TRM retrace 28 millions de dollars volés lors d’une violation de LastPass aux bourses russes via une analyse de démixage

• TRM Labs retrace 28 millions de dollars de cryptomonnaies volées issues de la violation LastPass de 2022 jusqu’aux mélangeurs.
• L’analyse on-chain pointe vers l’infrastructure et les plateformes d’échange de cybercriminalité russes.
• Les techniques de décomposition révèlent que le Bitcoin volé a circulé via Cryptex et Audi6.

Un rapport de TRM Labs révèle que des analystes du renseignement blockchain ont retrouvé une cryptomonnaie volée liée à la faille du gestionnaire de mots de passe LastPass en 2022. L’analyse identifie des schémas on-chain qui suggèrent une implication de cybercriminels russes dans des opérations de blanchiment couvrant 2024 et 2025.

Des pirates ont violé LastPass en 2022, exposant des sauvegardes chiffrées d’environ 30 millions de coffres clients contenant des identifiants numériques, des clés privées cryptographiques et des phrases de départ. Alors que les coffres nécessitaient des mots de passe maîtres pour être déchiffrés, les attaquants les ont téléchargés en masse. Cela a créé une fenêtre de plusieurs années pour craquer les mots de passe faibles hors ligne et épuiser les actifs au fil du temps.

L’analyse blockchain révèle une campagne de blanchiment coordonnée

Les analystes de TRM ont identifié des décharges de portefeuille se poursuivant tout au long de 2024 et 2025, étendant l’impact de la violation bien au-delà de la divulgation initiale. En analysant les récents foyers de vols, les chercheurs ont retracé des fonds volés via le mélange de services vers deux plateformes russes à haut risque utilisées par des cybercriminels comme sorties fiduciaires.

L’analyse révèle des signatures cohérentes sur la chaîne à travers les vols. Les clés Bitcoin volées ont été importées dans des logiciels de portefeuille identiques, créant des caractéristiques de transaction partagées, incluant l’utilisation de SegWit et les fonctionnalités de remplacement par frais. Les actifs non-Bitcoin étaient rapidement convertis en Bitcoin via des services d’échange instantané, puis transférés vers des adresses à usage unique et déposés dans un portefeuille Wasabi.

Flux de fonds par les hackers de LastPass

TRM estime que plus de 28 millions de dollars en cryptomonnaies ont été volés, convertis en Bitcoin et blanchis via Wasabi fin 2024 et début 2025. Plutôt que d’analyser séparément les vols individuels, les chercheurs de TRM ont examiné l’activité comme une campagne coordonnée. En utilisant des techniques de démixage propriétaires, les analystes ont associé les dépôts de hackers à des clusters de retraits dont la valeur globale et le moment correspondaient étroitement aux flux d’entrée.

L’infrastructure de la bourse russe sert de sortie fiduciaire

L’analyse de l’activité de blanchiment liée à LastPass révèle deux phases distinctes convergeant vers les bourses russes. Une phase antérieure a redirigé des fonds volés via le Cryptomixer.io désormais disparu et a déconnecté via Cryptex, une plateforme d’échange basée en Russie sanctionnée par l’OFAC en 2024.

Une vague ultérieure identifiée en septembre 2025 a vu les analystes de TRM retracer environ 7 millions de dollars de fonds volés via Wasabi Wallet. Les retraits ont été transférés à Audi6, un autre échange russe associé à des activités cybercriminelles. L’une de ces bourses a reçu des fonds liés à LastPass aussi récemment qu’en octobre 2025.

Les empreintes digitales de la blockchain observées avant le mélange, combinées aux renseignements liés aux portefeuilles après le processus de mixage, indiquaient systématiquement un contrôle opérationnel basé en Russie. Les premiers retraits de Wasabi sont survenus quelques jours après les premiers déchargements de portefeuille. Cela suggère que les assaillants eux-mêmes ont exécuté l’activité CoinJoin.

En lien avec : Coinbase arrête un ancien employé indien dans une affaire majeure de violation de données