区块链调查公司TRM Labs表示，近期持续的加密货币盗窃事件已被溯源至2022年LastPass数据泄露事件。攻击者在加密保险库被盗数年后清空用户钱包，并通过俄罗斯交易所清洗赃款。

2022年，LastPass披露攻击者通过入侵开发环境侵入其系统，窃取了公司部分源代码和专有技术信息。

尽管保险库经过加密，但使用弱主密码或重复密码的用户仍易遭受离线破解攻击。据信这种破解自数据泄露以来持续进行。

LastPass在披露漏洞时警告称："根据您的主密码长度、复杂度和迭代计数设置，您可能需要重置主密码。"

美国特勤局进一步证实了LastPass数据泄露与加密货币盗窃之间的关联。该机构在2025年查获了超过2300万美元的加密货币，并表示攻击者通过解密从密码管理器泄露中窃取的保险库数据获得了受害者的私钥。

在法庭文件中，探员表示没有证据表明受害者的设备是通过钓鱼或恶意软件入侵的，并认为盗窃行为与失窃的密码保险库有关。

与LastPass漏洞相关的加密货币盗窃

TRM在上周发布的报告中指出，近期持续的加密货币盗窃攻击已被溯源至2022年失窃的加密LastPass密码保险库遭滥用事件。

与漏洞发生后立即清空钱包不同，这些盗窃行为发生在数月或数年之后，呈现出波浪式攻击特征，表明攻击者逐步解密保险库并提取存储的凭证。

受影响钱包均通过类似的交易方式被清空，且未有新攻击手法报告，表明攻击者在盗窃前已掌握私钥。

TRM向BleepingComputer表示："报告中的关联性并非基于对单个LastPass账户的直接归因，而是通过将下游链上活动与2022年漏洞的已知影响模式进行关联分析。这导致钱包清空行为在原漏洞发生相当长时间后才出现，而非立即发生，且呈现明显的波浪式特征。"

TRM透露其调查最初基于少量报告，包括提交至Chainabuse平台的案例，其中用户确认LastPass漏洞是其钱包被盗的途径。

研究人员通过识别其他案例中的加密货币交易行为扩展调查，将这些盗窃事件与LastPass数据窃取活动相关联。

TRM表示其研究最重要的突破是能够追踪通过Wasabi钱包CoinJoin功能混币后的被盗资金。

CoinJoin是一种比特币隐私技术，将多个用户的交易合并为单笔交易，使得追踪资金流向变得困难。Wasabi钱包内置该功能，允许用户自动混合比特币以模糊交易记录，无需依赖混币服务。

攻击者在清空钱包后将赃款转换为比特币，通过Wasabi钱包路由，并尝试使用CoinJoin交易掩盖踪迹。

但TRM表示，通过分析交易结构、时间点和钱包配置选择等行为特征，能够对CoinJoin交易发送的加密货币进行"反混币"追踪。

"TRM分析师未孤立地对单个盗窃事件进行反混币分析，而是将活动作为协同攻击活动整体研究，识别出随时间推移形成的Wasabi存款与取款集群。通过专有的反混币技术，分析师将黑客存款与特定取款集群匹配，这些集群在总价值和时间点上与资金流入高度吻合，统计学上不可能是巧合。

混币前观察到的区块链指纹，结合混币后与钱包关联的情报，持续指向俄罗斯境内的操作控制。混币前后阶段的连续性增强了我们的信心——洗钱活动是由在俄罗斯网络犯罪生态内运作或与之紧密关联的行为者实施的。"

通过将盗窃事件视为协同攻击活动而非独立事件，TRM成功将Wasabi存款集群与通过LastPass漏洞进行加密货币盗窃的取款模式相匹配。

钱包清空后立即发生的取款行为进一步表明，混币活动背后正是窃取资金的同一威胁行为者。

运用该技术，TRM估计在2024年末至2025年初，超过2800万美元的加密货币通过Wasabi钱包被窃取并清洗。另有700万美元与2025年9月后续攻击波次相关。

TRM指出这些资金反复通过相同的俄罗斯关联交易所（包括Cryptex和Audi6）套现，进一步证实这些漏洞背后是同一批威胁行为者。