Як повідомляє DL News із посиланням на експертів галузі, злочинці застосували нову техніку для відмивання криптовалюти, маскуючи свою діяльність під помилки трейдерів-початківців.
Хакери встановлюють свопи, чутливі до атак керованих ними арбітражних ботів. Ця стратегія, зокрема, використовується хакерами, що належать до групи Lazarus.
Ці операції демонструють усі риси, які зазвичай пов’язані з відмиванням грошей, зауважив Єгор Рудиця, аналітик із безпеки блокчейн-компанії Hacken.
Експерт виявив численні транзакції з гаманців, які, як він стверджує, викликали «серйозні підозри» через використання в них FixedFloat і ChangeNow, двох криптовалютних міксерів, які віддають перевагу відмивачам грошей.
Схема передбачає використання стейблкойнів USDC і USDT за допомогою багатофазного процесу.
Спочатку кілька гаманців вносять і виводять кошти через Aave. Після видалення активів з протоколу відмивачі вводять «стабільні монети» в торговий пул на децентралізованій біржі Uniswap.
Стайблкойни зазвичай торгуються приблизно за однаковою вартістю, оскільки вони прив’язані до долара США. Однак відмивачі налаштовують торгові пули на Uniswap таким чином, щоб їхній бот міг маніпулювати угодами.
В одному випадку зловмисники обміняли 90 000 доларів США в доларах США на 2300 доларів США в доларах США, зазнавши збитків у 87 700 доларів США. Хоча гаманець, який ініціював транзакцію, зазнає збитків, втрачена сума компенсується арбітражними прибутками, які генерує програмне забезпечення, контрольоване відмивачем.
Рудиця зазначив, що він виявив шість таких угод, здійснених через один і той же торговий пул протягом лише п'яти хвилин, що свідчить про організовані операції.
Хакери також використовують альтернативні методи, такі як сендвіч-атаки, коли боти отримують токени для значних транзакцій, а потім перепродають їх із націнкою.
Інша схема передбачає роботу з неліквідними активами. В одному спостережуваному випадку адреса, пов’язана з Lazarus, використовувала WAFF і USDT. Отже, Tether заблокував пул Uniswap, пов’язаний із цим токеном.
Нагадаємо, 13 березня хакери Lazarus перерахували 400 ETH (~$752 тис.) на криптоміксер Tornado Cash. Початкова адреса отримувала активи через протокол THORChain, який група часто використовувала в схемах відмивання коштів, вкрадених у Bybit.
