Злоумышленники используют новый метод для отмывания криптовалюты, маскируя свои действия под ошибки неопытных трейдеров. Об этом пишет DL News со ссылкой на экспертов.
Хакеры создают свопы, уязвимые к атакам арбитражных ботов, которых сами же и контролируют. Подобную тактику использует в том числе Lazarus Group.
Эти сделки обладают всеми характеристиками, которые обычно ассоциируются с отмыванием денег, рассказал исследователь в сфере безопасности блокчейн-компании Hacken Егор Рудица.
Эксперт выявил множество транзакций из кошельков, которые, по его словам, вызывали «серьезные подозрения», поскольку они проводили средства через FixedFloat и ChangeNow — два криптомиксера, популярных среди отмывателей денег.
Схема использует стейблкоины USDC и USDT с помощью многоэтапного процесса.
Сначала несколько кошельков вносят и снимают средства через Aave. После вывода активов из протокола отмыватели добавляют «стабильные монеты» в торговый пул на децентрализованной бирже Uniswap.
Обычно стейблкоины торгуются примерно по одной и той же цене, поскольку они привязаны к стоимости доллара. Однако отмыватели настраивают торговые пулы на Uniswap таким образом, чтобы их собственный бот мог вмешиваться в сделки.
В одном из примеров злоумышленники обменяли $90 тыс. в USDC на $2300 в USDT, потеряв $87 700. Убытки отправившего транзакцию кошелька компенсируются прибылью от арбитража, которую получает контролируемое отмывателями ПО.
Рудица заявил, что идентифицировал шесть таких сделок, проведенных через один и тот же торговый пул всего в течение пяти минут, что указывает на организованную деятельность.
Хакеры применяют и другие методы. Например, используют сэндвич-атаки, когда боты выкупают токены до крупных сделок, а затем продают их с наценкой.
Еще одна схема — работа с низколиквидными активами. В одном из случаев, зафиксированном экспертами, адрес, причастный к Lazarus, использовал WAFF и USDT. В результате компания Tether заблокировала пул Uniswap, связанный с токеном.
Напомним, 13 марта хакеры Lazarus отправили 400 ETH (около $752 тыс.) на криптомиксер Tornado Cash. Первоначальный адрес получил средства через протокол THORChain, который группировка активно использовала в схемах отмывания украденных у Bybit средств.