LastPass: wyciek z 2022 r. przerodził się w wieloletnią falę kradzieży kryptowalut — nowe ustalenia TRM Labs (2024–2025)

Wprowadzenie do problemu / definicja luki

Incydent LastPass z 2022 r. to podręcznikowy przykład „long-tail breach” — naruszenia, którego realne skutki materializują się miesiącami lub latami po exfiltracji danych. W tym przypadku najważniejsze było to, iż napastnicy wynieśli kopie zapasowe zaszyfrowanych sejfów (vault backups). choćby jeżeli zaszyfrowane dane nie są od razu czytelne, przejęcie ich umożliwia offline cracking (łamanie haseł głównych bez kontaktu z usługą), aż do skutku — szczególnie gdy master password jest słabe lub powtarzalne.

TRM Labs pokazuje, iż ta logika zadziałała w praktyce: kampanie „wallet drains” miały pojawiać się falami w 2024–2025 r., czyli długo po samym włamaniu.

W skrócie

• TRM Labs prześledziło ponad 35 mln USD powiązanych z długofalowym „opróżnianiem portfeli” po wycieku vaultów LastPass.
• Mechanizm bazuje na offline łamaniu słabych haseł głównych i przejmowaniu tajemnic przechowywanych w sejfie (np. seed phrase, klucze prywatne).
• TRM wskazuje na ślady prania środków m.in. przez Wasabi Wallet (CoinJoin) oraz „off-rampy” powiązane z rosyjskim ekosystemem cyberprzestępczym (Cryptex, Audi6).
• W tle pojawia się też wątek regulacyjny: brytyjski ICO nałożył na LastPass UK karę £1,228,283 (20 listopada 2025).

Kontekst / historia / powiązania

Z perspektywy użytkownika najważniejsze są dwa fakty z komunikacji LastPass:

1. atakujący uzyskali dostęp do środowisk „nieprodukcyjnych” oraz kopii zapasowych w chmurze (backup storage),
2. a następnie skopiowali dane obejmujące m.in. informacje o kontach i metadane; LastPass podkreślał model „zero knowledge”, ale jednocześnie ostrzegał przed ryzykiem brute-force master password i odszyfrowania sejfów offline.

To właśnie ta druga część — możliwość pracy offline na skradzionych vaultach — jest paliwem dla wieloletnich kampanii, o których pisze TRM.

Analiza techniczna / szczegóły

1) Dlaczego „zaszyfrowany vault” nie kończy tematu?

Szyfrowanie sejfu chroni dane tylko tak dobrze, jak jakość master password i parametry wyprowadzania klucza (key stretching). Gdy napastnik ma kopię vaulta, może:

• testować hasła lokalnie (bez limitów prób i bez MFA),
• automatyzować łamanie słabych haseł w czasie,
• wracać do tego procesu latami, jeżeli wartość potencjalnego „unlocka” jest wysoka (np. kryptowaluty).

2) Co TRM zaobserwowało „na łańcuchu” (on-chain)?

W ustaleniach TRM przewijają się trzy elementy:

• konwersja do BTC i użycie Wasabi Wallet (CoinJoin) w celu utrudnienia śledzenia,
• możliwość „demixingu” i łączenia zachowań/klastrów transakcyjnych mimo CoinJoin,
• finalne „off-rampy” przez podmioty określane jako wysokiego ryzyka (Cryptex, Audi6), a środki powiązane z LastPass miały trafiać do jednego z takich kanałów choćby tak późno jak w październiku 2025.

3) Wątek Cryptex i presja na rosyjską infrastrukturę „cash-out”

TRM odwołuje się m.in. do Cryptex jako elementu pipeline’u prania pieniędzy. Warto pamiętać, iż wątek takich „off-rampów” jest też przedmiotem działań państwowych: Departament Skarbu USA informował o sankcjach m.in. wobec Cryptex w ramach działań przeciw rosyjskim usługom ułatwiającym cyberprzestępczość.

Praktyczne konsekwencje / ryzyko

Dla użytkowników indywidualnych

• Jeśli w sejfie trzymano seed phrase / klucze prywatne / backupy 2FA / „secure notes” z danymi odzyskiwania, to odszyfrowanie vaulta oznacza często nieodwracalną utratę środków.
• MFA nie rozwiązuje problemu, jeżeli atak jest offline — chroni logowanie do usługi, ale nie łamanie lokalnej kopii vaulta.

Dla organizacji

• Ryzyko nie kończy się na „rotacji haseł do systemów” — bo skradziony vault może zawierać: klucze API, certyfikaty, dane do paneli admin, sekrety CI/CD, „notes” z procedurami odzyskiwania.
• Dodatkowo dochodzi aspekt regulacyjny i reputacyjny. ICO w swoim Penalty Notice wskazuje na karę £1,228,283 oraz zarzuty dot. niewystarczających środków technicznych i organizacyjnych w rozpatrywanym okresie.

Rekomendacje operacyjne / co zrobić teraz

Poniżej podejście „zakładamy najgorsze” — szczególnie jeżeli master password mogło być słabe lub używane gdzie indziej.

1) jeżeli używałeś/aś LastPass w 2022 r. i wcześniej

• Zmień master password na długie, unikalne (najlepiej passphrase) i nieużywane nigdzie indziej.
• Zmień hasła do najważniejszych usług (poczta, bank, chmura, giełdy, social media) — zaczynając od tych, które mogły znajdować się w vaultcie.
• Włącz i utrzymuj MFA, ale traktuj je jako warstwę ochrony logowania, nie „lekarstwo” na offline cracking.

2) jeżeli w sejfie były dane kryptowalutowe

• Załóż, iż seed phrase mogło zostać przejęte po odszyfrowaniu vaulta.
• Rozważ migrację środków do nowego portfela z nową frazą seed (nie „ten sam seed w innym UI”).
• Przejrzyj historię transakcji i ustaw monitoring/alerty.

3) Dla firm: minimalny „hardening” po takiej klasie incydentu

• Zrób inwentaryzację: jakie sekrety mogły trafić do vaultów pracowników (API keys, SSH keys, recovery codes).
• Wprowadź zasadę: żadne sekrety produkcyjne w prywatnych managerach haseł — przenieś do dedykowanego rozwiązania klasy secrets manager.
• Wymuś rotację i unieważnienie: klucze API, tokeny długoterminowe, integracje, konta uprzywilejowane.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

To zdarzenie różni się od „klasycznego” wycieku haseł w postaci jawnej:

• Nie dostajesz listy login:hasło „tu i teraz”. Dostajesz zaszyfrowany zasób, który można próbować łamać offline bez presji czasu.
• Realne szkody rosną nieliniowo: im więcej osób ma słabe master password i im dłużej nie zmienia krytycznych sekretów, tym większa „powierzchnia do monetyzacji”.

Podsumowanie / najważniejsze wnioski

• Najgroźniejsza część incydentu LastPass 2022 to nie sam fakt „ktoś ukradł zaszyfrowane dane”, tylko to, iż te dane dało się (i da się) łamać offline.
• TRM opisuje ten mechanizm jako długotrwałą kampanię kradzieży kryptowalut z falami w 2024–2025 r. i łączną wartością śledzoną na poziomie >35 mln USD.
• Ścieżki prania środków wskazują na wykorzystywanie narzędzi zwiększających prywatność (CoinJoin/Wasabi) oraz „off-rampów” kojarzonych z rosyjskim ekosystemem, co wpisuje się w szerszy kontekst sankcji i działań egzekucyjnych wobec takiej infrastruktury.
• Jeśli miałeś/aś w vaultcie cenne sekrety (zwłaszcza seed phrase), najbezpieczniej działać tak, jakby odszyfrowanie mogło już nastąpić: rotacja, migracja, unieważnienie.

Źródła / bibliografia

1. The Hacker News — LastPass 2022 Breach Led to Years-Long Cryptocurrency Thefts, TRM Labs Finds (25.12.2025) (The Hacker News)
2. TRM Labs — TRM Traces Stolen Crypto from 2022 LastPass Breach… (24.12.2025) (TRM Labs)
3. LastPass Blog — 03-01-2023: Security Incident Update and Recommended Actions (01.03.2023) (The LastPass Blog)
4. ICO (UK) — Penalty Notice: LastPass UK Limited (20.11.2025) (ICO)
5. U.S. Department of the Treasury — Treasury Takes Coordinated Actions Against Illicit Russian Virtual Currency Exchanges and Cybercrime Facilitator (26.09.2024) (U.S. Department of the Treasury)