أبوظبي، الإمارات العربية المتحدة – كشفت تقارير حديثة صادرة عن شركة TRM Labs المتخصصة في تحليلات البلوك تشين، أن اختراق شركة LastPass الذي وقع في عام 2022، أدى إلى وصول قراصنة المعلومات إلى بيانات العملاء المشفرة. وقد تمكن هؤلاء من استغلال كلمات المرور الضعيفة لفك تشفير هذه البيانات، مما أسفر عن سرقة أصول رقمية بقيمة ملايين الدولارات حتى أواخر عام 2025.
وتشير الأدلة إلى تورط جهات إجرامية إلكترونية روسية في هذه الأنشطة، حيث تم رصد تفاعل مباشر مع بنية تحتية مرتبطة بروسيا، واستخدام منصات تداول روسية كوجهة نهائية للأموال المسروقة. هذا التطور يبرز المخاطر المستمرة التي يمكن أن تنتج عن الثغرات الأمنية في خدمات إدارة كلمات المرور.
LastPass: الثغرة التي لا تزال تنزف الأموال
في عام 2022، تعرضت LastPass، وهي خدمة شائعة لإدارة كلمات المرور، لاختراق كبير. سمح هذا الاختراق للمهاجمين بالحصول على معلومات شخصية للعملاء، بما في ذلك مخازن كلمات المرور المشفرة. هذه المخازن قد تحتوي على بيانات اعتماد حساسة، مثل مفاتيح العملات المشفرة الخاصة وعبارات الاستعادة.
ومع ذلك، لم يتوقف الأمر عند هذا الحد. فقد أظهرت النتائج الجديدة من TRM Labs أن المخترقين تمكنوا من استغلال هذه البيانات المسروقة لسرقة الأصول الرقمية.
آلية الاستغلال وسلسلة الأحداث
وفقًا لـ TRM Labs، كانت المفتاح الرئيسي لهذه السرقات هو ضعف كلمات المرور الرئيسية التي يستخدمها العملاء لتأمين مخازن كلمات المرور الخاصة بهم. ومع مرور الوقت، واصل المهاجمون محاولاتهم لفك تشفير هذه المخازن دون اتصال بالإنترنت، مما أدى إلى تحويل اختراق واحد في عام 2022 إلى نافذة فرصة تمتد لسنوات لعمليات سرقة متواصلة.
وأضافت الشركة أن المستخدمين الذين لم يغيروا كلمات المرور أو يعززوا أمان مخازنهم، سمحوا للمهاجمين بمواصلة كسر كلمات المرور الضعيفة، مما أدى إلى تفريغ محافظهم الرقمية في أوقات متفرقة، كان آخرها في أواخر عام 2025.
الارتباطات الروسية وسوق العملات الرقمية
تستند التقارير حول الارتباطات الروسية بالعملات المشفرة المسروقة إلى عاملين رئيسيين. أولاً، استخدام منصات تداول عالمية معروفة بتسهيل عمليات غسيل الأموال من قبل الجهات الإجرامية الإلكترونية الروسية، وثانياً، الارتباطات التشغيلية التي تم رصدها عبر محافظ رقمية تفاعلت مع أدوات الخلط (Mixers) قبل وبعد عمليات المزج والغسيل.
تم تتبع أكثر من 35 مليون دولار من الأصول الرقمية المسروقة. حوالي 28 مليون دولار تم تحويلها إلى بيتكوين وغسلت عبر محفظة Wasabi Wallet في الفترة بين أواخر 2024 وأوائل 2025. كما تم ربط 7 ملايين دولار بموجة سرقة لاحقة رُصدت في سبتمبر 2025.
منصات التداول وتحديات التتبع
تم اكتشاف أن الأموال المسروقة تم توجيهها عبر منصة Cryptomixer.io، ومن ثم تم تحويلها إلى خارج النظام عبر منصتي Cryptex و Audia6، وهما منصتان تداول روسيتان مرتبطتان بأنشطة غير قانونية. الجدير بالذكر أن وزارة الخزانة الأمريكية كانت قد فرضت عقوبات على منصة Cryptex في سبتمبر 2024، للاشتباه في تلقيها أكثر من 51.2 مليون دولار من أموال غسيل مرتبطة بهجمات برامج الفدية.
وأكدت TRM Labs أنها تمكنت من تفكيك هذه العمليات، على الرغم من استخدام تقنيات CoinJoin التي تهدف إلى صعوبة تتبع تدفق الأموال. وكشفت الشركة عن سلاسل سحوبات متجمعة موجهة نحو المنصتين الروسيتين.
الدروس المستفادة والإجراءات المستقبلية
صرح آري ريدبورد، رئيس السياسات العالمية في TRM Labs: “هذا مثال واضح لكيفية تحول اختراق واحد إلى حملة سرقة تمتد لعدة سنوات.” وأضاف: “حتى عند استخدام أدوات المزج، فإن الأنماط التشغيلية، وإعادة استخدام البنية التحتية، وسلوك عمليات التحويل إلى العملة التقليدية، لا يزال بإمكانها الكشف عن الجهات الفاعلة الحقيقية وراء هذه الأنشطة.”
وأشار إلى أن “منصات التداول الروسية عالية المخاطر تستمر في لعب دور حيوي كقنوات إخراج رئيسية للجريمة الإلكترونية العالمية. وتوضح هذه القضية لماذا أصبح تحليل النظم البيئية وإزالة خلط المعاملات أدوات ضرورية حالياً للإسناد وإنفاذ القانون.”