Хакери почали відмивати криптовалюту, маскуючись під недосвідчених трейдерів

Зловмисники використовують новий метод для відмивання криптовалюти, маскуючи свої дії під помилки недосвідчених трейдерів. Про це пише DL News з посиланням на експертів.

Хакери створюють свопи, вразливі до атак арбітражних ботів, яких самі ж і контролюють. Подібну тактику використовують, зокрема, хакери з Lazarus Group.

Ці угоди мають усі характеристики, які зазвичай асоціюються з відмиванням грошей, розповів дослідник у сфері безпеки блокчейн-компанії Hacken Єгор Рудиця.

Експерт виявив безліч транзакцій із гаманців, які, за його словами, викликали «серйозні підозри», оскільки вони проводили кошти через FixedFloat і ChangeNow — два криптоміксери, популярних серед відмивачів грошей.

Схема використовує стейблкоїни USDC і USDT за допомогою багатоетапного процесу.

Спочатку кілька гаманців вносять і знімають кошти через Aave. Після виведення активів із протоколу відмивачі додають «стабільні монети» в торговий пул на децентралізованій біржі Uniswap.

Зазвичай стейблкоїни торгуються приблизно за однією і тією ж ціною, оскільки вони прив’язані до вартості долара. Однак відмивачі налаштовують торгові пули на Uniswap таким чином, щоб їхній власний бот міг втручатися в угоди.

В одному із прикладів зловмисники обміняли $90 000 в USDC на $2300 в USDT — втративши $87 700. Хоча гаманець, який відправив транзакцію, зазнає збитків, втрачена сума компенсується прибутком від арбітражу, який отримує контрольоване відмивачами ПЗ.

Рудиця заявив, що він ідентифікував шість таких угод, проведених через один і той самий торгівельний пул всього протягом п’яти хвилин, що вказує на організовану діяльність.

Хакери застосовують й інші методи. Наприклад, використовують сендвіч-атаки, коли боти викуповують токени до великих угод, а потім продають їх із націнкою.

Ще одна схема — робота з низьколіквідними активами. В одному з випадків, зафіксованому експертами, адреса, пов’язана з Lazarus, використовувала WAFF і USDT. У результаті компанія Tether заблокувала пул Uniswap, пов’язаний із токеном.

Нагадаємо, 13 березня хакери Lazarus відправили 400 ETH (~$752 000) на криптоміксер Tornado Cash. Початкова адреса отримала кошти через протокол THORChain, який угруповання активно використовувало в схемах відмивання вкрадених у Bybit коштів.