据一直在研究类似事件的加密货币欺诈研究人员称，10 月 25 日，黑客利用存储在被盗 LastPass 数据库中的私钥和口令盗取了 440 万美元的加密货币。这一消息来自 ZachXBT 和 MetaMask 开发人员泰勒-莫纳汉（Taylor Monahan），他们一直在追踪这些加密货币盗窃案。

"经常有人通过 DM 联系我们，说他们的加密资产被盗了。我们也会接触在链上发现的受害者，"ZachXBT表示。"我们会询问潜在的 LastPass 受害者多个问题，通常会发现他们都有一个共同点，那就是 LastPass。"

根据 ZachXBT 在 X 上发布的一条推文，由于 2022 年 LastPass 的漏洞，威胁行为者从 25 多名受害者那里窃取了 440 万美元。

2022 年，LastPass 遭遇了两次漏洞，最终让威胁分子窃取了源代码、客户数据和存储在云服务（包括加密密码库）中的生产备份。

当时，LastPass 首席执行官卡里姆-图巴（Karim Toubba）表示，虽然加密库被盗，但只有客户才知道解密所需的主密码。

因此，如果你遵循了 LastPass 推荐的密码最佳实践，你的密码保险箱应该是安全的。不过，LastPass 警告说，对于那些使用较弱密码的用户，建议重新设置主密码。

LastPass关于此次网络攻击的支持公告写道："根据主密码的长度和复杂程度以及迭代次数设置，你可能需要重置主密码。"

之所以给出这样的建议，是因为较弱的密码更容易被专门的程序破解，这些程序会利用 GPU 对易于破解的密码进行暴力破解。

根据 Monahan 和 ZachXBT 所做的研究，人们认为威胁者正在破解这些被盗的密码保险库，以获取存储的加密货币钱包口令、凭证和私钥。

一旦获得这些信息，他们就可以将钱包加载到自己的设备上，并盗取其中的所有资金。根据布莱恩-克雷布斯（Brian Krebs）关于这项研究的报告，莫纳汉和其他研究人员已经生成了一个独特的签名，将超过 3500 万美元的盗窃案与相同的威胁行为者联系起来。

莫纳汉今年 8 月在Twitter上写道："在这一点上，我也有信心说，在大多数情况下，被泄露的密钥都是从 LastPass 窃取的。只有特定的一组种子/密钥存储在 LastPass 中，而这些种子/密钥被盗用的受害者人数之多，根本不容忽视。"

越来越清楚的是，LastPass 攻击背后的威胁分子已经成功破解了保险库的密码，并利用窃取的信息进一步实施身份盗窃犯罪。

因此，如果你是在 2022 年 8 月和 12 月漏洞事件中拥有账户的 LastPass 用户，强烈建议你重置所有密码，包括你的主密码。