Злоумышленники используют новый метод для отмывания криптовалюты, маскируя свои действия под ошибки неопытных трейдеров. Об этом пишет DL News со ссылкой на экспертов.

Хакеры создают свопы, уязвимые к атакам арбитражных ботов, которых сами же и контролируют. Подобную ​​тактику используют в том числе хакеры из Lazarus Group.

Эти сделки обладают всеми характеристиками, которые обычно ассоциируются с отмыванием денег, рассказал исследователь в сфере безопасности блокчейн-компании Hacken Егор Рудица.

Эксперт выявил множество транзакций из кошельков, которые, по его словам, вызывали «серьезные подозрения», поскольку они проводили средства через FixedFloat и ChangeNow — два криптомиксера, популярных среди отмывателей денег.

Схема использует стейблкоины USDC и USDT с помощью многоэтапного процесса.

Сначала несколько кошельков вносят и снимают средства через Aave. После вывода активов из протокола отмыватели добавляют «стабильные монеты» в торговый пул на децентрализованной бирже Uniswap.

Обычно стейблкоины торгуются примерно по одной и той же цене, поскольку они привязаны к стоимости доллара. Однако отмыватели настраивают торговые пулы на Uniswap таким образом, чтобы их собственный бот мог вмешиваться в сделки.

В одном из примеров злоумышленники обменяли $90 000 в USDC на $2300 в USDT — потеряв $87 700. Хотя кошелек, отправивший транзакцию, несет убытки, потерянная сумма компенсируется прибылью от арбитража, которую получает контролируемое отмывателями ПО.

Рудица заявил, что идентифицировал шесть таких сделок, проведенных через один и тот же торговый пул всего в течение пяти минут, что указывает на организованную деятельность.

Хакеры применяют и другие методы. Например, используют сэндвич-атаки, когда боты выкупают токены до крупных сделок, а затем продают их с наценкой. 

Еще одна схема — работа с низколиквидными активами. В одном из случаев, зафиксированном экспертами, адрес, причастный к Lazarus, использовал WAFF и USDT. В результате компания Tether заблокировала пул Uniswap, связанный с токеном.

Напомним, 13 марта хакеры Lazarus отправили 400 ETH (~$752 000) на криптомиксер Tornado Cash. Первоначальный адрес получил средства через протокол THORChain, который группировка активно использовала в схемах отмывания украденных у Bybit средств.