Последствия громкого взлома LastPass в 2022 году до сих пор остаются ощутимыми для владельцев криптовалюты. По данным аналитиков TRM Labs, украденные тогда зашифрованные резервные копии хранилищ позволяют злоумышленникам и сегодня взламывать слабые мастер-пароли, получать доступ к приватным ключам и выводить цифровые активы на подконтрольные кошельки.
Как взлом LastPass превратился в долговременную угрозу безопасности
Инцидент 2022 года начался с компрометации домашнего компьютера сотрудника LastPass. Через этот доступ атакующие смогли похитить набор внутренних данных, включая зашифрованные резервные копии пользовательских хранилищ (vaults). В этих хранилищах, помимо логинов и паролей, нередко находились приватные ключи от криптокошельков, seed-фразы и данные доступа к биржам.
LastPass использует модель, при которой содержимое хранилища шифруется на стороне клиента и защищается мастер-паролем. Провайдер сервиса технически не знает этот пароль и не может расшифровать данные. Однако такой подход означает, что любой, кто завладел зашифрованным файлом vault, может подбирать мастер-пароль офлайн, не сталкиваясь с лимитами по попыткам и блокировками.
Офлайн-брутфорс: почему слабый мастер-пароль — критическая уязвимость
TRM Labs подтверждает, что злоумышленники именно так и действовали: они годами проводили офлайн-брутфорс мастер-паролей к украденным резервным копиям. В отличие от онлайн-авторизации, где срабатывают механизмы защиты (CAPTCHA, блокировка аккаунта, MFA), в офлайн-сценарии атакующий может перебирать варианты с практически неограниченной скоростью, упираясь только в вычислительные мощности.
Любое хранилище, защищенное коротким или предсказуемым мастер-паролем (простые слова, даты, паттерны клавиатуры), со временем становится доступным для расшифровки. Исследователи отмечают, что взлом LastPass превратился в «многолетнее окно возможностей» для атакующих: пользователи не пересматривали свои пароли, не усиливали настройки защиты, и кампания краж продолжалась вплоть до конца 2025 года.
Кражи криптовалюты и связь с русскоязычными киберпреступниками
По оценкам TRM Labs, им удалось отследить более 35 млн долларов похищенных цифровых активов, связанных с утечкой LastPass. Около 28 млн долларов были конвертированы в биткоин и отмыты через Wasabi Wallet в период с конца 2024-го по начало 2025 года. Еще порядка 7 млн долларов относятся к новой волне атак, зафиксированной в сентябре 2025 года.
Блокчейн-аналитики связывают активность с русскоязычной киберпреступной экосистемой. Об этом говорят два основных фактора. Во-первых, в цепочке отмывания используются сервисы и биржи, которые ранее уже фигурировали в контексте русскоязычных группировок. Во-вторых, наблюдается устойчивый набор криптокошельков, взаимодействующих с миксерами до и после процессов смешивания и вывода средств, что указывает на общую операционную инфраструктуру.
По данным TRM Labs, украденные активы проходили через сервис Cryptomixer[.]io, после чего часть средств выводилась через биржи Cryptex и Audia6. При этом в сентябре 2024 года Министерство финансов США включило Cryptex в санкционные списки за предполагаемое содействие отмыванию криптовалюты и фиатных средств, что усиливает подозрения в его участии в криминальных схемах.
Почему пользователи LastPass остались уязвимы спустя годы
Ключевая причина длительной успешности атак — человеческий фактор. Множество пользователей, даже узнав об инциденте, не сменили мастер-пароль и не пересмотрели практику хранения критически важных секретов (таких как seed-фразы) в менеджере паролей. Нередко люди воспринимают «зашифровано» как синоним «абсолютно безопасно», игнорируя качество исходного пароля.
Безопасность хранилища определяется не только алгоритмом шифрования (например, AES-256), но и силой мастер-пароля, а также настройками функции выработки ключа (KDF), такой как PBKDF2 или Argon2. Низкое число итераций и короткий пароль делает офлайн-брутфорс на порядки быстрее. В условиях роста доступности GPU и облачных вычислений даже относительно сложные, но короткие комбинации уже не обеспечивают достаточный запас прочности.
Как защитить пароли и криптокошельки после инцидентов вроде взлома LastPass
Усиление мастер-пароля и настроек менеджера паролей
Пользователям менеджеров паролей рекомендуется:
– использовать уникальный, длинный мастер-пароль, предпочтительно в виде парольной фразы не короче 14–16 символов;
– убедиться, что в настройках включена современная KDF с высоким числом итераций (PBKDF2, Argon2 и т.п.);
– включить многофакторную аутентификацию (MFA) везде, где это возможно;
– при любых сообщениях о компрометации сервиса немедленно сменить мастер-пароль и обновить важные учетные данные.
Безопасное хранение seed-фраз и приватных ключей
Seed-фразы и приватные ключи криптокошельков лучше рассматривать как отдельный класс секретов с повышенными требованиями защиты. Практики, которые уменьшают риск:
– по возможности не хранить seed-фразы в облачных менеджерах паролей или почте;
– использовать аппаратные кошельки и офлайн-хранение ключей;
– создавать резервные копии seed-фраз на физических носителях (бумага, металл) и хранить их в надежных местах;
– регулярно мониторить свои адреса в блокчейне и включать уведомления о транзакциях на биржах и кошельках.
История с утечкой LastPass наглядно демонстрирует, что одна компрометация может приводить к многолетним целенаправленным атакам, если злоумышленники получают доступ к зашифрованным данным и могут спокойно подбирать к ним ключи. Пересмотр качества мастер-паролей, миграция на более устойчивые механизмы защиты и бережное отношение к seed-фразам сегодня становятся не просто «хорошей практикой», а необходимым условием сохранности цифровых активов. Имеет смысл уже сейчас провести ревизию своих паролей, настроек менеджера и способов хранения криптовалюты, не дожидаясь следующего громкого инцидента.
