【安全资讯】2022年LastPass数据泄露事件引发持续加密货币盗窃攻击

概要：

近日，区块链调查公司TRM Labs发布报告，将一系列持续发生的加密货币盗窃攻击溯源至2022年知名密码管理服务商LastPass的重大数据泄露事件。攻击者在窃取加密密码库多年后，通过破解弱密码获取私钥，逐步清空用户数字钱包，并通过俄罗斯交易所进行洗钱，揭示了数据泄露事件的长期、隐蔽性危害。

主要内容：

2022年，攻击者通过入侵LastPass的开发环境，窃取了部分源代码和技术信息。随后，黑客利用窃取的凭证入侵了云存储公司GoTo，盗走了存储在平台上的LastPass数据库备份。这些加密的密码库中，部分包含了用户的加密货币钱包私钥和助记词。尽管密码库本身经过加密，但使用弱密码或重复使用主密码的用户，其数据极易遭受离线破解。自泄露事件发生以来，这种破解活动被认为一直在持续进行。

美国特勤局在2025年查获了超过2300万美元的加密货币，并证实攻击者是通过解密从密码管理器泄露事件中窃取的保险库数据来获取受害者私钥的。法院文件显示，没有证据表明受害者的设备是通过网络钓鱼或恶意软件被入侵的，这进一步将盗窃行为与失窃的密码库联系起来。

TRM Labs的报告指出，攻击并非在泄露后立即发生，而是以数月或数年为间隔的波浪式进行，这表明攻击者在逐步解密保险库并提取存储的凭证。被盗资金被转换为比特币后，通过Wasabi Wallet的CoinJoin功能进行混币以掩盖踪迹。然而，TRM通过分析交易结构、时间、钱包配置等行为特征，成功对混币交易进行了“去混合”分析，追踪到了资金流向。

通过将一系列盗窃视为协调行动而非独立事件，TRM能够将Wasabi的存款集群与提款模式相匹配，这些模式与通过LastPass漏洞进行的加密盗窃攻击相符。分析显示，超过2800万美元的加密货币在2024年底至2025年初被盗并洗钱，另有700万美元与2025年9月的一波攻击有关。资金最终通过Cryptex和Audi6等与俄罗斯相关的交易所反复套现，指向了同一批威胁行为者。