據一直在研究類似事件的加密貨幣詐欺研究人員稱，10 月25 日，駭客利用儲存在被盜LastPass 資料庫中的私鑰和口令盜取了440 萬美元的加密貨幣。這項消息來自ZachXBT 和MetaMask 開發人員泰勒莫納漢（Taylor Monahan），他們一直在追蹤這些加密貨幣竊盜案。

“經常有人透過DM 聯繫我們，說他們的加密資產被盜了。我們也會接觸在鏈上發現的受害者，”ZachXBT表示。”我們會詢問潛在的LastPass 受害者多個問題，通常會發現他們都有一個共同點，那就是LastPass。”

根據ZachXBT 在X 上發布的一條推文，由於2022 年LastPass 的漏洞，威脅行為者從25 多名受害者那裡竊取了440 萬美元。

2022 年，LastPass 遭遇了兩次漏洞，最終讓威脅分子竊取了原始碼、客戶資料和儲存在雲端服務（包括加密密碼庫）中的生產備份。

當時，LastPass 執行長 Karim Toubba表示，雖然加密庫被盜，但只有客戶才知道解密所需的主密碼。

因此，如果你遵循了LastPass 推薦的密碼最佳實踐，你的密碼保險箱應該是安全的。不過，LastPass 警告說，對於那些使用較弱密碼的用戶，建議重新設定主密碼。

LastPass關於這次網路攻擊的支援公告寫道：”根據主密碼的長度和複雜程度以及迭代次數設置，你可能需要重置主密碼。”

之所以給予這樣的建議，是因為較弱的密碼更容易被專門的程式破解，這些程式會利用GPU 對易於破解的密碼進行暴力破解。

根據Monahan 和ZachXBT 所做的研究，人們認為威脅者正在破解這些被盜的密碼保險庫，以獲取儲存的加密貨幣錢包口令、憑證和私鑰。

一旦獲得這些信息，他們就可以將錢包加載到自己的設備上，並竊取其中的所有資金。根據布萊恩-克雷布斯（Brian Krebs）關於這項研究的報告，莫納漢和其他研究人員已經產生了一個獨特的簽名，將超過3500 萬美元的盜竊案與相同的威脅行為者聯繫起來。

莫納漢今年8 月在Twitter上寫道：”在這一點上，我也有信心說，在大多數情況下，洩露的密鑰都是從LastPass 竊取的。只有特定的一組種子/密鑰儲存在LastPass 中，而這些種子/密鑰被盜用的受害者人數之多，根本不容忽視。”

越來越清楚的是，LastPass 攻擊背後的威脅分子已經成功破解了保險庫的密碼，並利用竊取的資訊進一步實施身分盜竊犯罪。

因此，如果你是在2022 年8 月和12 月漏洞事件中擁有帳戶的LastPass 用戶，強烈建議你重設所有密碼，包括你的主密碼。