Laut dem On-Chain-Detektiv ZachXBT haben etwa 25 Kryptowährungsbenutzer, die den bekannten Passwort-Manager LastPass verwendeten, am 25. Oktober mehr als 4 Millionen US-Dollar an digitalen Vermögenswerten verloren.
ZachXBT hat in Zusammenarbeit mit seinem Forscherkollegen Tayvano den Exploit bis Dezember 2022 zurückverfolgt, als LastPass eine Sicherheitsverletzung bestätigte.
4,4 Millionen US-Dollar von LastPass-Kunden gestohlen
Damals sagte LastPass, Hacker hätten Daten aus dem Tresor seiner Kunden gesichert. Dazu gehörten Informationen zu Website-Benutzernamen und Passwörtern, sichere Notizen und ausgefüllte Formulardaten.
Seitdem haben böswillige Akteure die Wallets von Kryptowährungsbenutzern geleert, die möglicherweise ihre Startphrasen auf der Plattform gespeichert haben. Schätzungen zufolge wurden seit Dezember mehr als 150 Opfern mehr als 35 Millionen US-Dollar gestohlen.
Ein Beitrag von Tayvano vom 27. Oktober enthüllte, dass der jüngste Exploit rund 80 Kryptowährungsadressen dieser 25 Opfer betraf. Daraus resultierte ein Verlust von 4,4 Millionen Dollar.
Opfer des LastPass-Hacks. Brunnen; ZachXBT
„Die meisten, wenn nicht alle Opfer sind langjährige LastPass-Benutzer und/oder bestätigen, dass sie ihre Schlüssel/Seeds auf LastPass gespeichert haben“, sagte Tayvano.
Sicherheitsexperten beraten zu nächsten Maßnahmen
Mehrere Krypto-Sicherheitsexperten haben LastPass-Benutzern Ratschläge gegeben, wie sie weitere durch das Ereignis entstehende Verluste abmildern können.
Tayvano sagte, Benutzer, deren Brieftaschen geleert wurden, sollten „sich sofort mit uns in Verbindung setzen und einen IC3 einreichen, falls Sie dies noch nicht getan haben“. Das IC3, kurz für Internet Crime Complaint Center, ist eine zentrale Stelle zur Meldung von Cyberkriminalität.
In einem separaten Beitrag vom 22. Oktober auf
Aus diesem Grund forderte Tayvano die Community auf, „Ihren wertvollsten/ältesten Geheimnissen Priorität einzuräumen und Vermögenswerte noch heute zu migrieren“. In der Zwischenzeit empfiehlt ZachXBT Ihnen dringend:
„Wenn Sie glauben, dass Sie Ihre Startphrase oder Schlüssel jemals in LastPass gespeichert haben, migrieren Sie Ihre Krypto-Assets sofort.“
LastPass empfahl seinen Benutzern außerdem, ihr Master-Passwort niemals auf anderen Websites wiederzuverwenden und das Risiko zu minimieren, indem sie die von ihnen gespeicherten Website-Passwörter ändern.
