Im Zusammenhang mit dem LastPass-Sicherheitsvorfall von 2022 wurden Kryptowährungen im Wert von über 250 Millionen US-Dollar gestohlen, da Hacker auf verschlüsselte Tresordaten zugreifen konnten, in denen Nutzer sensible Informationen wie Private Keys speicherten. Experten raten Betroffenen, ihre Krypto-Vermögenswerte umgehend zu transferieren und betonen die Risiken der Speicherung von Private Keys in Passwort-Managern.
Der Blockchain-Analyst ZachXBT hat aufgedeckt, dass Hacker, die mit dem LastPass-Sicherheitsvorfall in Verbindung gebracht werden, Kryptowährungen im Wert von rund 5,36 Millionen US-Dollar erbeutet haben. Wie Cryptopolitan berichtet, gab ZachXBT am 17. Dezember in seinem Telegram-Kanal bekannt, dass die gestohlenen Gelder in ETH getauscht und anschließend über verschiedene Instant Exchanges von Ethereum zu Bitcoin transferiert wurden.
Dieser Angriff steht im Zusammenhang mit einem Sicherheitsvorfall im Dezember 2022. Damals räumte LastPass ein, dass Angreifer Zugriff auf archivierte Backups von verschlüsselten Tresordaten erlangt hatten, die auf der Cloud-Plattform eines Drittanbieters gespeichert waren. Der beliebte Passwort-Manager LastPass warnte seinerzeit, dass durch den Vorfall Benutzer-Tresordaten, einschließlich Benutzernamen, Passwörter und sichere Notizen, kompromittiert worden seien. LastPass versicherte den Nutzern jedoch, dass das Knacken der Master-Passwörter aufgrund starker Verschlüsselungsprotokolle extrem schwierig sei.
Trotz dieser Versicherung zeigen die jüngsten Angriffe, dass die Hacker systematisch Nutzer angegriffen haben, die ihre privaten Schlüssel oder Seed-Phrasen in ihren LastPass-Tresoren gespeichert hatten. CryptoSlate berichtet, dass die Security Alliance (SEAL), ein Team von Cybersicherheitsexperten, die mit dem Vorfall verbundenen Krypto-Verluste bis Mai 2024 auf über 250 Millionen US-Dollar beziffert.
Laut SEAL hätten diese Angriffe verhindert werden können. Viele Opfer hätten, trotz Sicherheitsmaßnahmen, ihre digitalen Vermögenswerte unwissentlich gefährdet, indem sie sich auf zentralisierte Speicherlösungen für private Schlüssel verließen. Angesichts der jüngsten Angriffswelle rät SEAL Nutzern, die ihre privaten Schlüssel oder Seed-Phrasen in LastPass gespeichert hatten, ihre Token zu transferieren und das Eigentum an Verträgen, Multi-Signature-Wallets usw. zu übertragen.
Sicherheitsexperten betonen, dass dieser Vorfall die Gefahren verdeutlicht, die mit der Speicherung sensibler Krypto-Daten in Passwort-Managern verbunden sind. Um weitere Verluste zu vermeiden, müssen Krypto-Besitzer ihre Vermögenswerte umgehend schützen und das Risiko ähnlicher Schwachstellen minimieren.
