Kasus pencurian 283 juta XRP (senilai $150 juta) dari akun pribadi Chris Larsen, co-founder Ripple, pada Januari 2024, kini dikaitkan dengan peretasan password manager LastPass, menurut gugatan penyitaan yang diajukan oleh aparat penegak hukum AS dan diungkap oleh investigator kripto ZachXBT.

Pada 7 Maret, ZachXBT membagikan tangkapan layar dokumen gugatan di kanal Telegram-nya dan mengklaim bahwa pencurian ini terjadi karena private key Larsen disimpan di LastPass, sebuah password manager yang mengalami peretasan pada 2022. Hingga saat ini, Larsen belum pernah secara publik mengungkap penyebab pencurian tersebut.

Menurut isi gugatan, private key Larsen disimpan di LastPass sebelum akhirnya dihancurkan. Empat perangkat berbeda diketahui memiliki akses ke password manager tersebut, yang dilindungi dengan kata sandi panjang dan unik.

LastPass sendiri mengalami dua peretasan besar, yakni pada Agustus 2022 dan November 2022, di mana para peretas mencuri data kata sandi terenkripsi serta vault data manajemen kata sandi online. Menurut investigasi FBI, data yang bocor dari peretasan ini kemudian digunakan untuk mencuri berbagai aset kripto.

ZachXBT Melacak Pencucian XRP yang Dicuri

Setelah peretasan XRP terhadap Larsen, ZachXBT melacak pergerakan token yang dicuri melalui beberapa bursa kripto seperti MEXC, Gate.io, Binance, Kraken, OKX, HTX, HitBTC, dan lainnya.

Menurut laporan Cointelegraph, peretas LastPass sebelumnya juga mencuri tambahan $45 juta dari pemegang kripto lainnya tepat sebelum Natal pada Desember 2024. Tim hacker white hat dari Security Alliance memperingatkan bahwa seed phrase dan private key yang disimpan di password manager sebelum 2023 masih berisiko diretas.

Menyimpan private key atau seed phrase secara online dianggap sebagai praktik yang sangat berisiko. Para ahli keamanan merekomendasikan untuk menuliskannya secara fisik dan menyimpannya di tempat yang aman, atau menggunakan penyimpanan digital offline seperti USB. Alternatif lainnya, pengguna dapat membagi seed phrase ke dalam beberapa bagian dan menyimpannya di lokasi yang berbeda untuk meningkatkan keamanan.

Meskipun demikian, password manager tetap memiliki manfaat dalam praktik keamanan kripto, terutama dalam membantu menghasilkan dan menyimpan kata sandi kompleks yang dapat mempersulit upaya peretasan terhadap dompet digital.