Onderzoekers van TRM Labs hebben een reeks cryptocurrency-diefstallen ter waarde van ongeveer 35 miljoen dollar gelinkt aan een inbreuk op de inloggegevens bij LastPass, een populaire wachtwoordmanager. De analyse richtte zich op de activa die na de inbraak in 2022 zijn gestolen, waardoor versleutelde gebruikerskluizen met privé-sleutels blootgelegd werden. Ondanks de eis van masterwachtwoorden om toegang te krijgen tot individuele accounts, maakten zwakke inloggegevens offline decryptie van sleutelgegevens mogelijk, waardoor aanvallers walletgegevens over een langere periode konden exfiltreren en zich richtten op accounts van gebruikers met cryptovaluta-bezit.

TRM's blockchain-forensics toonden aan dat niet-Bitcoin-activa snel werden omgewisseld naar Bitcoin via on-chain-uitwisselingsdiensten. Vervolgens werden stortingen doorgeleid naar Wasabi Wallet, een privacygericht mengprotocol, om de oorsprong van transacties te verhullen. Onderzoekers identificeerden consistente transactiehandtekeningen, waaronder SegWit-inputs en veelgebruikte wallet-software, die uiteenlopende incidenten aan één dreigingsactor koppelen. Demixing-technieken werden toegepast om meer dan $28 miljoen aan gelaunderde fondsen op te sporen via Cryptomixer.io en Cryptex, een Russische beurs die door OFAC is gesanctioneerd. Een latere golf in september 2025 zag nog eens $7 miljoen naar Audi6 worden overgemaakt, wat het bewijs van gecoördineerde onttrekkingsclusters versterkt.

Het onderzoek onderstreept afnemende anonimiteitsgaranties die mengdiensten bieden wanneer dreigingsactoren vertrouwen op stabiele geografische endpoints. Het herhaalde gebruik van Russische off-ramps benadrukt systemische kwetsbaarheden in de wereldwijde financiële infrastructuur die cybercrime-monetisatie mogelijk maken. TRM Labs pleit voor verbeterde blockchain-intelligentiecapaciteiten om gedragscontinuïteit over de wasfasen heen te detecteren. De LastPass-zaak dient als een zeldzame on-chain uiteenzetting van hoe historische inloggegevensinbreuken kunnen leiden tot campagnes van meerdere jaren, en benadrukt de cruciale rol van robuuste wachtwoordhygiëne en de behoefte aan beveiligingsoplossingen die zijn afgestemd op de bescherming van digitale activa.