Op 25 oktober hebben criminelen 4,4 miljoen dollar aan cryptovaluta gestolen van slachtoffers van de LastPass-hack, zo stellen onderzoekers 'ZachXBT' en MetaMask-ontwikkelaar Taylor Monahan. Vorig jaar wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat.

Monahan deed het afgelopen jaar onderzoek naar mensen die het slachtoffer van cryptodfiefstal waren geworden en stond deze slachtoffers ook bij. Meer dan honderdvijftig mensen werden voor meer dan 35 miljoen dollar aan crypto bestolen. Het gaat daarbij om ervaren crypto-investeerders en 'security-minded' individuen, zo liet Monahan vorige maand tegenover it-journalist Brian Krebs en op X weten.

De aanvallers wisten met seeds/keys van de slachtoffers het geld te stelen. Volgens Monahan werden in de meeste gevallen deze gegevens uit LastPass-wachtwoordkluizen gestolen. Nog altijd worden slachtoffers van de LastPass-hack beroofd, aldus de onderzoekers. Zo werd er alleen op 25 oktober een bedrag van 4,4 miljoen euro buitgemaakt. De onderzoekers roepen alle LastPass-gebruikers op die een seed phrase of keys in LastPass hebben opgeslagen om hun cryptovaluta meteen te migreren.