Negli ultimi anni, milioni di utenti hanno scoperto che un vecchio data breach può continuare a causare danni molto tempo dopo l’attacco iniziale. Un’ondata di furti in criptovalute, per oltre 35 milioni di dollari, è stata collegata ai vault rubati nel data breach di LastPass del 2022, sfruttando password deboli e seed phrase conservate nel password manager.
Se hai mai salvato chiavi private, seed phrase o credenziali di exchange in LastPass e non hai cambiato tutto dopo il 2022, devi agire subito.
– Passo rapido 1: sposta immediatamente i fondi su nuovi wallet con nuove seed phrase non derivate da backup precedenti.
– Passo rapido 2: cambia tutte le password critiche, soprattutto email, exchange e servizi finanziari, usando password lunghe e uniche.
– Passo rapido 3: abilita autenticazione a più fattori (MFA) ovunque sia possibile, preferendo app di autenticazione o chiavi hardware.
Quello che segue spiega, in modo prima semplice e poi sempre più tecnico, cosa è successo, perché il rischio è ancora attuale e come proteggerti in modo strutturato.
—
Cos’è successo con LastPass e perché si parla di criptovalute
Nel 2022 LastPass ha subito un grave incidente di sicurezza. Gli aggressori sono riusciti a ottenere backup cifrati dei vault degli utenti, ovvero gli archivi dove molte persone conservavano:
– password di accesso a servizi vari
– credenziali di accesso a exchange di criptovalute
– seed phrase e chiavi private dei propri wallet
Anche se questi vault erano cifrati, i criminali hanno potuto scaricarli in blocco e conservarli per attaccarli con calma, offline. Per chi usava master password deboli o riutilizzate, la protezione si è rivelata insufficiente: i vault sono stati gradualmente decifrati e i dati sensibili estratti.
Risultato: furti di criptovalute a ondate, dal 2022 fino al 2024 e 2025, con wallet svuotati improvvisamente dopo anni di apparente tranquillità.
—
Perché si parla di 35 milioni di dollari rubati (e forse di più)
Le analisi di società specializzate in blockchain intelligence hanno ricostruito il flusso di fondi rubati da vittime che avevano in comune una cosa: criptovalute collegate a seed phrase o chiavi conservate in vault LastPass compromessi.
Le principali evidenze:
– oltre 35 milioni di dollari in criptovalute risultano sottratti e ricollegabili al data breach del 2022
– i fondi sono stati rubati in ondate successive, non tutti in un’unica operazione
– gran parte degli asset è stata convertita in Bitcoin e poi inviata a servizi di mixing per offuscare la provenienza
– l’attività illecita è proseguita almeno fino alla fine del 2025, oltre tre anni dopo il data breach
Le indagini indicano anche che si potrebbe trattare solo della punta dell’iceberg, perché non tutti i furti vengono rilevati o correttamente attribuiti.
—
Il ruolo dei criminali russi e degli exchange ad alto rischio
Una volta rubate le criptovalute dalle vittime, i criminali hanno organizzato una vera e propria catena di riciclaggio:
– conversione degli asset rubati in Bitcoin
– invio dei fondi a mixing service (come Wasabi Wallet e altri CoinJoin)
– successivo smistamento dei Bitcoin “mischiati” verso exchange ad alto rischio, associati a infrastrutture di cybercrimine con base in Russia
Le analisi delle transazioni hanno evidenziato pattern ricorrenti:
– uso degli stessi servizi di mixing
– flusso costante di fondi verso specifici exchange russi
– continuità operativa nel tempo, sintomo di un’unica infrastruttura criminale piuttosto che attacchi isolati
Alcuni di questi exchange sono stati successivamente sanzionati dalle autorità internazionali per il loro ruolo nel facilitare pagamenti di ransomware e operazioni di riciclaggio.
—
Perché il rischio è ancora vivo per molti utenti LastPass
Il vero problema non è solo ciò che è già stato rubato, ma ciò che può ancora essere rubato. Il data breach di LastPass ha creato una “minaccia a lunga coda”:
– i criminali possiedono ancora oggi copie cifrate dei vault
– dispongono di tempo e risorse per continuare a provare a decifrare i vault con master password deboli
– ogni volta che riescono a sbloccare un vault, trovano potenzialmente seed phrase, chiavi private, password di exchange, email e molto altro
Per milioni di utenti che non hanno mai cambiato master password, seed phrase o credenziali salvate dopo il 2022, la finestra di rischio resta aperta.
In pratica: se non hai fatto un reset completo della tua sicurezza digitale dopo quel breach, sei ancora esposto.
—
Cosa fare subito se hai mai usato LastPass per le criptovalute
1. Metti in sicurezza le tue criptovalute
- Crea nuovi wallet
– genera nuove seed phrase, mai usate prima
– preferisci hardware wallet o software wallet affidabili
- Sposta i fondi dai vecchi indirizzi
– non limitarti a cambiare password del wallet: se la seed phrase è stata esposta, il wallet è compromesso per sempre
– invia le criptovalute a wallet controllati da seed completamente nuove
- Non riutilizzare seed o backup
– non importare vecchie seed phrase in nuovi wallet
– non copiare/incollare seed phrase in password manager o app non dedicate
2. Esegui un reset profondo delle tue password
– cambia le password di:
– email principali
– exchange di criptovalute
– servizi bancari e finanziari
– account collegati a recovery / reset password
– usa password lunghe (almeno 16 caratteri), uniche e generate casualmente
– se cambi password ma il vecchio vault è compromesso e contiene ancora dati sensibili, considera di non riutilizzare più quel vault
3. Migra a una gestione più sicura delle credenziali
– scegli un password manager che supporti:
– cifratura forte con parametri di derivazione della chiave attuali
– MFA obbligatoria per l’accesso
– audit di sicurezza (controllo password deboli, riutilizzate, esposte)
– valuta di non salvare mai più seed phrase e chiavi private in un password manager generalista
– meglio conservarle offline, su carta ben protetta o con sistemi dedicati (metal backup, hardware wallet)
—
Buone pratiche di sicurezza per il lungo periodo
– Autenticazione a più fattori ovunque: preferisci app di autenticazione o chiavi hardware rispetto agli SMS
– Monitoraggio periodico dei wallet: controlla regolarmente gli indirizzi che detengono fondi significativi
– Segmentazione del rischio:
– tieni solo una parte ridotta di fondi in wallet “caldi” (per l’uso quotidiano)
– conserva il grosso in cold storage con seed sicure e mai digitalizzate
– Aggiornamento continuo: resta informato su nuovi incidenti legati a password manager e grandi piattaforme
—
Technical Deep Dive
Questa sezione è pensata per lettori con maggiore familiarità con sicurezza, crittografia e analisi on-chain.
Architettura dell’attacco post-breach
L’operazione si basa su un paradigma classico di sfruttamento di vault cifrati rubati:
- Esfiltrazione dei backup dei vault
– gli aggressori ottengono backup cifrati dei vault degli utenti
– ogni vault contiene password, note sicure, seed phrase, chiavi API, credenziali di exchange, ecc.
- Attacchi di brute force e password cracking offline
– i criminali non devono più colpire i server del provider: hanno copie locali dei vault
– possono applicare attacchi di forza bruta distribuiti, sfruttando GPU e cluster dedicati
– l’efficacia dipende da:
– qualità della master password (lunghezza, entropia, riuso)
– parametri di derivazione della chiave (numero di iterazioni, algoritmo KDF, ecc.)
- Estrazione di seed phrase e chiavi crittografiche
– una volta decifrato un vault, gli aggressori cercano pattern tipici:
– stringhe di 12/24 parole (BIP-39)
– note con etichette tipo “seed”, “wallet”, “private key”, “mnemonic”
– vengono individuati anche:
– credenziali di accesso a exchange
– email di recovery
– chiavi API per trading
- Compromissione dei wallet
– le seed phrase vengono importate in software wallet controllati dagli aggressori
– i fondi vengono spostati rapidamente su indirizzi di raccolta
– si osservano pattern di importazione omogenei (stesso tipo di wallet, stessi script, stessi schemi di firma)
Offuscamento tramite mixer e CoinJoin
Dopo l’acquisizione dei fondi, entra in gioco la fase di offuscamento:
– conversione degli asset rubati in Bitcoin, ove necessario
– utilizzo di CoinJoin e servizi di mixing come Wasabi Wallet per rompere i legami diretti tra input e output
– creazione di peeling chains, dove i fondi vengono frammentati e spostati a più livelli
Tuttavia, gli analisti sono riusciti a eseguire demixing grazie a:
– correlazione tra:
– volumi in ingresso ai mixer
– tempistiche e volumi in uscita verso cluster di indirizzi sospetti
– identificazione di fingerprint comportamentali, come:
– denominazioni ricorrenti degli output
– tempi di permanenza nei pool
– pattern di consolidamento successivo
Queste tecniche hanno permesso di attribuire con alta confidenza i flussi a una singola infrastruttura criminale, nonostante la presenza di CoinJoin.
Collegamento alle infrastrutture russe
L’analisi on-chain ha mostrato che, dopo il mixing, i fondi convergevano regolarmente su exchange russi ad alto rischio, spesso già noti per:
– tolleranza o collaborazione con operatori di ransomware
– scarsa due diligence KYC/AML
– storici flussi di fondi da indirizzi segnalati in precedenza
Gli elementi chiave di attribuzione includono:
– ripetuta interazione con gli stessi nodi infrastrutturali russi (exchange, servizi OTC, broker non regolamentati)
– continuità di controllo tra i portafogli pre-mix e post-mix, rilevata tramite comportamenti coerenti (orari, pattern di consolidamento, uso di determinate fee policy)
– correlazioni temporali tra ondate di furti e picchi di attività sugli stessi exchange
Implicazioni per la sicurezza dei password manager
Dal punto di vista architetturale, il caso evidenzia alcuni punti critici:
– un singolo data breach di un grande password manager può generare finestra di sfruttamento pluriennale, se:
– i vault rubati sono conservati dai criminali
– le master password deboli restano invarianti nel tempo
– la sicurezza effettiva di un vault cifrato dipende da:
– robustezza dell’algoritmo di cifratura
– parametri del KDF (PBKDF2, Argon2, iterazioni, memoria)
– forza ed entropia della master password scelta dall’utente
Per ambienti ad alto valore (custodia di seed phrase o chiavi crittografiche), è consigliabile:
– evitare di salvare segreti di massimo impatto in vault gestiti da terzi
– preferire soluzioni air-gapped o di cold storage per le chiavi
– prevedere politiche di rotazione periodica delle credenziali critiche, specie dopo incidenti pubblici di sicurezza
In sintesi tecnica, il caso LastPass–criptovalute dimostra come la combinazione di KDF non ottimizzati, master password deboli e gestione centralizzata dei segreti possa trasformare un singolo data breach in una campagna di esfiltrazione e riciclaggio a lungo termine, difficile da bloccare e ancora più difficile da sanare per gli utenti che non agiscono tempestivamente.
Fonte: https://cybersecuritynews.com/cryptocurrency-theft-lastpass/
