Investigadores da TRM Labs ligaram uma série de furtos de criptomoedas, totalizando aproximadamente 35 milhões de dólares, a uma violação de credenciais no LastPass, um popular gerenciador de senhas. A análise concentrou-se nos ativos roubados após a intrusão de 2022, que expôs cofres de usuários criptografados contendo chaves privadas. Apesar da exigência de senha mestra para acessar contas individuais, credenciais fracas permitiram a descriptografia offline de dados de chave, permitindo que os invasores exfiltrassem informações de carteiras ao longo de um período prolongado e visassem contas pertencentes a usuários que possuíam criptomoedas.
A perícia forense em blockchain da TRM revelou que ativos que não eram Bitcoin foram rapidamente trocados por Bitcoin por meio de serviços de câmbio on-chain. Depósitos subsequentes foram encaminhados para Wasabi Wallet, um protocolo de mistura focado em privacidade, para ocultar as origens das transações. Pesquisadores identificaram assinaturas de transação consistentes, incluindo entradas SegWit e software de carteira comum, ligando incidentes díspares a um único ator de ameaça. Técnicas de separação de fundos misturados foram aplicadas para rastrear mais de 28 milhões de dólares em fundos lavados por meio de Cryptomixer.io e Cryptex, uma exchange russa sancionada pela OFAC. Uma onda subsequente em setembro de 2025 viu mais 7 milhões de dólares encaminhados para a Audi6, reforçando evidências de clusters coordenados de retirada.
A investigação destaca a diminuição das garantias de anonimato oferecidas pelos serviços de mistura quando agentes de ameaça dependem de pontos de saída geograficamente estáveis. O uso recorrente de pontos de saída russos destaca vulnerabilidades sistêmicas na infraestrutura financeira global que facilitam a monetização de crimes cibernéticos. A TRM Labs defende capacidades aprimoradas de inteligência em blockchain para detectar continuidade comportamental ao longo das fases de lavagem. O caso LastPass serve como uma rara exposição on-chain de como violações históricas de credenciais podem se traduzir em campanhas de exploração que se estendem por vários anos, enfatizando o papel crítico de uma higiene de senhas robusta e a necessidade de soluções de segurança voltadas à proteção de ativos digitais.
Comentários (0)