Fuite de données LastPass 2022 : le cauchemar des détenteurs de cryptomonnaies se poursuit

Les mots de passe volés mènent droit aux portefeuilles numériques.

Quatre ans après la violation massive de LastPass, une vague d'attaques ciblées frappe toujours les utilisateurs de cryptomonnaies. Les pirates, assis sur un trésor de données vieilles de plusieurs années, démontrent une patience d'investisseur à long terme – une vertu rare dans ce secteur habitué aux pumps and dumps.

Le mécanisme d'un hold-up persistant

Pas besoin d'exploits techniques de pointe. L'attaque repose sur une simplicité déconcertante : la réutilisation d'anciens mots de passe maîtres LastPass, aujourd'hui entre de mauvaises mains, pour déverrouiller les coffres-forts où les victimes stockaient aussi leurs seeds phrases et clés privées. Une faille de sécurité humaine, bien plus qu'une faille logicielle.

La lente hémorragie des actifs

Contrairement à un hack d'échange spectaculaire, ces vols sont discrets, méthodiques et étalés dans le temps. Les pirates siphonnent les portefeuilles un à un, transformant la fuite de données initiale en une rente à flux tendu. Une leçon coûteuse sur la pérennité des données dans l'ère numérique – elles ne s'effacent jamais vraiment.

Un rappel brutal des fondamentaux

Cet épisode souligne l'impérieuse nécessité de l'auto-custodie stricte et de l'hygiène numérique absolue. Les gestionnaires de mots de passe centralisés représentent un single point of failure, un risque systémique pour vos actifs décentralisés. La véritable sécurité blockchain commence et se termine hors de la chaîne, loin de tout service cloud.

Alors que le marché cherche son prochain narratif pour faire monter les prix, la sécurité reste le seul fondamental qui ne soit pas sujet à bull run ou bear market. Un domaine où la paranoïa n'est jamais surcotée.

Attaques de vol de cryptomonnaie liées à une faille de sécurité chez LastPass

Lors de la faille de sécurité, LastPass a affirmé que ses coffres-forts étaient chiffrés. Cependant, les utilisateurs dont le mot de passe principal était faible ou réutilisé étaient vulnérables au piratage hors ligne, une pratique qui, selon TRM Labs, se poursuit depuis la fuite. « En fonction de la longueur et de la complexité de votre mot de passe principal, ainsi que du nombre d'itérations, il est conseillé de le réinitialiser », a averti LastPass lors de la divulgation de la faille.

Le lien entre les failles de sécurité de LastPass et les vols de cryptomonnaies a également été confirmé l'an dernier par les services secrets américains, après la saisie de plus de 23 millions de dollars en cryptomonnaies. Ces derniers ont indiqué que les pirates avaient obtenu les clés privées de leurs victimes en déchiffrant des données volées lors d'une faille de sécurité dans un gestionnaire de mots de passe. Les documents judiciaires précisent également qu'aucune preuve n'indique que les appareils des victimes aient été compromis par un logiciel malveillant ou par hameçonnage.

Dans son rapport, TRM Labs établit un lien entre le vol de cryptomonnaies en cours et l'exploitation des coffres-forts chiffrés LastPass dérobés en 2022. Plutôt que de vider immédiatement l'intégralité des portefeuilles après la brèche, les pirates ont procédé par vagues successives, des mois voire des années après l'dent . Le rapport montre également que les attaquants ont progressivement déchiffré les coffres-forts ettraclesdentstockés. De plus, les portefeuilles ont été vidés à l'aide de méthodes de transaction similaires.

TRM Labs a également indiqué que la méthode utilisée lors de la violation de données montrait que les pirates possédaient les clés privées avant les vols. « Le lien établi dans le rapport ne repose pas sur une attribution directe à des comptes LastPass individuels, mais sur la corrélation de l'activité en aval sur la blockchain avec le schéma d'impact connu de la violation de 2022 », a précisé TRM. La plateforme a souligné avoir créé un scénario dans lequel le portefeuille apparaît dans le futur, et non immédiatement après la violation.

TRM Labs met en avant l'utilisation de la fonctionnalité CoinJoin de Wasabi

La plateforme a également indiqué que ses recherches s'appuyaient initialement sur un petit nombre de signalements, dont plusieurs soumis à Chainabuse, où des utilisateursdentidentifié la faille de sécurité de LastPass comme la méthode utilisée par les pirates pour dérober leurs portefeuilles. Les chercheurs ont ensuite approfondi leurs investigations,dentdes comportements similaires lors de transactions en cryptomonnaie dans d'autres cas, et établissant finalement un lien avec la campagne de vol de données.

TRM a également indiqué avoir pu tracles fonds même après que les attaquants les aient mélangés à l'aide de la fonctionnalité CoinJoin du portefeuille Wasabi. CoinJoin est une technique de confidentialité bitcoin qui regroupe toutes les transactions de plusieurs utilisateurs en une seule, rendant plus difficile l'identification des transactions. Cette fonctionnalité masque les transactions sans recourir à un service de mixage traditionnel.

Après avoir vidé les portefeuilles , les pirates convertissent généralement les actifs volés en Bitcoin , les font transiter par Wasabi Wallet et tentent d'effacer leurs trac grâce à cette fonctionnalité. Cependant, TRM a indiqué avoir pu démixer les Bitcoin envoyés via CoinJoin en analysant des caractéristiques comportementales telles que la structure des transactions, leur horaire et les options de configuration du portefeuille. L'entreprise a également pu faire correspondre les dépôts à des schémas de retrait correspondant au vol de cryptomonnaies.

Rejoignez Bybit maintenant et recevez un bonus de 50 $ en quelques minutes