Ваша лень — их пассивный доход на $35 млн. Старая утечка LastPass до сих пор обнуляет криптокошельки
Слабый мастер-пароль в 2022-м может стоить денег в 2025-м — и это уже не теория, а повторяющийся сценарий.
Взлом LastPass, который случился ещё в 2022 году, продолжает приносить преступникам деньги спустя годы. Последний ончейн-анализ TRM Labs выявил новые подробности криминальной инфраструктуры. Тогда атакующие получили доступ к резервным копиям примерно 30 миллионов пользовательских «хранилищ» — зашифрованных контейнеров с самыми чувствительными данными, включая приватные ключи и seed-фразы от криптокошельков.
Хранилища нельзя было просто так «прочитать» без мастер-пароля, но сами файлы злоумышленники скачали массово, и это превратило одну утечку в долгую игру: любые слабые мастер-пароли можно пытаться подбирать офлайн месяцами и годами, тихо вскрывая чужие данные и вычищая активы.
Согласно отчету TRM, новые волны «слива» кошельков фиксировались весь 2024 год и продолжились в 2025-м, а влияние инцидента оказалось куда шире, чем в момент первого раскрытия. Аналитики взяли свежий кластер таких краж и проследили путь украденных средств через миксеры вплоть до двух высокорисковых бирж, которые часто используются киберпреступниками как точки вывода в фиат. По данным TRM, одна из таких площадок получала средства, связанные с LastPass, даже в октябре.
В отчёте подчёркивается, что речь не о «красивой догадке», а о совокупности признаков, которые складываются в устойчивую картину. Во-первых, украденные средства многократно проходили через известные «офф-рампы» (off-ramp), исторически используемые злоумышленниками. Во-вторых, данные по кошелькам, которые взаимодействовали с миксерами как до, так и после «перемешивания», указывали на непрерывность контроля — то есть похоже, что это одна и та же группа, а не случайные пользователи, которые потом подобрали «грязные» монеты. При этом TRM отмечает: окончательно приписать сам исходный взлом конкретным исполнителям пока нельзя.
Ключевую роль в расследовании сыграло «демикширование» — анализ CoinJoin-активности на уровне кластеров, который помогает снова связать входы и выходы миксера, когда те действуют не хаотично, а по повторяющемуся сценарию. TRM описывает узнаваемую подпись: украденные биткоин-ключи импортировались в одно и то же ПО для кошельков, что давало общие технические черты транзакций, вроде SegWit и Replace-by-Fee. Альткоины быстро конвертировали в биткоин через сервисы мгновенного обмена, затем деньги уходили на одноразовые адреса и отправлялись в Wasabi Wallet. По оценке TRM, только в конце 2024 года и в начале 2025-го таким способом было украдено, переведено в BTC и отмыто через Wasabi свыше 28 млн долларов.
Вместо того чтобы рассматривать каждую кражу отдельно, аналитики трактовали происходящее как координированную кампанию: они выделяли группы депозитов и выводов Wasabi во времени и сопоставляли их так, чтобы совпадали суммарные объёмы и тайминг — по их словам, такое совпадение статистически маловероятно как случайность. Ранние выводы из Wasabi происходили уже через несколько дней после первых «дренов», что намекает: CoinJoin на старте делали сами атакующие, а не «следующие владельцы» монет.
Отдельным усиливающим сигналом TRM называет вывод через площадки в двух разных фазах. В ранний период после первоначальной эксплуатации средства гоняли через уже закрытый сервис Cryptomixer.io и выводили через Cryptex — биржу, которая фигурирует как высокорисковая и использовалась киберпреступниками как фиатный выход. Во второй волне, которую TRM связывает с сентябрём 2025 года, аналитики проследили около 7 млн долларов, прошедших через Wasabi, а затем ушедших на биржу Audi6. В сумме TRM утверждает, что отследила более 35 млн долларов, и подчёркивает, что это, вероятно, лишь часть общей картины.
Специалисты заключают: миксеры сами по себе не гарантируют «исчезновение следов», если злоумышленники годами пользуются одной и той же инфраструктурой и привычными «географическими» точками вывода. А у истории LastPass есть ещё один болезненный хвост — многие пользователи так и не усилили мастер-пароли и не «пересобрали» безопасность хранилищ, поэтому у атакующих остаётся длинное окно, чтобы спокойно подбирать слабые пароли и продолжать выкачивать активы даже спустя 3 года после взлома.