Согласно углубленному анализу, опубликованному блокчейн-аналитической компанией TRM Labs, скоординированная группа российских киберпреступников предположительно ответственна за отмывание более 35 миллионов долларов США в криптовалюте. Эти средства систематически изымались у пользователей LastPass после нашумевшего взлома системы, произошедшего в 2022 году.
В отчете подчеркивается, что атака была не единичным случаем, а многолетней кампанией по опустошению кошельков. Несмотря на время, прошедшее с момента первого взлома, исследователи подтвердили, что злоумышленники продолжали выводить средства из взломанных "хранилищ" до конца 2025 года.
Денежный след: от миксеров до российских платформ
Технический анализ TRM Labs раскрыл сложную схему отмывания денег. Преступники действовали по четкому протоколу: сначала не биткоин-активы конвертировались в биткоин через сервисы мгновенного обмена. Затем средства поступали в сервисы-микшеры, такие как Wasabi Wallet и CoinJoin.
Эти инструменты предназначены для "смешивания" транзакций разных пользователей, что теоретически делает невозможным отслеживание происхождения и конечного назначения средств. Однако в данном случае технология конфиденциальности показала свои пределы.
Поворотный момент в расследовании: "De-mixing"
Аналитики TRM Labs смогли провести операцию "de-mixing", расшифровав движения с помощью так называемого "анализа поведенческой непрерывности". Эксперты выявили "постоянную подпись на цепи", которая позволила им связать различные кражи с одной организованной группой.
Отслеживая конкретные отпечатки пальцев - например, как программное обеспечение кошелька импортирует приватные ключи, - следователи "распутали" процесс смешивания. Это позволило проследить поток денег до их окончательного размещения на биржах, расположенных в России.
Незаконные инфраструктуры и международные санкции
Похищенные деньги попадали на печально известные международным властям платформы. Около 7 миллионов долларов были отслежены на Audi6, обменном сервисе, работающем в российской киберпреступной экосистеме. Еще одна значительная часть средств прошла через Cryptex - биржу, на которую в настоящее время наложены санкции Управления по контролю за иностранными активами США (OFAC) за ее роль в содействии незаконным операциям.
Анализ деятельности по отмыванию денег, связанной с LastPass, выявил два разных этапа, которые оба проходили на российских биржах. На начальном этапе, после первоначальной эксплуатации, похищенные средства направлялись через ныне не существующую Cryptomixer.io и конвертировались в фиатную валюту через Cryptex, российскую биржу, на которую OFAC наложило санкции в 2024 году, как утверждает TRM в отчете.
TRM Team
В докладе отмечается, что кошельки, взаимодействовавшие со смесителями, демонстрировали "оперативные связи" с Россией как до, так и после процесса отмывания. Эта деталь позволяет предположить, что хакеры не просто использовали местную инфраструктуру, а действовали непосредственно из региона.
Сигнал тревоги для глобальной безопасности
Эта история подчеркивает центральную роль российских криптоплатформ в поддержке киберпреступности в глобальном масштабе. Предоставляя ликвидность и пути выхода (off-ramps) для украденных цифровых активов, эти биржи позволяют преступным группам монетизировать утечки данных, уклоняясь от международных правоохранительных органов.
Для пользователей LastPass и всего криптовалютного сообщества очевиден вывод: прошлые уязвимости могут порождать угрозы, которые сохраняются годами, что делает необходимым постоянную бдительность и проактивные меры безопасности.
