Эксперты компании TRM Labs, специализирующейся на анализе блокчейна, установили связь между российской кибергруппой и отмыванием средств на сумму свыше $35 млн. Эти деньги были похищены у клиентов сервиса LastPass в результате взлома, произошедшего в 2022 году.

Преступники систематически опустошали криптокошельки до конца 2025 года, используя протоколы конфиденциальности и миксеры вроде Wasabi Wallet и CoinJoin для заметания следов. Аналитики деанонимизировали транзакции через поведенческий анализ, выявив «ончейн-почерк» и связи с российскими платформами Cryptex и Audi6, где осело до $7 млн.​

Злоумышленники конвертировали токены в биткоин через сервисы мгновенного обмена, затем микшировали средства перед выводом на санкционные биржи вроде Cryptex под управлением по контролю за иностранными активами (OFAC). Кошельки демонстрировали операционные связи с Россией до и после отмывания, подтверждая локальный характер операций. Такие каналы обеспечивают ликвидность для глобальной киберпреступности на крипторынке, позволяя монетизировать взломы без преследования.

TRM Labs подчеркнула уязвимости миксеров: несмотря на анонимность, специфические паттерны импорта ключей позволили отследить путь. Российские платформы стали хабом для вывода, усиливая роль DeFi в теневых схемах. 

В итоге отчет выявил инфраструктуру российской киберпреступности, интегрированную в блокчейн. Трейдерам стоит избегать подозрительных бирж. Регуляторы усилят контроль за отмыванием в цифровых активах.