Хакери почали відмивати криптовалюту, маскуючись під недосвідчених трейдерів
Зловмисники застосовують нову тактику для відмивання криптовалюти, приховуючи свої дії під виглядом помилок недосвідчених трейдерів. Про це повідомляє DL News, посилаючись на думку фахівців.
Хакери створюють свопи, які вразливі до атак арбітражних ботів, за якими вони самі і стежать. Таку стратегію, зокрема, використовують хакери з Lazarus Group.
Ці угоди мають всі ознаки, які зазвичай пов’язані з відмиванням грошей, зазначив дослідник у сфері безпеки блокчейн-компанії Hacken Єгор Рудиця.
Експерт виявив численні транзакції з гаманців, які, за його словами, викликали «значні підозри», оскільки вони переміщували кошти через FixedFloat і ChangeNow — два криптоміксери, що користуються популярністю серед відмивачів грошей.
Схема використовує стейблкоїни USDC і USDT за допомогою багатоступеневого процесу.
На початковому етапі кілька гаманців вносять і знімають кошти через Aave. Після виведення активів з протоколу відмивачі додають «стабільні монети» в торговий пул на децентралізованій біржі Uniswap.
Зазвичай стейблкоїни торгуються приблизно за однаковою ціною, оскільки вони прив’язані до вартості долара. Однак відмивачі налаштовують торгові пули на Uniswap так, щоб їхній власний бот міг втручатися в угоди.
В одному з випадків зловмисники обміняли $90 000 в USDC на $2300 в USDT — зазнавши збитків у розмірі $87 700. Хоча гаманець, що здійснив транзакцію, зазнає втрат, втрачені кошти компенсуються прибутком від арбітражу, який отримує контрольоване відмивачами програмне забезпечення.
Рудиця зазначив, що він виявив шість таких угод, проведених через один і той самий торговий пул всього за п’ять хвилин, що свідчить про організовану діяльність.
Хакери використовують також інші методи. Наприклад, вони проводять сендвіч-атаки, коли боти викуповують токени перед великими угодами, а потім реалізують їх за вищою ціною.
Ще одна схема полягає в роботі з низьколіквідними активами. В одному із випадків, зафіксованому експертами, адреса, пов’язана з Lazarus, використовувала WAFF і USDT. В результаті компанія Tether заблокувала пул Uniswap, пов’язаний із токеном.
Нагадаємо, 13 березня хакери Lazarus переказали 400 ETH (~$752 000) на криптоміксер Tornado Cash. Початкова адреса отримала кошти через протокол THORChain, який угруповання активного використовувало для схем відмивання коштів, вкрадених у Bybit.
