- A TRM Labs rastreia US$ 28 milhões em criptomoedas roubadas da violação do LastPass em 2022 até os mixers.
- A análise on-chain aponta para a infraestrutura e as exchanges de cibercriminosos russas.
- Técnicas de desmistura revelam Bitcoin roubado que passou pela Cryptex e Audi6.
Um relatório da TRM Labs revela que analistas de inteligência blockchain rastrearam criptomoedas roubadas ligadas à violação do gerenciador de senhas LastPass em 2022. A análise identifica padrões on-chain que sugerem envolvimento de cibercriminosos russos em operações de lavagem de lavagem entre 2024 e 2025.
Hackers invadiram o LastPass em 2022, expondo backups criptografados de cerca de 30 milhões de cofres de clientes contendo credenciais digitais, chaves privadas criptográficas e frases semente. Embora os cofres exigissem senhas-mestra para serem descriptografadas, os atacantes as baixavam em massa. Isso criou uma janela de vários anos para quebrar senhas fracas offline e drenar ativos ao longo do tempo.
Análise de blockchain revela campanha coordenada de lavagem
Analistas do TRM identificaram drenos de carteiras que continuaram durante 2024 e 2025, estendendo o impacto da violação muito além da divulgação inicial. Ao analisar recentes grupos de furtos, pesquisadores rastrearam fundos roubados por meio de mixagem de serviços até duas bolsas russas de alto risco usadas por cibercriminosos como saídas fiduciárias.
A análise revela assinaturas consistentes na cadeia em todos os furtos. Chaves de Bitcoin roubadas foram importadas para softwares de carteira idênticos, produzindo características compartilhadas de transação, incluindo uso do SegWit e recursos de substituição por taxa. Ativos não-Bitcoin eram rapidamente convertidos para Bitcoin por meio de serviços de troca instantânea, depois transferidos para endereços de uso único e depositados na Carteira Wasabi.
Fluxo de fundos por hackers da LastPass
A TRM estima que mais de 28 milhões de dólares em criptomoedas foram roubadas, convertidas em Bitcoin e lavadas pela Wasabi no final de 2024 e início de 2025. Em vez de analisar roubos individuais separadamente, os pesquisadores do TRM analisaram a atividade como uma campanha coordenada. Utilizando técnicas proprietárias de desmistura, analistas associaram depósitos de hackers a clusters de saque cujo valor agregado e o momento estavam alinhados com as entradas.
A infraestrutura de troca russa serve como saída de moeda fiduciária
A análise das atividades de lavagem vinculada ao LastPass revela duas fases distintas convergindo para as bolsas russas. Uma fase anterior direcionava fundos roubados pela agora extinta Cryptomixer.io e desconectava via Cryptex, uma bolsa russa sancionada pela OFAC em 2024.
Uma onda subsequente identificada em setembro de 2025 viu analistas da TRM rastrearem aproximadamente 7 milhões de dólares em fundos roubados através da Wasabi Wallet. Os saques foram transferidos para a Audi6, outra bolsa russa associada à atividade cibercriminosa. Uma dessas exchanges recebeu fundos vinculados ao LastPass tão recentemente quanto outubro de 2025.
Impressões digitais do blockchain observadas antes da mistura, combinadas com inteligência associada às carteiras após o processo de mixagem, apontavam consistentemente para o controle operacional baseado na Rússia. Os saques iniciais de Wasabi ocorreram poucos dias após o esgotamento inicial da carteira. Isso sugere que os próprios atacantes executaram a atividade CoinJoin.
Relacionado: Coinbase prende ex-funcionário indiano em grande caso de violação de dados
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
