/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2025/12/data-breach-lastpass-2022-usata-per-rubare-wallet.jpg "Incredibile, la falla di LastPass del 2022 ha permesso di rubare milioni dai portafogli digitali")
Nel 2022 LastPass ha subìto una violazione che ha esposto i backup di circa 30 milioni di vault — contenitori cifrati che conservano le credenziali più sensibili degli utenti, inclusi gli indirizzi crypto, le chiavi private e le seed phrase. Anche se quei vault erano cifrati, molti erano protetti da master password deboli: ciò ha creato un “rischio a lungo termine” perché gli aggressori hanno potuto scaricare i vault in blocco e, con tempo e potenza di calcolo, hanno fatto a gara per decifrare offline singole password e recuperare le chiavi contenute.
Perché i vault, le chiavi e i seed contano
Un vault in LastPass è un archivio cifrato che contiene nomi utente, password e, in molti casi, dati crittografici strettamente personali. Una chiave privata è l’elemento crittografico che consente di firmare transazioni e spendere crypto: chiunque la possieda può trasferire i fondi.
Una seed phrase è una rappresentazione umanamente leggibile di un “seme” da cui si derivano una o più chiavi private. In pratica: seed → private keys → controllo dei wallet. Se un seed è decifrato in un secondo momento, l’attaccante può ricostruire le chiavi e firmare transazioni, provocando i cosiddetti “wallet drains” (in italiano, svuotamenti dei portafogli digitali).
L’analisi descritta è stata effettuata dagli analisti di TRM Labs, che hanno combinato tecniche di intelligence on-chain con dati di threat intelligence. TRM ha pubblicato i risultati dopo aver ricostruito flussi e comportamenti su catene pubbliche e averli correlati con infrastrutture note.
Cosa sono i “mixer” e gli “off-ramp”
Nel caso di specie, i mixer sono soluzioni che cercano di rompere il nesso diretto tra indirizzi mittenti e destinatari aggregando e rimescolando fondi di più utenti. Un esempio tecnico è CoinJoin (usato da wallet come Wasabi): più utenti costruiscono una singola transazione collettiva in modo che sia difficile dire quale output corrisponde a quale input.
Gli off-ramp sono i punti in cui la criptovaluta è convertita in valuta fiat o trasferita su infrastrutture centralizzate (tipicamente exchange). Sono cruciali perché, quando i fondi sono depositati su un exchange, spesso emergono informazioni esterne (KYC, IP, conti bancari) che rendono più facile tracciare l’origine illecita dei fondi.
Cosa significa “demixing” in termini tecnici
Si chiama demixing è l’insieme di tecniche analitiche volte a riassociare, almeno a livello di cluster o di probabilità, gli input e gli output di transazioni miste come CoinJoin.
Dal punto di vista tecnico, il demixing utilizza: pattern comportamentali, correlazioni temporali tra depositi e prelievi, analisi delle quantità (suddivisioni e somme aggregate), identificazione di peeling chains (catene dove somme di denaro sono progressivamente spostate tramite separazioni ripetute) e impronte del software wallet.
Queste tecniche non “rompono” la cifratura del mixer: piuttosto, permettono di costruire ipotesi statistiche forti che collegano cluster di indirizzi prima e dopo il mix. Elementi esterni — come indirizzi di exchange noti, interazioni ripetute con infrastrutture associate a un determinato ecosistema geografico o intelligence OSINT — rafforzano l’attendibilità delle ricostruzioni.
Come TRM ha applicato il demixing al caso LastPass
Nel caso esaminato, TRM ha osservato una firma on-chain coerente: molte chiavi rubate sono state importate in uno stesso tipo di software wallet e hanno prodotto caratteristiche ricorrenti. Per asset non-BTC (criptovalute diverse dal Bitcoin), gli attaccanti hanno spesso usato swap istantanei per convertire in Bitcoin, quindi depositare in indirizzi monouso e infine in Wasabi Wallet attraverso CoinJoin.
Analizzando i depositi e i prelievi Wasabi come una campagna coordinata anziché come eventi isolati, TRM ha eseguito una corrispondenza statistica tra gruppi di depositi e cluster di prelievi: l’allineamento temporale e di valore tra dati aggregati in entrata e cluster in uscita era troppo preciso per essere casuale. Inoltre, le impronte transazionali osservate prima del mix si ritrovavano anche dopo. Non solo: analizzando gli indirizzi i ricercatori hanno ripetutamente rinvenuto collegamenti a infrastrutture russe.
In pratica, TRM ha usato una combinazione di:
– fingerprinting del software wallet (es. come venivano costruite le transazioni);
– matching statistico di somme e tempi tra depositi e prelievi Wasabi;
– riconoscimento di catene di peeling e routing verso indirizzi noti di exchange.
Questa metodologia ha permesso di stimare il furto complessivo di oltre 35 milioni di dollari, un’indicazione che TRM dice di essere molto prudente.
Implicazioni pratiche e cosa significa per gli utenti
Dal punto di vista operativo, la vicenda fatta emergere da TRM lascia sul tavolo tre lezioni chiave: in primo luogo, la compromissione di vault cifrati rimane pericolosa se le master password sono deboli, perché gli aggressori possono eseguire attacchi offline nel tempo.
In secondo luogo, i mixer non garantiscono anonimato assoluto: riutilizzo di infrastrutture, impronte transazionali e correlazioni temporali sono sufficienti a ricostruire percorsi probabili. In terzo luogo, gli off-ramp (exchange che ricevono i fondi miscelati) spesso forniscono segnali forti per collegare attività ad attori e giurisdizioni.
Per gli utenti: cambiare master password con una passphrase forte, abilitare l’autenticazione a due fattori e ruotare chiavi/seed sono misure basilari per limitare il rischio di “svuotamenti” dei propri portafogli digitali nel corso del tempo.
Conclusione
La ricerca condotta da TRM Labs dimostra come la combinazione di analisi on-chain avanzata, demixing statistico e threat intelligence possa aiutare a ricostruire pipeline di riciclaggio anche quando sono usati mixer come Wasabi.
Nel caso di LastPass, la decodifica di vault protetti da password deboli ha trasformato una singola violazione del 2022 in una finestra di opportunità pluriennale per gli aggressori, che hanno poi provato a monetizzare i fondi passando da mixer e infine da exchange associati a infrastrutture russe.
/https://www.ilsoftware.it/app/uploads/2025/12/verifica-identita-social-media.jpg "Verifica obbligatoria dell’identità sui social media nell’UE: cosa potrebbe cambiare")
/https://www.ilsoftware.it/app/uploads/2023/11/4-26.jpg "Google: al via i test per poter cambiare indirizzo Gmail")
/https://www.ilsoftware.it/app/uploads/2025/11/verifica-eta-online-parental-control.jpg "Verifica dell'età va fatta dal sistema operativo: cosa cambia in Europa")
/https://www.ilsoftware.it/app/uploads/2025/11/whatsapp-census-raccolti-dati-utenti.jpg "Come funziona davvero la vulnerabilità WhatsApp che ha esposto i dati di 3,5 miliardi di utenti")