Parece que o ataque informático sofrido pela LastPass em 2022 é o problema que se recusa a desaparecer. Três anos depois, novos dados revelam que os hackers continuam a esvaziar carteiras de criptomoedas de vítimas, utilizando as cópias de segurança dos cofres de palavras-passe roubadas durante aquele incidente.
De acordo com uma nova investigação da TRM Labs, uma empresa de análise de blockchain, uma vaga contínua de roubos de ativos digitais foi rastreada diretamente até à violação de segurança que expôs os dados de milhões de utilizadores.
Um ataque em câmara lenta
Para quem não se recorda, em 2022, a LastPass confirmou que atacantes tinham acedido a um ambiente de desenvolvimento e, posteriormente, roubado cópias de segurança das bases de dados dos clientes. Estes cofres encriptados continham não apenas credenciais de login, mas, no caso de muitos utilizadores, chaves privadas de carteiras de criptomoedas e frases de recuperação (seed phrases).
O problema é que, embora os cofres estivessem encriptados, a segurança dependia inteiramente da força da "Master Password" do utilizador. Desde então, os criminosos têm estado a realizar ataques de força bruta offline para decifrar estas palavras-passe.
Ao contrário de um ataque tradicional onde os fundos são drenados imediatamente, este roubo tem ocorrido em "ondas" ao longo dos meses e anos. À medida que os hackers conseguem quebrar a encriptação de um cofre específico, acedem às chaves privadas guardadas e esvaziam as contas das vítimas. Isto explica por que razão carteiras que estavam seguras em 2023 podem ser subitamente esvaziadas em 2025, sem qualquer nova falha de segurança ou interação da vítima (como phishing).
A rota do dinheiro aponta para a Rússia
A investigação da TRM Labs conseguiu "desmisturar" o rasto do dinheiro. Os atacantes têm utilizado a Wasabi Wallet e a sua funcionalidade CoinJoin — uma técnica de privacidade que mistura transações de vários utilizadores — para tentar ocultar a origem dos fundos.
No entanto, através da análise de padrões comportamentais, a TRM Labs conseguiu seguir os ativos roubados mesmo após a mistura. A conclusão é que os fundos estão a ser lavados através de plataformas de câmbio com ligações à Rússia, como a Cryptex e a Audi6. As impressões digitais na blockchain sugerem fortemente que a operação é coordenada por atores dentro, ou intimamente ligados, ao ecossistema de cibercrime russo.
Os valores envolvidos são astronómicos e contribuem para os números negros do cibercrime global. A TRM estima que mais de 28 milhões de dólares em criptomoedas foram roubados e lavados através deste método entre o final de 2024 e o início de 2025. Uma onda adicional de ataques em setembro de 2025 somou mais 7 milhões de dólares a esta fatura.
O Serviço Secreto dos Estados Unidos também corroborou estas ligações, tendo apreendido mais de 23 milhões de dólares em criptomoedas no ano de 2025, afirmando em tribunal que os roubos derivavam da desencriptação dos cofres roubados e não de acessos diretos aos dispositivos das vítimas.
Para os utilizadores que ainda mantêm carteiras de criptomoedas configuradas com chaves que estavam guardadas no cofre da LastPass em 2022, a recomendação é urgente e crítica: devem transferir imediatamente os seus ativos para uma nova carteira gerada de raiz, uma vez que a antiga deve ser considerada permanentemente comprometida.
Nenhum comentário
Seja o primeiro!