Хакеры начали отмывать криптовалюту, маскируясь под неопытных трейдеров
Злоумышленники используют новый метод для отмывания криптовалюты, маскируя свои действия под ошибки неопытных трейдеров. Об этом пишет DL News со ссылкой на экспертов.
Хакеры создают свопы, уязвимые к атакам арбитражных ботов, которых сами же и контролируют. Подобную тактику использует в том числе Lazarus Group.
Эти сделки обладают всеми характеристиками, которые обычно ассоциируются с отмыванием денег, рассказал исследователь в сфере безопасности блокчейн-компании Hacken Егор Рудица.
Эксперт выявил множество транзакций из кошельков, которые, по его словам, вызывали «серьезные подозрения», поскольку они проводили средства через FixedFloat и ChangeNow — два криптомиксера, популярных среди отмывателей денег.
Схема использует стейблкоины USDC и USDT с помощью многоэтапного процесса.
Сначала несколько кошельков вносят и снимают средства через Aave. После вывода активов из протокола отмыватели добавляют «стабильные монеты» в торговый пул на децентрализованной бирже Uniswap.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!
Обычно стейблкоины торгуются примерно по одной и той же цене, поскольку они привязаны к стоимости доллара. Однако отмыватели настраивают торговые пулы на Uniswap таким образом, чтобы их собственный бот мог вмешиваться в сделки.
В одном из примеров злоумышленники обменяли $90 000 в USDC на $2300 в USDT, потеряв $87 700. Убытки отправившего транзакцию кошелька компенсируются прибылью от арбитража, которую получает контролируемое отмывателями ПО.
Рудица заявил, что идентифицировал шесть таких сделок, проведенных через один и тот же торговый пул всего в течение пяти минут, что указывает на организованную деятельность.
Хакеры применяют и другие методы. Например, используют сэндвич-атаки, когда боты выкупают токены до крупных сделок, а затем продают их с наценкой.
Еще одна схема — работа с низколиквидными активами. В одном из случаев, зафиксированном экспертами, адрес, причастный к Lazarus, использовал WAFF и USDT. В результате компания Tether заблокировала пул Uniswap, связанный с токеном.
Напомним, 13 марта хакеры Lazarus отправили 400 ETH (~$752 000) на криптомиксер Tornado Cash. Первоначальный адрес получил средства через протокол THORChain, который группировка активно использовала в схемах отмывания украденных у Bybit средств.