来自ZachXBT和 MetaMask 开发者Taylor Monahan近日发布消息称，他们发现黑客使用LastPass漏洞，窃取了存储在被盗 LastPass 数据库中的私钥和密码，于 10 月 25 日窃取了价值 440 万美元的加密货币。

LastPass 漏洞

2022 年，LastPass 遭遇两次漏洞，最终导致威胁行为者窃取了存储在包括加密密码库在内的云服务中的源代码、 客户数据和生产备份。

当时，LastPass 首席执行官 Karim Toubba 表示，虽然加密的金库被盗，但只有客户知道解密它们所需的主密码。

不过，LastPass 警告称，对于那些使用较弱密码的用户，建议重置主密码。

根据 Monahan 和 ZachXBT 进行的研究 ，据信威胁行为者正在破解这些被盗的密码库，以获取存储的加密货币钱包密码、凭证和私钥的访问权限。

一旦他们获得了这些信息，他们就可以将钱包加载到自己的设备上并耗尽所有资金。

根据 Brian Krebs 的 研究报告，Monahan 和其他研究人员生成了一个独特的签名，将超过 3500 万美元的盗窃案与同一威胁行为者联系起来。

“此时此刻，我也可以自信地说，在大多数情况下，被盗的密钥都是从 LastPass 中窃取的，”  Monahan 在 8 月份发推文说。

“只有 LastPass 中存储的特定种子/密钥组的受害者数量实在太多，不容忽视。”

越来越明显的是，LastPass 攻击背后的威胁行为者已成功破解了金库的密码，并正在利用窃取的信息来助长自己的攻击。

因此，如果您是在 2022 年 8 月和 12 月违规期间拥有帐户的 LastPass 用户，强烈建议您重置所有密码，包括您的密码。