Pencurian Kripto Terkini Ditelusuri ke Kebocoran LastPass Tahun 2022

Gelombang pencurian aset kripto yang masih berlangsung hingga saat ini dilaporkan memiliki keterkaitan langsung dengan insiden kebocoran data LastPass pada tahun 2022. Temuan ini diungkap oleh firma investigasi blockchain TRM Labs, yang menyatakan bahwa para pelaku kejahatan siber masih memanfaatkan data brankas kata sandi terenkripsi yang dicuri bertahun-tahun lalu untuk menguras dompet kripto korban secara bertahap.

Pada 2022, LastPass mengakui bahwa sistem mereka berhasil ditembus setelah lingkungan pengembang dikompromikan. Dalam insiden tersebut, penyerang mencuri sebagian kode sumber serta informasi teknis internal perusahaan. Serangan ini kemudian berlanjut ke tahap yang lebih serius ketika kredensial yang telah dicuri digunakan untuk membobol layanan penyimpanan cloud GoTo, tempat cadangan basis data LastPass disimpan.

Akibatnya, penyerang berhasil memperoleh salinan cadangan brankas kata sandi LastPass milik pelanggan. Bagi sebagian pengguna, brankas terenkripsi tersebut tidak hanya berisi kredensial login, tetapi juga kunci privat dompet kripto dan seed phrase yang memberikan akses penuh ke aset digital mereka.

Meski data tersebut dienkripsi, pengguna dengan kata sandi utama yang lemah atau digunakan ulang tetap berada dalam risiko tinggi. Brankas terenkripsi ini diyakini menjadi target serangan brute force secara offline sejak kebocoran terjadi. LastPass sendiri sempat memperingatkan bahwa tingkat keamanan sangat bergantung pada panjang, kompleksitas kata sandi utama, serta konfigurasi iterasi enkripsi yang digunakan.

Keterkaitan antara kebocoran LastPass dan pencurian kripto ini diperkuat oleh temuan aparat penegak hukum Amerika Serikat. Pada 2025, otoritas menyita lebih dari US$23 juta aset kripto dan menyimpulkan bahwa pelaku memperoleh kunci privat korban dari data brankas kata sandi yang berhasil didekripsi. Dalam dokumen pengadilan disebutkan tidak ditemukan indikasi kompromi perangkat korban melalui phishing maupun malware, sehingga fokus penyelidikan mengarah langsung pada kebocoran password manager.

Dalam laporan terbarunya, TRM Labs menjelaskan bahwa pencurian dompet kripto yang terkait LastPass tidak terjadi secara langsung setelah kebocoran. Sebaliknya, serangan dilakukan dalam beberapa gelombang, bahkan hingga bertahun-tahun kemudian. Pola ini menunjukkan bahwa penyerang mendekripsi brankas korban secara bertahap dan mengekstrak data sensitif seiring waktu.

Dompet-dompet yang terdampak dikuras menggunakan metode transaksi yang seragam, tanpa adanya indikasi serangan baru pada sistem korban. Hal ini menguatkan dugaan bahwa kunci privat telah berada di tangan pelaku jauh sebelum aset dicuri. Analisis TRM tidak berfokus pada atribusi langsung ke akun LastPass tertentu, melainkan pada korelasi aktivitas on-chain yang menunjukkan pola khas dampak kebocoran 2022.

Investigasi awal TRM bermula dari sejumlah laporan korban yang secara eksplisit menyebut kebocoran LastPass sebagai sumber kompromi. Dari sana, peneliti memperluas analisis dengan memetakan perilaku transaksi kripto di berbagai kasus lain, hingga membentuk gambaran kampanye pencurian yang terkoordinasi.

Salah satu temuan penting dalam laporan ini adalah kemampuan TRM melacak dana curian meski telah dicampur menggunakan fitur CoinJoin pada Wasabi Wallet. CoinJoin merupakan teknik privasi Bitcoin yang menggabungkan transaksi dari banyak pengguna untuk menyulitkan pelacakan aliran dana. Namun, dengan menganalisis struktur transaksi, waktu, dan konfigurasi dompet, TRM mengklaim mampu memisahkan kembali alur dana tersebut.

Alih-alih menganalisis setiap kasus secara terpisah, peneliti memperlakukan aktivitas ini sebagai satu kampanye besar. Pendekatan tersebut memungkinkan identifikasi klaster setoran dan penarikan Wasabi Wallet yang memiliki kesesuaian nilai dan waktu secara statistik. Jejak blockchain sebelum dan sesudah proses pencampuran secara konsisten mengarah pada kendali operasional yang berbasis di Rusia.

Berdasarkan analisis tersebut, TRM memperkirakan lebih dari US$28 juta aset kripto dicuri dan dicuci melalui Wasabi Wallet pada akhir 2024 hingga awal 2025. Gelombang serangan lanjutan pada September 2025 diperkirakan menambah sekitar US$7 juta. Dana hasil kejahatan ini dilaporkan berulang kali dicairkan melalui bursa kripto yang memiliki keterkaitan dengan Rusia, mengindikasikan keterlibatan kelompok pelaku yang sama.

Kasus ini menjadi pengingat serius bahwa dampak kebocoran data berskala besar dapat berlangsung sangat lama, terutama ketika informasi sensitif seperti kunci privat kripto disimpan dalam satu brankas digital. Keamanan kata sandi utama dan praktik penyimpanan kredensial tetap menjadi faktor krusial dalam perlindungan aset digital jangka panjang.