La firma de investigación de blockchain TRM Labs dice que los continuos robos de criptomonedas se remontan a la violación de LastPass de 2022, y los atacantes vaciaron las billeteras años después de que se robaran las bóvedas cifradas y lavaron las criptomonedas a través de intercambios rusos.
En 2022, Último pase revelado que los atacantes violaron sus sistemas comprometiendo un entorno de desarrollo, robando partes del código fuente de la empresa e información técnica patentada.
En un incidente de seguridad posterior, pero relacionado, los piratas informáticos violó la empresa de almacenamiento en la nube GoTo utilizando credenciales previamente robadas y robó copias de seguridad de la base de datos de LastPass almacenados en la plataforma. Para algunos clientes, estas bóvedas de contraseñas cifradas no sólo contenían credenciales, sino también claves privadas de billetera de criptomonedas y frases iniciales.
Si bien las bóvedas estaban cifradas, los usuarios con contraseñas maestras débiles o reutilizadas eran vulnerables al descifrado fuera de línea, lo que se cree que ha estado en curso desde la violación.
«Dependiendo de la longitud y complejidad de su contraseña maestra y la configuración del recuento de iteraciones, es posible que desee restablecer su contraseña maestra». advirtió a LastPass cuando revelaron la infracción.
El vínculo entre las infracciones de LastPass y los robos de criptomonedas fue corroborado aún más por el Servicio Secreto de EE. UU., que en 2025 Confiscó más de 23 millones de dólares en criptomonedas. y dijo que los atacantes habían obtenido las claves privadas de las víctimas descifrando los datos de la bóveda robados en una violación del administrador de contraseñas.
En presentaciones judicialeslos agentes dijeron que no había evidencia de que los dispositivos de las víctimas hubieran sido comprometidos mediante phishing o malware, y que creían que el robo estaba relacionado con las bóvedas de contraseñas robadas.
Robos de criptomonedas vinculados a la violación de LastPass
En un informe Publicado la semana pasada, TRM dijo que los continuos ataques de robo de criptomonedas se remontan al abuso de las bóvedas de contraseñas cifradas de LastPass robadas en 2022.
En lugar de vaciar la billetera inmediatamente después de una infracción, los robos se produjeron en oleadas meses o años después, lo que ilustra cómo los atacantes descifraron gradualmente las bóvedas y extrajeron las credenciales almacenadas.
Las billeteras afectadas fueron vaciadas utilizando métodos de transacción similares, sin informes de un nuevo ataque, lo que indica que el atacante poseía las claves privadas antes de los robos.
«El vínculo en el informe no se basa en la atribución directa a cuentas individuales de LastPass, sino en la correlación de la actividad posterior en la cadena con el patrón de impacto conocido de la infracción de 2022», dijo TRM a BleepingComputer.
«Eso creó un escenario en el que los drenajes de carteras se producirían mucho después de la infracción original, en lugar de inmediatamente, y en distintas oleadas».
TRM le dijo a BleepingComputer que su investigación se basó inicialmente en una pequeña cantidad de informes, incluidos envíos a Chainabuse, en los que los usuarios identificaron la violación de LastPass como el método para robar sus billeteras.
Los investigadores ampliaron su investigación identificando el comportamiento de las transacciones de criptomonedas en otros casos, vinculando los robos con la campaña de robo de datos de LastPass.
TRM le dijo a BleepingComputer que la parte más importante de su investigación fue la capacidad de rastrear fondos robados incluso después de que se mezclaron utilizando la función CoinJoin de Wasabi Wallet.
CoinJoin es una técnica de privacidad de Bitcoin que combina transacciones de múltiples usuarios en una sola transacción, lo que hace que sea más difícil determinar qué entradas corresponden a qué salidas.
Wasabi Wallet incluye CoinJoin como función incorporada, lo que permite a los usuarios mezclar automáticamente sus Bitcoin con otros para ofuscar las transacciones sin depender de un servicio de mezcla.
Después de vaciar las billeteras, los atacantes convirtieron las criptomonedas robadas en Bitcoin, las enrutaron a través de Wasabi Wallet e intentaron ocultar sus rastros mediante transacciones CoinJoin.
Sin embargo, TRM dice que pudo «separar» la criptomoneda enviada a través de transacciones CoinJoin analizando características de comportamiento, como la estructura de la transacción, el tiempo y las opciones de configuración de la billetera.
«En lugar de intentar desmezclar los robos individuales de forma aislada, los analistas de TRM analizaron la actividad como una campaña coordinada, identificando grupos de depósitos y retiros de Wasabi a lo largo del tiempo. Utilizando técnicas de desmezcla patentadas, los analistas relacionaron los depósitos de los piratas informáticos con un grupo de retiros específico cuyo valor agregado y momento se alineaban estrechamente con las entradas, una alineación estadísticamente improbable que sea una coincidencia.
Las huellas digitales de blockchain observadas antes de la mezcla, combinadas con la inteligencia asociada con las billeteras después del proceso de mezcla, apuntaron consistentemente a un control operativo con sede en Rusia. La continuidad entre las etapas previas y posteriores a la mezcla fortalece la confianza en que la actividad de lavado fue realizada por actores que operan dentro o estrechamente vinculados al ecosistema de cibercrimen ruso».
❖ Laboratorios TRM
Al tratar los robos como una campaña coordinada en lugar de compromisos individuales, TRM pudo hacer coincidir grupos de depósitos de Wasabi con patrones de retiro que coincidían con los ataques de robo de criptomonedas a través de la violación de LastPass.
Los retiros tempranos después del drenaje de la billetera indican además que los mismos actores de amenazas que robaron los fondos estaban detrás de la actividad de mezcla.
Utilizando esta técnica, TRM estima que se robaron y lavaron más de 28 millones de dólares en criptomonedas a través de Wasabi Wallet a finales de 2024 y principios de 2025. Se vincularon 7 millones de dólares adicionales a una ola posterior de ataques en septiembre de 2025.
TRM dice que los fondos se retiraron repetidamente a través de los mismos intercambios vinculados a Rusia, incluidos Cryptex y Audi6, lo que indica además que los mismos actores de amenazas estaban detrás de estas infracciones.
Ya sea que esté limpiando claves antiguas o estableciendo barreras para el código generado por IA, esta guía ayuda a su equipo a construir de forma segura desde el principio.
Obtenga la hoja de trucos y elimine las conjeturas en la gestión de secretos.
