Как данные из взломанных хранилищ превратились в реальные деньги?
Аналитики TRM Labs смогли детально изучить финансовую сторону одной из крупнейших утечек учетных данных за последние годы. Они установили связь между масштабной кражей криптовалюты и взломом данных менеджера паролей LastPass в 2022 году. По их оценкам, общая сумма похищенных цифровых активов превышает 35 миллионов долларов. Значительная часть этих средств в итоге оказалась на высокорисковых российских криптобиржах пишет 24 Канал со ссылкой на Cyber Press.
Смотрите также Рекомендованный Google VPN-сервис оказался вирусом, что ворует диалоги с ChatGPT и Gemini
Начальной точкой стал инцидент 2022 года, когда злоумышленники в рамках двух атак получили доступ к зашифрованным хранилищам примерно 30 миллионов пользователей LastPass. Хотя сами хранилища были защищены мастер-паролями, их массовая загрузка создала отложенную угрозу. В случаях, где пользователи выбрали слабые или легко угадываемые пароли, злоумышленники смогли осуществить офлайн-расшифровку без каких-либо ограничений по времени.
В 2024 и 2025 годах специалисты зафиксировали несколько волн так называемых "wallet drain" – опустошения криптокошельков. Это подтвердило, что доступ к хранилищам продолжал использоваться системно, а не был разовой атакой. Особое внимание аналитиков привлек повторяющийся технический почерк. Похищенные биткоин-ключи импортировались в одинаковое программное обеспечение кошельков, что приводило к идентичным транзакционным подписям, в частности с использованием SegWit.
Активы,, которые не были биткоином, почти сразу конвертировались в биткоин через сервисы мгновенного обмена. После этого средства поступали в Wasabi Wallet – сервиса микширования, ориентированного на повышенную приватность и запутывание транзакционных следов.
По оценкам TRM Labs, только в конце 2024 и в начале 2025 годов через Wasabi было отмыто более 28 миллионов долларов.
Вместо анализа отдельных инцидентов эксперты рассмотрели эту активность как единую скоординированную кампанию. Используя собственные методы "демикширования", они смогли соотнести депозиты с последующими выводами средств. Временные рамки и суммы транзакций оказались слишком согласованными, чтобы быть случайностью. Несмотря на то, что CoinJoin должен был скрыть происхождение средств, поведение операторов до и после микширования оставалось стабильным.
Расследование выявило две ключевые фазы отмывания:
- В первой средства проходили через Cryptomixer.io и впоследствии выводились через Cryptex – российскую биржу, которую OFAC (Управление контроля за иностранными активами США) внесло в санкционный список в 2024 году.
- Вторая волна, зафиксирована в сентябре 2025 года, охватывала около 7 миллионов долларов и завершалась на бирже Audi6, которую также связывают с киберпреступной деятельностью.
Повторяющиеся паттерны, такие как кластерные выводы и "peeling chains", вели к одним и тем же офф-рампам. Это, вместе с ончейн-признаками российского операционного контроля, свидетельствует об организованном характере схемы, а не о случайном использовании отдельных сервисов.
Оф-рамп в мире криптовалют – это сервис, который позволяет "съехать" с криптомира, то есть конвертировать цифровые активы (криптовалюту) обратно в традиционные фиатные деньги (доллары, евро, гривны), чтобы вывести их на банковскую карточку или счет, или обменять на товары и услуги. Это противоположность он-рампу, который позволяет входить в крипту.
История LastPass демонстрирует сразу два важных вывода:
- Во-первых, сервисы микширования теряют эффективность, когда злоумышленники годами полагаются на одинаковую географическую инфраструктуру.
- Во-вторых, российский финансово-криптовалютный сектор продолжает выступать системным посредником для глобального киберпреступного рынка.
Этот случай наглядно показывает, как данные из утечек монетизируются, и почему блокчейн-аналитика становится критически важной для разоблачения таких схем.