-
TRM ติดตามการรั่วไหลของกระเป๋าเงินที่เชื่อมโยงกับ LastPass ไปยังแพลตฟอร์มแลกเปลี่ยนรัสเซียที่มีความเสี่ยงสูง แสดงให้เห็นถึงการฟอกเงินเป็นกลุ่มและการควบคุมโดยอาชญากรไซเบอร์
-
กว่า $28M ในคริปโตเคอร์เรนซีเคลื่อนย้ายผ่าน Wasabi Wallet โดยใช้รูปแบบ SegWit และ RBF เผยให้เห็นลายเซ็นของแฮกเกอร์ที่สม่ำเสมอ
-
ตัวผสม (Mixers) ล้มเหลวในการซ่อนกิจกรรมอย่างสมบูรณ์; การใช้จุดออก (off-ramps) ซ้ำ ๆ และรูปแบบทางภูมิศาสตร์เปิดเผยโครงสร้างพื้นฐานอาชญากรรมไซเบอร์รัสเซียที่เป็นระบบ
การละเมิดข้อมูล LastPass ครั้งใหญ่ในปี 2022 ยังคงส่งผลกระทบต่อผู้ใช้ทั่วโลก เน้นความเสี่ยงบนเชนที่สำคัญ Justin Sun ผู้ก่อตั้ง Tron ทวีตว่า “คุ้มค่าที่จะอ่าน TRMLabs ติดตามการรั่วไหลของกระเป๋าเงินล่าสุดที่เชื่อมโยงกับการละเมิด LastPass ปี 2022 และแสดงให้เห็นว่ากองทุนเคลื่อนผ่านตัวผสมและจุดออกอย่างไร”
ตามรายงานของ TRM การละเมิดข้อมูลเปิดเผยการสำรองข้อมูลของกระเป๋าเงินลูกค้าประมาณ 30 ล้านใบที่มีข้อมูลรับรองที่ละเอียดอ่อน รวมถึงกุญแจส่วนตัวของคริปโต แฮกเกอร์ดาวน์โหลดกระเป๋าเงินที่เข้ารหัสเป็นจำนวนมาก สร้างความเสี่ยงระยะยาวให้กับผู้ใช้ที่รหัสผ่านหลักอ่อนแอ กว่าห้าสิบล้านคนอาจเผชิญกับการไหลของสินทรัพย์ทีละน้อยหลายปีหลังจากการแฮกครั้งแรก
นักวิเคราะห์ของ TRM ติดตามการรั่วไหลของกระเป๋าเงินล่าสุดผ่านตัวผสมและเข้าสู่แพลตฟอร์มแลกเปลี่ยนรัสเซียที่มีความเสี่ยงสูง โดยหนึ่งในแพลตฟอร์มได้รับกองทุนที่เชื่อมโยงกับ LastPass เมื่อเร็ว ๆ นี้ในเดือนตุลาคม 2025 บริษัทเน้นการโต้ตอบซ้ำ ๆ กับโครงสร้างพื้นฐานที่เกี่ยวข้องกับรัสเซียและการควบคุมที่สม่ำเสมอในกิจกรรมก่อนและหลังการผสม
ดังนั้น TRM จึงประเมินว่ามีการมีส่วนร่วมของอาชญากรไซเบอร์รัสเซียในกระบวนการฟอกเงินเหล่านี้ “ผลการค้นพบเหล่านี้ให้ภาพบนเชนที่ชัดเจนว่าเงินที่ถูกขโมยไปนั้นถูกเคลื่อนย้ายและสร้างรายได้อย่างไร” TRM กล่าว พร้อมเน้นย้ำถึงขนาดของภัยคุกคาม
การแยกตัวของ Demixing เผยเส้นทางการไหลของกองทุนที่ถูกขโมย
TRM ระบุว่ามีลายเซ็นบนเชนที่สม่ำเสมอในทุกกรณีการโจรกรรม รวมถึงการใช้ SegWit และธุรกรรม Replace-by-Fee (RBF) สินทรัพย์ที่ไม่ใช่ Bitcoin ถูกแปลงเป็น Bitcoin อย่างรวดเร็วผ่านการแลกเปลี่ยนทันที ก่อนเข้าสู่ Wasabi Wallet
นักวิเคราะห์ประมาณการว่ามีคริปโตเคอร์เรนซีมูลค่ากว่า 28 ล้านดอลลาร์สหรัฐ ถูกขโมยและฟอกผ่าน Wasabi ระหว่างปลายปี 2024 ถึงต้นปี 2025 โดยวิเคราะห์กลุ่มของการฝากและถอนเงินเป็นแคมเปญที่ประสานงานกัน แสดงให้เห็นความต่อเนื่องในกระบวนการฟอกเงิน
“การถอน Wasabi ในช่วงไม่กี่วันหลังจากการรั่วไหลของกระเป๋าเงินครั้งแรก ชี้ให้เห็นว่าผู้โจมตีเองเป็นผู้รับผิดชอบ” รายงานระบุ
แพลตฟอร์มแลกเปลี่ยนรัสเซียเป็นจุดออก (off-ramps) ที่ต่อเนื่อง
กองทุนที่ถูกขโมยผ่านแพลตฟอร์มแลกเปลี่ยนรัสเซีย รวมถึง Cryptomixer.io ที่ปิดตัวไปแล้วและ Audi6 ซึ่งเสริมสร้างความต่อเนื่องของเครือข่าย การใช้จุดออกเหล่านี้ซ้ำ ๆ ชี้ให้เห็นโครงสร้างพื้นฐานอาชญากรรมไซเบอร์รัสเซียที่เป็นระบบ
ผลการค้นของ TRM เน้นว่าตัวผสม (Mixers) ไม่สามารถซ่อนกิจกรรมผิดกฎหมายได้อย่างสมบูรณ์ เนื่องจากรูปแบบทางภูมิศาสตร์และการดำเนินงานเปิดเผยการควบคุมของผู้โจมตี นอกจากนี้ แพลตฟอร์มเหล่านี้ยังคงเป็นศูนย์กลางในการฟอกเงินสำหรับกลุ่มเรียกค่าไถ่ (ransomware) และกลุ่มที่หลบเลี่ยงมาตรการคว่ำบาตร
