Як дані зі зламаних сховищ перетворилися на реальні гроші?

Аналітики TRM Labs змогли детально вивчити фінансову сторону одного з найбільших витоків облікових даних за останні роки. Вони встановили зв’язок між масштабною крадіжкою криптовалюти та зламом даних менеджера паролів LastPass у 2022 році. За їхніми оцінками, загальна сума викрадених цифрових активів перевищує 35 мільйонів доларів. Значна частина цих коштів у підсумку опинилася на високоризикових російських криптобіржах пише 24 Канал з посиланням на Cyber Press.

Початковою точкою став інцидент 2022 року, коли зловмисники в рамках двох атак отримали доступ до зашифрованих сховищ приблизно 30 мільйонів користувачів LastPass. Хоча самі сховища були захищені майстер-паролями, їхнє масове завантаження створило відкладену загрозу. У випадках, де користувачі обрали слабкі або легко вгадувані паролі, зловмисники змогли здійснити офлайн-розшифрування без будь-яких обмежень за часом.

У 2024 та 2025 роках фахівці зафіксували кілька хвиль так званих "wallet drain" – спорожнення криптогаманців. Це підтвердило, що доступ до сховищ продовжував використовуватися системно, а не був разовою атакою. Особливу увагу аналітиків привернув повторюваний технічний почерк. Викрадені біткоїн-ключі імпортувалися в однакове програмне забезпечення гаманців, що призводило до ідентичних транзакційних підписів, зокрема з використанням SegWit.

Активи, що не були біткоїном, майже одразу конвертувалися у біткоїн через сервіси миттєвого обміну. Після цього кошти надходили до Wasabi Wallet – сервісу мікшування, орієнтованого на підвищену приватність і заплутування транзакційних слідів.

За оцінками TRM Labs, лише наприкінці 2024 та на початку 2025 років через Wasabi було відмито понад 28 мільйонів доларів.

Замість аналізу окремих інцидентів експерти розглянули цю активність як єдину скоординовану кампанію. Використовуючи власні методи "демікшування", вони змогли співвіднести депозити з подальшими виведеннями коштів. Часові рамки та суми транзакцій виявилися занадто узгодженими, щоб бути випадковістю. Попри те, що CoinJoin мав приховати походження коштів, поведінка операторів до і після мікшування залишалася стабільною.

Розслідування виявило дві ключові фази відмивання:

У першій кошти проходили через Cryptomixer.io і згодом виводилися через Cryptex – російську біржу, яку OFAC (Управління контролю за іноземними активами США) внесло до санкційного списку у 2024 році.

Друга хвиля, зафіксована у вересні 2025 року, охоплювала близько 7 мільйонів доларів і завершувалася на біржі Audi6, яку також пов’язують із кіберзлочинною діяльністю.

Повторювані патерни, такі як кластерні виведення та "peeling chains", вели до одних і тих самих оф-рампів. Це, разом з ончейн-ознаками російського операційного контролю, свідчить про організований характер схеми, а не про випадкове використання окремих сервісів.

Оф-рамп у світі криптовалют – це сервіс, який дозволяє "з’їхати" з криптосвіту, тобто конвертувати цифрові активи (криптовалюту) назад у традиційні фіатні гроші (долари, євро, гривні), щоб вивести їх на банківську картку чи рахунок, або обміняти на товари та послуги. Це протилежність он-рампу, який дозволяє входити у крипту.

Історія LastPass демонструє одразу два важливі висновки:

По-перше, сервіси мікшування втрачають ефективність, коли зловмисники роками покладаються на однакову географічну інфраструктуру.

По-друге, російський фінансово-криптовалютний сектор і далі виступає системним посередником для глобального кіберзлочинного ринку.

Цей випадок наочно показує, як дані з витоків монетизуються, і чому блокчейн-аналітика стає критично важливою для викриття таких схем.