Theo những phát hiện mới từ TRM Labs, các bản sao lưu kho dữ liệu được mã hóa bị đánh cắp từ vụ vi phạm dữ liệu LastPass năm 2022 đã cho phép các tác nhân độc hại lợi dụng mật khẩu chính yếu để bẻ khóa và rút cạn tài sản tiền điện tử cho đến tận cuối năm 2025.
Công ty tình báo blockchain cho biết bằng chứng cho thấy sự liên quan của các tác nhân tội phạm mạng Nga trong hoạt động này, với một trong những sàn giao dịch Nga đã nhận các khoản tiền liên quan đến LastPass gần đây nhất là vào tháng 10.
Đánh giá này "dựa trên toàn bộ bằng chứng on-chain – bao gồm tương tác lặp lại với cơ sở hạ tầng liên quan đến Nga, tính liên tục của quyền kiểm soát trên các hoạt động trước và sau trộn, và việc sử dụng nhất quán các sàn giao dịch rủi ro cao của Nga làm off-ramps," công ty cho biết thêm.
LastPass đã phải hứng chịu một cuộc tấn công lớn vào năm 2022, cho phép kẻ tấn công truy cập thông tin cá nhân của khách hàng, bao gồm các kho mật khẩu được mã hóa chứa thông tin đăng nhập, chẳng hạn như private keys và seed phrases của tiền điện tử.
Đầu tháng này, dịch vụ quản lý mật khẩu đã bị Văn phòng Ủy viên Thông tin (ICO) của Vương quốc Anh phạt 1,6 triệu USD vì đã không thực hiện các biện pháp kỹ thuật và bảo mật đủ mạnh để ngăn chặn sự cố.
Vụ vi phạm cũng khiến công ty phải đưa ra cảnh báo vào thời điểm đó, nói rằng các tác nhân độc hại có thể sử dụng các kỹ thuật brute-force để đoán mật khẩu chính và giải mã dữ liệu kho bị đánh cắp. Những phát hiện mới nhất từ TRM Labs cho thấy các tội phạm mạng đã thực hiện đúng như vậy.
"Bất kỳ kho dữ liệu nào được bảo vệ bằng mật khẩu chính yếu đều có thể bị giải mã ngoại tuyến, biến một vụ xâm nhập duy nhất vào năm 2022 thành một khoảng thời gian nhiều năm để kẻ tấn công âm thầm bẻ khóa mật khẩu và rút cạn tài sản theo thời gian," công ty cho biết.
"Vì người dùng không xoay vòng mật khẩu hoặc cải thiện bảo mật kho dữ liệu, kẻ tấn công tiếp tục bẻ khóa mật khẩu chính yếu nhiều năm sau đó – dẫn đến việc rút cạn ví gần đây nhất là vào cuối năm 2025."
Các liên kết của Nga với tiền điện tử bị đánh cắp từ vụ vi phạm LastPass năm 2022 xuất phát từ hai yếu tố chính: Việc sử dụng các sàn giao dịch thường liên quan đến hệ sinh thái tội phạm mạng của Nga trong quy trình rửa tiền và các kết nối hoạt động được thu thập từ các ví tương tác với mixers cả trước và sau quá trình trộn và rửa tiền.
Hơn 35 triệu USD tài sản kỹ thuật số bị rút đã được theo dõi, trong đó 28 triệu USD được chuyển đổi thành Bitcoin và rửa tiền thông qua Wasabi Wallet từ cuối năm 2024 đến đầu năm 2025. 7 triệu USD khác đã được liên kết với một đợt tấn công tiếp theo được phát hiện vào tháng 9 năm 2025.
Các quỹ bị đánh cắp được phát hiện đã được chuyển qua Cryptomixer.io và off-ramped qua Cryptex và Audia6, hai sàn giao dịch của Nga liên quan đến hoạt động bất hợp pháp. Đáng chú ý là Cryptex đã bị Bộ Tài chính Hoa Kỳ trừng phạt vào tháng 9 năm 2024 vì đã nhận hơn 51,2 triệu USD tiền bất hợp pháp có nguồn gốc từ các cuộc tấn công ransomware.
TRM Labs cho biết họ đã có thể "demix" hoạt động bất chấp việc sử dụng các kỹ thuật CoinJoin để khiến việc theo dõi dòng tiền trở nên khó khăn hơn đối với các bên quan sát bên ngoài, khám phá các giao dịch rút tiền theo cụm và peeling chains đã chuyển Bitcoin đã trộn vào hai sàn giao dịch.
"Đây là một ví dụ rõ ràng về cách một vụ vi phạm duy nhất có thể phát triển thành một chiến dịch trộm cắp kéo dài nhiều năm," Ari Redbord, trưởng bộ phận chính sách toàn cầu tại TRM Labs, cho biết. "Ngay cả khi sử dụng mixers, các mô hình hoạt động, việc tái sử dụng cơ sở hạ tầng và hành vi off-ramp vẫn có thể tiết lộ ai thực sự đứng đằng sau hoạt động này."
"Các sàn giao dịch rủi ro cao của Nga tiếp tục đóng vai trò là off-ramps quan trọng cho tội phạm mạng toàn cầu. Trường hợp này cho thấy lý do tại sao demixing và phân tích cấp hệ sinh thái hiện là các công cụ thiết yếu để quy kết và thực thi."
