LastPass漏洞被認爲與440萬美元加密貨幣被盜案有關

2023-12-9 43 12/9

據一直在研究類似事件的加密貨幣欺詐研究人員稱,10 月 25 日,黑客利用存儲在被盜 LastPass 數據庫中的私鑰和口令盜取了 440
萬美元的加密貨幣。這一消息來自 ZachXBT 和 MetaMask 開發人員泰勒-莫納漢(Taylor
Monahan),他們一直在追蹤這些加密貨幣盜竊案。

cryptocurrency-header.webp

"經常有人通過 DM 聯繫我們,說他們的加密資產被盜了。我們也會接觸在鏈上發現的受害者,"ZachXBT表示。"我們會詢問潛在的 LastPass 受害者多個問題,通常會發現他們都有一個共同點,那就是 LastPass。"

根據 ZachXBT 在 X 上發佈的一條推文,由於 2022 年 LastPass 的漏洞,威脅行爲者從 25 多名受害者那裏竊取了 440 萬美元。

2022 年,LastPass 遭遇了兩次漏洞,最終讓威脅分子竊取了源代碼、客戶數據和存儲在雲服務(包括加密密碼庫)中的生產備份。

當時,LastPass 首席執行官卡里姆-圖巴(Karim Toubba)表示,雖然加密庫被盜,但只有客戶才知道解密所需的主密碼。

LastPass漏洞被認爲與440萬美元加密貨幣被盜案有關

因此,如果你遵循了 LastPass 推薦的密碼最佳實踐,你的密碼保險箱應該是安全的。不過,LastPass 警告說,對於那些使用較弱密碼的用戶,建議重新設置主密碼。

LastPass關於此次網絡攻擊的支持公告寫道:"根據主密碼的長度和複雜程度以及迭代次數設置,你可能需要重置主密碼。"

之所以給出這樣的建議,是因爲較弱的密碼更容易被專門的程序破解,這些程序會利用 GPU 對易於破解的密碼進行暴力破解。

根據 Monahan 和 ZachXBT 所做的研究,人們認爲威脅者正在破解這些被盜的密碼保險庫,以獲取存儲的加密貨幣錢包口令、憑證和私鑰。

一旦獲得這些信息,他們就可以將錢包加載到自己的設備上,並盜取其中的所有資金。根據布萊恩-克雷布斯(Brian Krebs)關於這項研究的報告,莫納漢和其他研究人員已經生成了一個獨特的簽名,將超過 3500 萬美元的盜竊案與相同的威脅行爲者聯繫起來。

莫納漢今年 8 月在Twitter上寫道:"在這一點上,我也有信心說,在大多數情況下,被泄露的密鑰都是從 LastPass 竊取的。只有特定的一組種子/密鑰存儲在 LastPass 中,而這些種子/密鑰被盜用的受害者人數之多,根本不容忽視。"

越來越清楚的是,LastPass 攻擊背後的威脅分子已經成功破解了保險庫的密碼,並利用竊取的信息進一步實施身份盜竊犯罪。

因此,如果你是在 2022 年 8 月和 12 月漏洞事件中擁有賬戶的 LastPass 用戶,強烈建議你重置所有密碼,包括你的主密碼。