Розслідувач блокчейну ZachXBT виявив, що зловмисники, відомі як «зловмисник LastPass», вкрали приблизно 5.36 мільйона доларів у криптовалютах. У дописі 17 грудня на своєму каналі Telegram ZachXBT заявив, що кошти були обміняні на ETH та переказані на різні миттєві біржі з Ethereum на Bitcoin.
Цей експлойт бере початок з порушення безпеки в грудні 2022 року, коли LastPass повідомила, що зловмисники отримали доступ до архівних резервних копій зашифрованих даних сховища, збережених на сторонній хмарній платформі. На той час LastPass, популярний менеджер паролів, попереджав, що порушення викрило дані користувачів, включаючи імена користувачів, паролі та безпечні нотатки.
Однак LastPass запевнила користувачів, що переборювання майстер-паролів буде надзвичайно складним через сильні протоколи шифрування. Незважаючи на цю заяву, нещодавні атаки показали, що зловмисники систематично націлювались на користувачів, які зберігали свої приватні ключі або фрази для відновлення в своїх сховищах LastPass.
Альянс безпеки (SEAL), команда експертів з кібербезпеки, повідомила, що втрати криптовалюти, пов'язані з порушенням, наразі перевищили 250 мільйонів доларів станом на травень 2024 року. За даними SEAL, ці атаки можна було б запобігти, оскільки багато жертв, незважаючи на обережність, ненавмисно поставили свої цифрові активи під загрозу, покладаючись на централізоване зберігання приватних ключів.
Враховуючи останню хвилю атак, SEAL заявив: «Не будьте частиною статистики. Якщо ви використовували LastPass у минулому і вважаєте, що є ймовірність, що ви зберігали свій приватний ключ або фразу для відновлення у своєму сховищі, знайдіть час і перемістіть всі свої токени (і) передайте право власності на будь-які контракти/мульти-сигнали/тощо».
Експерти з безпеки зазначили, що цей інцидент підкреслює небезпеки довіряти менеджерам паролів з чутливими даними, пов'язаними з криптовалютою.
Щоб зменшити подальші втрати, власники криптовалюти повинні негайно захистити свої активи та зменшити вплив подібних вразливостей.
Джерело
Джерело
