Les autorités américaines ont saisi plus de 23 millions de dollars de crypto-monnaie liés au vol de 150 millions de dollars d’un portefeuille crypto Ripple en janvier 2024. Les enquêteurs pensent que les pirates informatiques qui ont violé LastPass en 2022 étaient à l’origine de l’attaque.
Malgré les efforts des acteurs de la menace, les agents des forces de l’ordre ont retracé 23 604 815,09 $des actifs numériques volés entre juin 2024 et février 2025 vers les bourses de crypto-monnaie suivantes: OKX, Payward Interactive, Inc. (dba Kraken), WhiteBIT, AscendEX Technology SRL, Ftrader Ltd( dba FixedFloat), SwapSpace LLC et Rabbit Finance LLC (dba CoinRabbit).
Une plainte de confiscation non scellée par le département américain de la Justice hier et repérée pour la première fois par l’enquêteur sur la fraude cryptographique ZachXBT révèle que les agents des services secrets américains qui ont interrogé la victime pensent que les attaquants n’auraient pu voler la crypto-monnaie qu’en utilisant des clés privées extraites en déchiffrant le coffre-fort de mots de passe de la victime volé en 2022 violation d’un gestionnaire de mots de passe en ligne.
Ils ont découvert que les données et les mots de passe volés stockés dans les comptes de gestionnaire de mots de passe de plusieurs victimes étaient utilisés par des attaquants pour accéder à « leurs comptes électroniques et voler des informations, des crypto-monnaies et d’autres données. »
Ils n’ont également découvert aucune preuve que les appareils de la victime avaient été piratés, ce qui indique que le déchiffrement des données volées du gestionnaire de mots de passe en ligne était le seul moyen pour les attaquants d’obtenir les clés nécessaires pour compromettre le portefeuille cryptographique de la victime.
« L’ampleur d’un vol et la dissipation rapide des fonds auraient nécessité les efforts de plusieurs acteurs malveillants, et étaient compatibles avec les violations du gestionnaire de mots de passe en ligne et les attaques contre d’autres victimes dont la crypto-monnaie a été volée », indique la plainte.
« Pour ces raisons, les agents des forces de l’ordre pensent que la crypto-monnaie volée à la victime a été commise par les mêmes attaquants qui ont mené l’attaque contre le gestionnaire de mots de passe en ligne et les vols de crypto-monnaie d’autres victimes dans la même situation. »
Vol de crypto lié aux piratages de LastPass
Bien que les enquêteurs n’aient pas nommé le gestionnaire de mots de passe en ligne, la plainte indique que la plateforme a été touchée par « deux violations majeures de données » en août 2022 et novembre 2022.
Cette chronologie s’aligne sur les failles de sécurité révélées par LastPass il y a trois ans, lorsque la société a déclaré que des attaquants avaient volé du code source et des informations techniques propriétaires, ainsi que des données de coffre-fort client, après avoir violé son stockage dans le cloud.
Depuis lors, plusieurs experts en sécurité ont déclaré qu’ils pensaient que les pirates de LastPass avaient déchiffré certaines des données volées du coffre-fort et utilisé les clés privées et les informations d’identification extraites dans les principaux braquages de crypto-monnaie.
Même si les enquêteurs n’ont pas identifié la victime, les détails correspondent au piratage et au vol de 150 millions de dollars en crypto-monnaie du cofondateur et président exécutif de Ripple Chris Larsen, qui a été divulgué le 31 janvier 2024.
ZachXBT a d’abord lié les 23 millions de dollars de crypto-monnaie saisis cette semaine et le piratage du portefeuille XRP de Larsen.
« Une plainte pour confiscation déposée hier par les forces de l’ordre américaines a révélé que la cause du piratage d’environ 150 millions de dollars (283 millions de XRP) du portefeuille du cofondateur de Ripple, Chris Larsen en janvier 2024 était le résultat du stockage de clés privées dans LastPass (gestionnaire de mots de passe qui a été piraté en 2022) », a-t-il déclaré aujourd’hui dans un message Telegram.
Un porte-parole de Ripple n’était pas immédiatement disponible lorsque Breachtrace a demandé un commentaire plus tôt dans la journée.