TRM rastrea 28 millones de dólares robados en la brecha de LastPass a intercambios rusos mediante análisis de desmezcla

• TRM Labs rastrea 28 millones de dólares en criptomonedas robadas de la brecha de LastPass de 2022 hasta los mezcladores.
• El análisis on-chain apunta a la infraestructura y los intercambios cibernéticos rusos.
• Las técnicas de descomposición revelan que el Bitcoin robado fluyó a través de Cryptex y Audi6.

Un informe de TRM Labs revela que analistas de inteligencia blockchain han rastreado criptomonedas robadas vinculadas a la brecha del gestor de contraseñas LastPass de 2022. El análisis identifica patrones en cadena que sugieren la implicación de ciberdelincuentes rusos en operaciones de blanqueo durante 2024 y 2025.

Hackers vulneraron LastPass en 2022, exponiendo copias de seguridad cifradas de aproximadamente 30 millones de bóvedas de clientes que contenían credenciales digitales, claves privadas criptográficos y frases semilla. Aunque los refugios requerían contraseñas maestras para descifrar, los atacantes las descargaron en masa. Esto creó una ventana de varios años para descifrar contraseñas débiles fuera de línea y drenar activos con el tiempo.

El análisis de blockchain revela una campaña coordinada de blanqueo

Los analistas de TRM identificaron los drenajes de cartera que continuaron durante 2024 y 2025, extendiendo el impacto de la brecha mucho más allá de la divulgación inicial. Analizando recientes grupos de robos, los investigadores rastrearon fondos robados mediante la mezcla de servicios hasta dos intercambios rusos de alto riesgo utilizados por ciberdelincuentes como vías de escape fiduciarias.

El análisis revela firmas en cadena consistentes en los robos. Las claves de Bitcoin robadas se importaban en software idéntico de monederos, generando características de transacción compartidas como el uso de SegWit y las funciones de Reemplazo por Comisión. Los activos no Bitcoin se convertían rápidamente a Bitcoin mediante servicios de intercambio instantáneo, luego se transferían a direcciones de un solo uso y se depositaban en la cartera Wasabi.

Flujo de fondos por parte de hackers de LastPass

TRM estima que se robaron más de 28 millones de dólares en criptomonedas, se convirtieron en Bitcoin y se blanquearon a través de Wasabi a finales de 2024 y principios de 2025. En lugar de analizar los robos individuales por separado, los investigadores de TRM examinaron la actividad como una campaña coordinada. Utilizando técnicas de desmezcla propietarias, los analistas emparejaron los depósitos de hackers con clústeres de retiradas cuyo valor agregado y momento coincidían estrechamente con las entradas.

La infraestructura de intercambio rusa actúa como vía de salida fiduciaria

El análisis de la actividad de blanqueo vinculado a LastPass revela dos fases distintas que convergen hacia los intercambios rusos. Una fase anterior desvió fondos robados a través de la ahora desaparecida Cryptomixer.io y se desvía mediante Cryptex, un intercambio ruso autorizado por OFAC en 2024.

Una oleada posterior identificada en septiembre de 2025 vio a los analistas de TRM rastrear aproximadamente 7 millones de dólares en fondos robados a través de Wasabi Wallet. Las retiradas fluyeron hacia Audi6, otro intercambio ruso asociado a actividades cibercriminales. Uno de estos intercambios recibió fondos vinculados a LastPass tan recientemente como en octubre de 2025.

Las huellas dactilares de blockchain observadas antes de la mezcla, combinadas con la inteligencia asociada a las carteras tras el proceso de mezcla, apuntaban consistentemente a un control operativo basado en Rusia. Las primeras retiradas de Wasabi ocurrieron pocos días después de vaciar la cartera inicialmente. Esto sugiere que los propios atacantes ejecutaron la actividad CoinJoin.

Relacionado: Coinbase detiene a un exempleado indio en un caso importante de brecha de datos