Les enquêteurs de TRM Labs ont lié une série de vols de cryptomonnaies totalisant environ 35 millions de dollars à une fuite d'identifiants chez LastPass, un gestionnaire de mots de passe populaire. L'analyse s'est concentrée sur les actifs volés à la suite de l'intrusion de 2022, qui a exposé des coffres-forts utilisateur chiffrés contenant des clés privées. Malgré l'exigence de mots de passe maîtres pour accéder à des comptes individuels, des identifiants faibles ont permis le déchiffrement hors ligne des données de clés, permettant aux attaquants d'exfiltrer des informations sur les portefeuilles sur une période prolongée et de cibler des comptes appartenant à des utilisateurs détenant des cryptomonnaies.
Les analyses forensiques de la blockchain de TRM ont révélé que des actifs autres que le Bitcoin étaient rapidement échangés contre du Bitcoin via des services d'échange sur chaîne. Des dépôts ultérieurs ont été acheminés vers Wasabi Wallet, un protocole de mixage axé sur la confidentialité, afin de masquer l'origine des transactions. Les chercheurs ont identifié des signatures de transaction cohérentes, notamment des entrées SegWit et des logiciels de portefeuille courants, reliant des incidents disparates à un seul acteur malveillant. Des techniques de démixage ont été appliquées pour retracer plus de 28 millions de dollars de fonds blanchis via Cryptomixer.io et Cryptex, une bourse russe sanctionnée par l'OFAC. Une vague ultérieure en septembre 2025 a vu 7 millions de dollars supplémentaires acheminés vers Audi6, renforçant les preuves de grappes de retraits coordonnées.
L'enquête souligne que les garanties d’anonymat offertes par les services de mixage diminuent lorsque les acteurs malveillants dépendent de points d’échange géographiques stables. L'utilisation récurrente de sorties russes met en évidence des vulnérabilités systémiques dans l'infrastructure financière mondiale qui facilitent la monétisation de la cybercriminalité. TRM Labs plaide pour renforcer les capacités d'intelligence sur la blockchain afin de détecter une continuité comportementale à travers les phases de blanchiment. Le cas LastPass constitue une rare exposition on-chain de la manière dont les violations historiques d'identifiants peuvent se traduire par des campagnes d'exploitation sur plusieurs années, soulignant le rôle crucial d'une hygiène robuste des mots de passe et la nécessité de solutions de sécurité adaptées à la protection des actifs numériques.
Commentaires (0)