- TRM Labs отслеживает $28 миллионов украденной криптовалюты от взлома LastPass в 2022 году до миксеров.
- Он-чейн-анализ указывает на российскую киберпреступную инфраструктуру и биржи.
- Методы демиксирования показали, что украденный биткоин проходил через Cryptex и Audi6.
Отчёт TRM Labs показывает, что аналитики блокчейн-аналитиков отследили украденные криптовалюты, связанные с утечкой менеджера паролей LastPass в 2022 году. Анализ выявляет он-чейневые закономерности, указывающие на участие российских киберпреступников в операциях по отмыванию, охватывающие 2024 и 2025 годы.
Хакеры взломали LastPass в 2022 году, обнажив зашифрованные резервные копии примерно 30 миллионов хранилищ клиентов, содержащие цифровые учетные данные, приватные ключи и seed-фразы. Хотя для расшифровки хранилища требовались мастер-пароли, злоумышленники скачивали их массово. Это создало многолетнее окно для взлома слабых паролей офлайн и постепенного расхода активов.
Анализ блокчейна выявил скоординированную кампанию по отмыванием средств
Аналитики TRM выявили, что расходы из кошельков продолжаются в течение 2024 и 2025 годов, расширяя влияние утечки далеко за пределы первоначального раскрытия. Анализируя недавние кластеры краж, исследователи отследили украденные средства через смешивание сервисов с двумя высокорискованными российскими биржами, используемыми киберпреступниками как фиатные выходы.
Анализ выявил согласованные он-чейн-сигнатуры при краже. Украденные биткоин-ключи импортировались в одинаковое программное обеспечение кошелька, создавая общие характеристики транзакций, включая использование SegWit и функции замены по комиссии. Активы, не связанные с биткоином, быстро конвертировались в биткоин через сервисы мгновенных свопов, затем переводились на одноразовые адреса и размещались в кошелек Wasabi.
Поток средств хакерами LastPass
TRM оценивает, что в конце 2024 и начале 2025 года было украдено, конвертировано в биткоин и отмыто через Wasabi более 28 миллионов долларов. Вместо того чтобы анализировать отдельные кражи отдельно, исследователи TRM рассматривали эту деятельность как скоординированную кампанию. Используя проприетарные методы демиксирования, аналитики сопоставили вклады хакеров с кластерами снятия средств, чья совокупная стоимость и тайминг тесно совпадали с притоками.
Российская обменная инфраструктура служит фиатным съездом
Анализ деятельности по отмыванию, связанной с LastPass, выявил две отдельные фазы, сходящиеся на российских биржах. Ранний этап направлял украденные средства через ныне несуществующий Cryptomixer.io и выходил через Cryptex — российскую биржу, санкционированную OFAC в 2024 году.
Последующая волна, выявленная в сентябре 2025 года, показала, что аналитики TRM отследили примерно $7 миллионов украденных средств через Wasabi Wallet. Снятие средств пошло на Audi6 — ещё одну российскую биржу, связанную с киберпреступной деятельностью. Одна из этих бирж получила средства, связанные с LastPass, даже в октябре 2025 года.
Отпечатки блокчейна, обнаруженные до смешивания, в сочетании с разведданными, связанными с кошельками после процесса смешивания, постоянно указывали на российское оперативное управление. Ранние снятия средств из Wasabi происходили в течение нескольких дней после первоначального расхода кошелька. Это говорит о том, что злоумышленники сами выполняли активность CoinJoin (CoinJoin самостоятельно).
Связано: Coinbase арестовал бывшего индийского сотрудника по делу о крупной утечке данных
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
