Хакеры маскируют отмывание криптовалюты, прикрываясь трейдерами-новичками

Злоумышленники применяют новый подход к отмыванию криптовалюты, выдавая свои действия за ошибки неопытных трейдеров. Об этом сообщает DL News со ссылкой на мнение специалистов.

Хакеры создают свопы, которые уязвимы к атакам со стороны арбитражных ботов, находящихся под их контролем. Такую тактику, в частности, использует группа Lazarus.

Эти операции имеют все признаки, характерные для отмывания денег, как отметил эксперт по безопасности блокчейна из компании Hacken Егор Рудица.

Специалист обнаружил множество транзакций из кошельков, которые, по его словам, вызывали серьезные подозрения, поскольку средства проходили через два популярных криптомиксера — FixedFloat и ChangeNow.

В данной схеме используются стейблкоины USDC и USDT в рамках многоэтапного процесса.

Первоначально несколько кошельков осуществляют операции по внесению и снятию средств через Aave. После этого отмыватели добавляют “стабильные монеты” в пул на децентрализованной бирже Uniswap.

Обычно стейблкоины имеют схожую цену, так как они связаны со стоимостью доллара. Однако отмыватели манипулируют торговыми пулами на Uniswap так, чтобы их собственные боты могли вмешиваться в сделку.

В одном из случаев злоумышленники обменяли $90 000 в USDC на $2300 в USDT, понеся убыток в $87 700. Потери кошелька, отправившего транзакцию, возмещаются прибылью от арбитража, которую получает контролируемое отмывателями программное обеспечение.

Рудица отметил, что он выявил шесть подобных операций, проведенных через один и тот же торговый пул за короткий промежуток времени, что указывает на структурированную деятельность.

Также хакеры используют другие методы, включая сэндвич-атаки, при которых боты предварительно выкупают токены перед крупными сделками и затем реализуют их с наценкой.

Еще одной схемой является работа с низколиквидными активами. В одном из примеров, зафиксированных экспертами, адрес, связанный с Lazarus, использовал WAFF и USDT. В результате компания Tether заблокировала пул на Uniswap, связанный с указанным токеном.

Следует отметить, что 13 марта хакеры из группы Lazarus перевели 400 ETH (~$752 000) на криптомиксер Tornado Cash. Первоначальный адрес получил средства через протокол THORChain, который группа активно использовала для отмывания украденных у Bybit средств.