LastPass Vault Crypto-Drain

Am 22. Dezember 2022 legte der Passwort-Manager LastPass offen, dass Angreifer verschlüsselte Backups von rund 30 Millionen Kunden-Vaults in einem früheren Breach im selben Jahr heruntergeladen hatten. Die Offenlegung machte keine Schlagzeilen als Krypto-Vorfall — aber in den folgenden Monaten und Jahren wurden Wallets, deren Seed Phrases in LastPass gespeichert waren, geleert, in einer Kampagne, die auf über 35 Mio. $ in ersten öffentlichen Schätzungen und über 438 Mio. $ in der TRM-Labs-Analyse 2025 angewachsen ist.

Was geschah

LastPass' Unternehmens-Breach im August 2022 gab Angreifern Zugriff auf Source Code und interne Dokumentation. Ein zweiter Breach Ende 2022 — mit Credentials und Informationen aus dem ersten — ließ Angreifer Backups von Kunden-Vaults herunterladen, einschließlich der verschlüsselten Blobs mit jedem gespeicherten Passwort, jeder Notiz und allen Seed Phrases oder Private Keys, die Nutzer dort gespeichert hatten.

Die Vaults waren mit dem Master-Passwort des Nutzers verschlüsselt. Die Angreifer begannen, die Master-Passwörter offline per Brute Force zu knacken — ein durchführbarer Angriff für Nutzer mit schwachen oder mittelstarken Passwörtern angesichts der Rechenressourcen organisierter Cyberkriminellen-Gruppen.

Für Nutzer, die Krypto-Seed-Phrases oder Private Keys in LastPass gespeichert hatten und deren Master-Passwort dem Brute Force unterlag, war das Ergebnis der Totalverlust jedes Krypto-Assets, das durch diese Seeds gesichert war. Bemerkenswerte zugeschriebene Vorfälle umfassen:

• 30. Januar 2024: Rund 150 Mio. $ in XRP aus Wallets gestohlen, deren Seeds in LastPass gespeichert waren.
• Mehrere Einzel-Angriffe zwischen Zehntausenden und mehreren Millionen Dollar Drain, verteilt über 2023-2025.
• Mindestens 4,4 Mio. $ drainiert von einem einzelnen Angreifer, verfolgt von Unchained.

TRM Labs' Analyse vom Dezember 2025 schätzte kumulative Krypto-Verluste durch den LastPass-Breach auf über 438 Mio. $, wobei On-Chain-Indikatoren darauf hindeuten, dass die Operation von russisch-affilierten Cyberkriminellen-Gruppen statt von Staats-Akteuren durchgeführt wurde.

Folgen

• LastPass stimmte einer Sammelklage-Einigung von bis zu 24,45 Mio. $ zu, einschließlich eines 8,2-Mio.-$-Bar-Fonds für allgemeine Verluste und eines separaten 16,25-Mio.-$-Krypto-Verlust-Pools für Nutzer, deren Krypto über gespeicherte Seeds gestohlen wurde.
• Viele betroffene Nutzer — insbesondere mit größeren Verlusten — verfolgen separate Zivilklagen gegen LastPass.
• Der Vorfall trieb branchenweite Warnungen gegen das Speichern von Seed Phrases in cloud-synchronisierten Passwort-Managern an.

Warum es wichtig ist

Die LastPass-Episode ist der kanonische Fall dafür, warum „verschlüsseltes Backup" nicht gleichbedeutend mit „sicher" ist. Die Verschlüsselung ist nur so stark wie das Master-Passwort des Nutzers. Für einen relevanten Prozentsatz von Nutzern ist dieses Passwort brute-forcebar — und sobald der verschlüsselte Blob exfiltriert wurde, hat der Angreifer unbegrenzte Zeit, ihn offline zu knacken.

Die strukturellen Lektionen:

1. Seed Phrases gehören in ein System, das nie eine Kopie offsite gespeichert hat. Hardware Wallets, Papier-Backups in physischem sicheren Speicher, dedizierte Cold-Storage-Geräte.
2. Cloud-synchronisierte Passwort-Manager sind bequem für Passwörter, nicht für Seeds. Das Threat-Modell eines gestohlenen verschlüsselten Vaults ist anders.
3. Der Schaden eines Security-Vendor-Breachs kann Jahre brauchen, um vollständig sichtbar zu werden. LastPass' August-2022-Offenlegung wurde eine Dezember-2022-Offenlegung, die wurde ein März-2024 150-Mio.-$-XRP-Heist, der wurde eine 2025er 438-Mio.-$-Kumulativ-Zuschreibung. Der Breach drainiert zum Zeitpunkt dieser Niederschrift weiterhin Opfer.

Die Kosten, diese Risiken zu unterschätzen, sind im On-Chain-Record mittlerweile gut quantifiziert.