coinedition.com
- TRM Labs отслеживает $28 миллионов украденной криптовалюты от взлома LastPass в 2022 году до миксеров.
- Он-чейн-анализ указывает на российскую киберпреступную инфраструктуру и биржи.
- Методы демиксирования показали, что украденный биткоин проходил через Cryptex и Audi6.
Отчёт TRM Labs показывает, что аналитики блокчейн-аналитиков отследили украденные криптовалюты, связанные с утечкой менеджера паролей LastPass в 2022 году. Анализ выявляет он-чейневые закономерности, указывающие на участие российских киберпреступников в операциях по отмыванию, охватывающие 2024 и 2025 годы.
Хакеры взломали LastPass в 2022 году, обнажив зашифрованные резервные копии примерно 30 миллионов хранилищ клиентов, содержащие цифровые учетные данные, приватные ключи и seed-фразы. Хотя для расшифровки хранилища требовались мастер-пароли, злоумышленники скачивали их массово. Это создало многолетнее окно для взлома слабых паролей офлайн и постепенного расхода активов.
Анализ блокчейна выявил скоординированную кампанию по отмыванием средств
Аналитики TRM выявили, что расходы из кошельков продолжаются в течение 2024 и 2025 годов, расширяя влияние утечки далеко за пределы первоначального раскрытия. Анализируя недавние кластеры краж, исследователи отследили украденные средства через смешивание сервисов с двумя высокорискованными российскими биржами, используемыми киберпреступниками как фиатные выходы.
Анализ выявил согласованные он-чейн-сигнатуры при краже. Украденные биткоин-ключи импортировались в одинаковое программное обеспечение кошелька, создавая общие характеристики транзакций, включая использование SegWit и функции замены по комиссии. Активы, не связанные с биткоином, быстро конвертировались в биткоин через сервисы мгновенных свопов, затем переводились на одноразовые адреса и размещались в кошелек Wasabi.
Поток средств хакерами LastPass
TRM оценивает, что в конце 2024 и начале 2025 года было украдено, конвертировано в биткоин и отмыто через Wasabi более 28 миллионов долларов. Вместо того чтобы анализировать отдельные кражи отдельно, исследователи TRM рассматривали эту деятельность как скоординированную кампанию. Используя проприетарные методы демиксирования, аналитики сопоставили вклады хакеров с кластерами снятия средств, чья совокупная стоимость и тайминг тесно совпадали с притоками.
Российская обменная инфраструктура служит фиатным съездом
Анализ деятельности по отмыванию, связанной с LastPass, выявил две отдельные фазы, сходящиеся на российских биржах. Ранний этап направлял украденные средства через ныне несуществующий Cryptomixer.io и выходил через Cryptex — российскую биржу, санкционированную OFAC в 2024 году.
Последующая волна, выявленная в сентябре 2025 года, показала, что аналитики TRM отследили примерно $7 миллионов украденных средств через Wasabi Wallet. Снятие средств пошло на Audi6 — ещё одну российскую биржу, связанную с киберпреступной деятельностью. Одна из этих бирж получила средства, связанные с LastPass, даже в октябре 2025 года.
Отпечатки блокчейна, обнаруженные до смешивания, в сочетании с разведданными, связанными с кошельками после процесса смешивания, постоянно указывали на российское оперативное управление. Ранние снятия средств из Wasabi происходили в течение нескольких дней после первоначального расхода кошелька. Это говорит о том, что злоумышленники сами выполняли активность CoinJoin (CoinJoin самостоятельно).
Связано: Coinbase арестовал бывшего индийского сотрудника по делу о крупной утечке данных