Roubo de Criptomoedas: O Legado Tóxico da Violação de Dados da LastPass em 2022
O gerenciador de senhas que deveria proteger acabou abrindo a porta para saques milionários. Quatro anos depois, o ataque à LastPass ainda assombra a criptoeconomia.
O que realmente aconteceu?
Em 2022, hackers invadiram os sistemas da LastPass. Não roubaram senhas diretamente, mas levaram algo quase tão valioso: dados de backup criptografados e 'vaults' de clientes. Esses cofres digitais, uma vez quebrados, revelaram as chaves mestras para carteiras de criptomoedas de milhares de usuários.
O modus operandi da pilhagem
Os criminosos não agiram imediatamente. Analisaram os dados roubados, identificaram alvos de alto valor no ecossistema cripto e esperaram. Meses depois, iniciaram uma onda coordenada de drenagens de carteiras. Vítimas acordaram com saldos zerados – ativos movidos para mixers e exchanges offshore antes que qualquer bloqueio fosse possível.
O paradoxo da segurança cripto
O caso expõe uma ironia brutal: a ferramenta adotada para fortalecer a segurança tornou-se o ponto único de falha. A conveniência de um cofre centralizado colidiu com a filosofia descentralizada das criptomoedas. Uma senha mestra comprometida significa a perda de tudo – um risco que os early adopters costumavam mitigar com métodos analógicos, como anotações em papel guardadas em cofres.
Lições caras para 2026
O setor aprendeu da pior forma. A demanda por hardware wallets disparou. Protocolos de herança digital e multisig ganharam tração. A narrativa de 'auto-custódia' foi redefinida, enfatizando não apenas a posse, mas a robustez da gestão das chaves privadas. A mentalidade mudou de 'qual senha usar' para 'onde e como fragmentar minha seed phrase'.
Um lembrete de que na corrida pelo yield e pelos ATHs, o básico – a guarda das chaves – ainda é o alicerce. E que, às vezes, a maior ameaça não está em um smart contract explorado, mas em um arquivo de texto em um servidor comprometido. Afinal, na finança digital, a ganância por conveniência muitas vezes supera o medo da perda – até o momento em que o saldo vira zero.
Ataques de roubo de criptomoedas ligados à violação de segurança do LastPass
Durante a violação de segurança, a LastPass alegou que seus cofres estavam criptografados. No entanto, usuários com senhas mestras fracas ou reutilizadas estavam vulneráveis a ataques offline, que a TRM Labs acredita estarem ocorrendo desde a violação. "Dependendo do comprimento e da complexidade da sua senha mestra e da configuração de número de iterações, talvez seja necessário redefini-la", alertou a LastPass ao divulgar a violação.
A ligação entre as violações de segurança do LastPass e os roubos de criptomoedas também foi confirmada pelo Serviço Secreto dos Estados Unidos no ano passado, após a agência apreender mais de US$ 23 milhões em criptomoedas e afirmar que os atacantes obtiveram as chaves privadas de suas vítimas descriptografando dados de cofres roubados em uma violação de um gerenciador de senhas. Documentos judiciais também mencionaram que não havia evidências de que os dispositivos das vítimas tivessem sido comprometidos por malware ou phishing.
Em seu relatório, a TRM Labs relacionou o roubo contínuo de criptomoedas ao abuso dos cofres criptografados do LastPass, roubados em 2022. Em vez de os hackers agirem rapidamente para esvaziar todas as carteiras após a violação, os roubos foram realizados em ondas, meses ou anos após odent . O relatório também mostra que os invasores foram descriptografando gradualmente os cofres etracasdentarmazenadas. Além disso, as carteiras foram esvaziadas usando métodos de transação semelhantes.
A TRM Labs também mencionou que o método usado durante a violação mostrou que os hackers possuíam as chaves privadas antes dos roubos. "A ligação no relatório não se baseia na atribuição direta a contas individuais do LastPass, mas na correlação da atividade subsequente na blockchain com o padrão de impacto conhecido da violação de 2022", afirmou a TRM. A plataforma observou que criou um cenário em que a carteira é roubada no futuro, em vez de imediatamente após a violação.
A TRM Labs destaca o uso do recurso CoinJoin do Wasabi
A plataforma também mencionou que sua pesquisa foi inicialmente baseada em um pequeno número de relatos, incluindo várias denúncias feitas à Chainabuse, onde os usuáriosdenta violação do LastPass como o método usado pelos hackers para roubar suas carteiras. Os pesquisadores ampliaram a investigação,dento comportamento de transações com criptomoedas em outros casos, até finalmente vinculá-lo à campanha de roubo de dados.
A TRM também acrescentou que conseguiu tracos fundos mesmo depois que os atacantes os misturaram usando o recurso CoinJoin da carteira Wasabi. O CoinJoin é uma técnica de privacidade Bitcoin que inclui todas as transações de vários usuários em uma única transação, dificultando a determinação de qual entrada corresponde a qual saída. O recurso ofusca as transações sem usar um serviço de mistura tradicional.
Após esvaziar as carteiras , os hackers geralmente convertem os ativos roubados em Bitcoin , encaminham-nos através da Wasabi Wallet e tentam ocultar seus trac utilizando esse recurso. No entanto, a TRM mencionou que conseguiu desvincular o Bitcoin enviado usando o recurso CoinJoin, analisando características comportamentais, como estrutura da transação, horário e configurações da carteira. Também foi possível identificar padrões de depósitos e saques que correspondiam ao roubo de criptomoedas.
Cadastre-se na Bybit agora e ganhe um bônus de US$ 50 em minutos
