- TRM Labs verfolgt 28 Millionen Dollar an gestohlener Kryptowährung aus dem LastPass-Verletzungsprozess 2022 bis zu Mixers.
- On-Chain-Analysen deuten auf russische Cyberkriminelle Infrastruktur und Börsen hin.
- Demixing-Techniken zeigen, dass gestohlene Bitcoin über Cryptex und Audi6 geflossen ist.
Ein Bericht von TRM Labs zeigt, dass Blockchain-Intelligence-Analysten gestohlene Kryptowährungen im Zusammenhang mit dem LastPass-Manager-Verstoß von 2022 nachverfolgt haben. Die Analyse identifiziert On-Chain-Muster, die auf russische Cyberkriminelle Beteiligung an Geldwäscheoperationen in den Jahren 2024 und 2025 hindeuten.
Hacker sind 2022 in LastPass eingebrochen und haben verschlüsselte Backups von etwa 30 Millionen Kundentresoren mit digitalen Zugangsdaten, Krypto-Privatschlüsseln und Seed-Phrasen offengelegt. Während die Tresore Hauptpasswörter zur Entschlüsselung benötigten, luden Angreifer sie in großen Mengen herunter. Dies schuf ein mehrjähriges Zeitfenster, um schwache Passwörter offline zu knacken und Vermögenswerte im Laufe der Zeit zu entziehen.
Blockchain-Analyse zeigt eine koordinierte Geldwäschekampagne
TRM-Analysten identifizierten Wallet-Drains, die sich über 2024 und 2025 fortsetzten, wodurch die Auswirkungen des Datenbruchs weit über die anfängliche Offenlegung hinaus verlängert wurden. Durch die Analyse jüngster Diebstahl-Cluster verfolgten Forscher gestohlene Gelder durch Mischdienste zu zwei hochriskanten russischen Börsen, die von Cyberkriminellen als Fiat-Ausläufer genutzt wurden.
Die Analyse zeigt konsistente On-Chain-Signaturen bei Diebstählen. Gestohlene Bitcoin-Schlüssel wurden in identische Wallet-Software importiert, wodurch gemeinsame Transaktionsmerkmale wie SegWit-Nutzung und Replace-by-Fee-Funktionen erzeugt wurden. Nicht-Bitcoin-Vermögenswerte wurden schnell über Instant-Swap-Dienste in Bitcoin umgewandelt, dann auf Einmaladressen übertragen und in die Wasabi Wallet eingezahlt.
Geldfluss durch LastPass-Hacker
TRM schätzt, dass Ende 2024 und Anfang 2025 mehr als 28 Millionen Dollar an Kryptowährungen gestohlen, in Bitcoin umgewandelt und über Wasabi gewaschen wurden. Anstatt einzelne Diebstähle separat zu analysieren, untersuchten die TRM-Forscher die Aktivität als koordinierte Kampagne. Mit proprietären Demixing-Techniken haben Analysten Hacker-Einzahlungen mit Auszahlungsclustern abgeglichen, deren gesamter Wert und Zeitpunkt eng mit den Zuflüssen übereinstimmen.
Die russische Börseninfrastruktur dient als Fiat-Ausfahrt
Die Analyse der mit LastPass verbundenen Geldwäscheaktivitäten zeigt zwei unterschiedliche Phasen, die sich auf russischen Börsen konvergieren. Eine frühere Phase leitete gestohlene Gelder über das inzwischen aufgelöste Cryptomixer.io und wurde über Cryptex, eine in Russland ansässige Börse, die 2024 von OFAC sanktioniert wurde, weitergeleitet.
Eine anschließende Welle im September 2025 führte dazu, dass TRM-Analysten etwa 7 Millionen Dollar an gestohlenen Geldern über Wasabi Wallet zurückverfolgten. Die Auszahlungen gingen an Audi6, eine weitere russische Börse, die mit cyberkriminellen Aktivitäten in Verbindung steht. Eine dieser Börsen erhielt noch im Oktober 2025 LastPass-gelinkte Mittel.
Blockchain-Fingerabdrücke, die vor dem Mischen beobachtet wurden, kombiniert mit Informationen aus den Wallets nach dem Abmischungsprozess, deuteten konsequent auf eine russische operative Kontrolle hin. Frühe Wasabi-Entnahmen traten innerhalb weniger Tage nach dem ersten Beutelentzug auf. Das deutet darauf hin, dass die Angreifer selbst die CoinJoin-Aktivität ausgeführt haben.
Verwandt: Coinbase verhaftet ehemaligen indischen Mitarbeiter im Fall großer Datenpanne
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
