, destacant el paper crític de la higiene robusta de contrasenyes i la necessitat de solucions de seguretat adaptades a la protecció d'actius digitals.
Comentaris (0)