Nos últimos 10 meses, mais de 100 carteiras de criptomoedas aparentemente seguras — muitas delas de membros de alto nível da comunidade cripto e com experiência em tecnologia — foram drenadas em dezenas de milhões de dólares, sem qualquer indicação clara de como isso foi feito. Agora, a resposta está se tornando mais clara: os roubos parecem ser devido a um hack do LastPass, popular plataforma de gerenciamento de senhas.
Durante meses, os ataques contínuos e consistentemente repetidos deixaram os especialistas em segurança perplexos, que não conseguiram descobrir como parar o roubo. As vítimas não pareciam estar caindo em fraudes, ou tendo atividades digitais arriscadas que expusessem suas informações privadas.
Além disso, elas priorizavam bastante a segurança de suas carteiras.
Os pesquisadores on-chain concluíram, à medida que os ataques continua a persistir mensalmente, que o hacker em questão provavelmente está acessando os fundos das vítimas usando senhas de carteira e frases-chave expostas durante um hack, no inverno passado, no gerenciador de senhas, LastPass.
Desde esse hack, as senhas obtidas do serviço de segurança de computadores levaram ao roubo de pelo menos US$ 39 milhões em criptomoedas e contando. Na semana passada, o hacker fugiu com outros US$ 4,4 milhões em criptomoedas, no que os especialistas identificaram como outro ataque que remonta ao LastPass.
Just on October 25, 2023 alone another ~$4.4M was drained from 25+ victims as a result of the LastPass hack.
— ZachXBT (@zachxbt) October 27, 2023
Cannot stress this enough, if you believe you may have ever stored your seed phrase or keys in LastPass migrate your crypto assets immediately. pic.twitter.com/26HsxrlnCb
Taylor Monahan, gerente de produto líder da MetaMask, primeiro promulgou teorias sobre as origens potenciais dos hacks misteriosos em abril, quando os ataques renderam apenas cerca de US$ 10 milhões em cripto roubada. Desde então, Monahan e outros analistas de blockchain identificaram o LastPass como o aparente fio condutor que conecta as vítimas dos hacks.
Desde essa conclusão, no entanto, o hacker continuou a drenar milhares de criptomoedas de carteiras supostamente seguras.
The largest unanswered ? is whether the attackers stole these keys via the @LastPass hack or via some other mechanism / from each users individual device
— Tay 💖 (@tayvano_) August 28, 2023
If you recall, @LastPass was hacked in summer/fall 2022. @LastPass was slow to determine scope of compromise & release info
Dicas de segurança
Monahan, juntamente com outros detetives on-chain, como o analista de blockchain, ZachXBT, implorou aos usuários de criptomoedas que migrem imediatamente seus ativos digitais para outras carteiras se, alguma vez, mesmo que por um breve período, usaram o LastPass para armazenar as frases ou chaves de seed de suas carteiras.
Como os ataques continuam sem fim à vista, Monahan relatou publicamente as histórias de vários amigos e associados que — após a notícia dos hacks — consideraram trocar de carteira, mas não agiram rápido o suficiente e acabaram sendo vítimas do hacker.
O ataque ao LastPass
De particular importância na controvérsia que se desenrola são as declarações feitas pelo LastPass sobre a gravidade do hack que se infiltrou nos armazenamentos de dados privados de usuários da empresa no final do ano passado.
Inicialmente, o LastPass insistiu que a invasão não expôs as senhas armazenadas dos usuários, mas aconselhou a alteração dessas senhas de qualquer forma, por precaução. A empresa acabou admitindo que o hacker conseguiu acessar o cofre corporativo do LastPass, que contém muitas informações privadas dos usuários, mas afirmou que essas violações ainda não comprometeram necessariamente as senhas mestras ou outras chaves dos usuários.
Os analistas que pesquisaram a série de roubos recentes de criptomoedas supostamente vinculados ao hack do LastPass tiveram um problema específico com a forma como a empresa lidou com a situação, argumentando que ela não foi franca com seus usuários sobre a extensão dos danos incorridos pelo hack e o grau em que os usuários do LastPass deveriam ter reagido a ele.
*Traduzido por Gustavo Martins com autorização do Decrypt.
- Não perca dinheiro. No Mercado Bitcoin, você pode fazer staking de Ethereum de maneira segura e simples. Abra sua conta agora e comece a ganhar recompensas sobre seus investimentos em criptomoedas.