Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 118Phishing / Ingénierie sociale

Drainage crypto via vaults LastPass

Une brèche des backups chiffrés LastPass a mené à un drainage pluriannuel de victimes y stockant leurs seed phrases ; pertes de 35 M$ à plus de 400 M$.

Date
Victime
LastPass users
Chaîne(s)
EthereumBitcoinRipple
Statut
Fonds dérobés

Le 22 décembre 2022, le gestionnaire de mots de passe LastPass a divulgué que des attaquants avaient téléchargé des backups chiffrés d'environ 30 millions de vaults clients dans une brèche plus tôt cette année. La divulgation n'a pas fait les gros titres comme incident crypto — mais dans les mois et années qui ont suivi, des wallets dont les seed phrases avaient été stockées dans LastPass ont commencé à être drainés, dans une campagne qui a grandi à plus de 35 millions de dollars en estimations publiques initiales et plus de 438 millions de dollars selon l'analyse 2025 de TRM Labs.

Ce qui s'est passé

La brèche d'entreprise d'août 2022 de LastPass a donné aux attaquants l'accès au code source et à la documentation interne. Une deuxième brèche fin 2022 — utilisant des credentials et informations de la première — a permis aux attaquants de télécharger des backups de vaults clients, incluant les blobs chiffrés contenant chaque mot de passe sauvegardé, note et toute seed phrase ou clé privée stockée.

Les vaults étaient chiffrés avec le mot de passe maître de l'utilisateur. Les attaquants ont procédé à brute-forcer les mots de passe maîtres hors ligne — une attaque tractable pour les utilisateurs avec des mots de passe faibles ou de force modérée, étant donné les ressources de calcul disponibles aux groupes cybercriminels organisés.

Pour les utilisateurs ayant stocké des seed phrases crypto ou clés privées dans LastPass et dont le mot de passe maître est tombé au brute-force, le résultat a été la perte totale de chaque actif crypto sécurisé par ces seeds. Les incidents attribués notables incluent :

  • 30 janvier 2024 : ~150 millions de dollars en XRP volés de wallets dont les seeds étaient stockées dans LastPass.
  • Plusieurs attaques individuelles allant de dizaines de milliers à plusieurs millions de dollars de drainage, étalées sur 2023-2025.
  • Au moins 4,4 M$ drainés par un seul attaquant tracé par Unchained.

L'analyse de décembre 2025 de TRM Labs a estimé les pertes crypto cumulées attribuables à la brèche LastPass à plus de 438 millions de dollars, avec des indicateurs on-chain suggérant que l'opération était menée par des groupes cybercriminels alignés sur la Russie plutôt que des acteurs étatiques.

Conséquences

  • LastPass a accepté un règlement de class-action allant jusqu'à 24,45 M$, incluant un fonds cash de 8,2 M$ pour les pertes générales et un pool de pertes crypto séparé de 16,25 M$ pour les utilisateurs dont la crypto a été volée via les seeds stockées.
  • De nombreux utilisateurs affectés — particulièrement ceux avec les plus grosses pertes — ont poursuivi des litiges civils séparés contre LastPass.
  • L'incident a déclenché des avertissements à l'échelle de l'industrie contre le stockage de seed phrases dans des gestionnaires de mots de passe synchronisés dans le cloud.

Pourquoi c'est important

L'épisode LastPass est le cas canonique pour pourquoi « backup chiffré » n'est pas équivalent à « sûr ». Le chiffrement n'est aussi fort que le mot de passe maître de l'utilisateur. Pour tout pourcentage significatif d'utilisateurs, ce mot de passe est brute-forçable — et une fois le blob chiffré exfiltré, l'attaquant a un temps illimité pour le craquer hors ligne.

Les leçons structurelles :

  1. Les seed phrases appartiennent à un système qui n'a pas de copie stockée hors site, jamais. Wallets hardware, backups papier en stockage physique sécurisé, devices dédiés cold-storage.
  2. Les gestionnaires de mots de passe synchronisés dans le cloud sont pratiques pour les mots de passe, pas pour les seeds. Le modèle de menace d'une attaque par vault chiffré volé est différent.
  3. Les dégâts d'une brèche de vendeur de sécurité peuvent prendre des années à se manifester pleinement. La divulgation d'août 2022 de LastPass est devenue une divulgation de décembre 2022, qui est devenue un casse XRP de 150 M$ en mars 2024, qui est devenu une attribution cumulée de 438 M$ en 2025. La brèche draine encore des victimes au moment de cette rédaction.

Le coût de sous-estimer ces risques est, à présent, bien quantifié dans le registre on-chain.

Sources & preuves on-chain

  1. [01]en.wikipedia.orghttps://en.wikipedia.org/wiki/2022_LastPass_data_breach
  2. [02]bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/cryptocurrency-theft-attacks-traced-to-2022-lastpass-breach/
  3. [03]trmlabs.comhttps://www.trmlabs.com/resources/blog/trm-traces-stolen-crypto-from-2022-lastpass-breach-on-chain-indicators-suggest-russian-cybercriminal-involvement

Dépôts liés