Insiden peretasan data pada layanan pengelola kata sandi LastPass yang terjadi lebih dari tiga tahun lalu, tepatnya pada Agustus 2022, hingga kini masih menjadi celah bagi aksi pencurian aset kripto. Para peneliti mengungkapkan, peretas berhasil membobol brankas kata sandi (password vaults) yang dicuri dari LastPass dan menggasak sekitar 35 juta dolar AS dalam bentuk mata uang digital.
LastPass, yang kala itu dikenal sebagai salah satu pengelola kata sandi terbaik, mengalami insiden keamanan siber yang memungkinkan peretas mencuri brankas kata sandi pengguna. Brankas ini merupakan folder terenkripsi tempat pengguna menyimpan kata sandi dan informasi rahasia lainnya, yang dilindungi oleh kata sandi utama (master password). Tanpa kata sandi utama tersebut, mustahil untuk mendekripsi folder dan mengakses isinya.
Artikel informatif lainnya dapat ditemukan dalam liputan Mureks. mureks.co.id
Modus Operandi: Pembobolan Kata Sandi Utama dan Pencurian Seed Phrase
Meskipun brankas terenkripsi, peretas tidak menyerah. Mereka berupaya membobolnya dengan metode brute-force, menggunakan perangkat keras dan perangkat lunak khusus. Jika kata sandi utama relatif lemah, seperti kombinasi sederhana, peretas berpotensi berhasil membobolnya: “Tergantung pada panjang dan kompleksitas kata sandi utama Anda serta pengaturan jumlah iterasi, Anda mungkin ingin mengatur ulang kata sandi utama Anda,” demikian peringatan LastPass saat insiden tersebut terjadi.
Firma analisis blockchain TRM Labs, dalam laporan terbarunya yang dirilis pada 5 Januari 2026, mengungkapkan bahwa para peretas berhasil membobol banyak brankas yang berisi seed phrase. Seed phrase adalah rangkaian 12 atau 24 kata yang memungkinkan pengguna memuat dompet mata uang kripto ke akun baru dan mengakses semua dana di dalamnya.
“Keterkaitan dalam laporan ini tidak didasarkan pada atribusi langsung ke individual akun LastPass, tetapi pada korelasi aktivitas on-chain hilir dengan pola dampak yang diketahui dari pelanggaran tahun 2022,” jelas TRM Labs kepada BleepingComputer. “Hal itu menciptakan skenario di mana penarikan dompet akan terjadi jauh setelah pelanggaran awal, bukan segera, dan dalam gelombang yang berbeda.”
Kerugian dan Pencucian Uang Kripto
TRM Labs juga mencatat bahwa para penjahat siber mencuri berbagai jenis mata uang kripto, mengubahnya menjadi bitcoin, dan kemudian mencoba menyembunyikan jejak mereka menggunakan layanan pencampur (mixing services), yang pada dasarnya adalah alat pencucian kripto. Menurut pantauan Mureks, para peneliti menyimpulkan bahwa lebih dari 28 juta dolar AS dicuri dan dicuci dengan cara ini pada akhir 2024 dan awal 2025. Selain itu, sekitar 7 juta dolar AS lainnya terkait dengan serangan pada September 2025.
Laporan terpisah yang diterbitkan oleh pembuat dompet MetaMask pada September 2023 juga menyebutkan bahwa peretas mencuri 35 juta dolar AS dengan cara serupa. Hal ini mengindikasikan bahwa angka kerugian sebenarnya saat ini mungkin mendekati 100 juta dolar AS. TRM Labs menambahkan, sebagian besar dana tersebut dicairkan melalui bursa-bursa di Rusia.
