Хакери почали відмивати криптовалюту, видаючи себе за недосвідчених трейдерів – ForkLog UA
Злочинці застосовують новий підхід до відмивання криптовалюти, маскуючи свою діяльність під помилки трейдерів-початківців, повідомляє DL News з посиланням на думки експертів.
Хакери встановлюють свопи, чутливі до атак арбітражних ботів під їхнім контролем. Ця стратегія особливо використовується членами групи Lazarus.
Ці транзакції демонструють усі ознаки, які зазвичай пов’язують із відмиванням грошей, зазначив Єгор Рудиця, аналітик із безпеки блокчейн-компанії Hacken.
Експерт виявив численні транзакції з гаманців, які, на його думку, викликають «серйозне занепокоєння» через використання в них FixedFloat і ChangeNow, двох криптовалютних міксерів, які віддають перевагу відмивачам грошей.
Операція використовує стейблкойни USDC і USDT за допомогою багатоетапного підходу.
По-перше, кілька гаманців вносять і виводять кошти через Aave. Після видалення активів з протоколу відмивачі вводять «стабільні монети» в торговий пул на децентралізованій біржі Uniswap.
Зазвичай стейблкоїни торгуються приблизно за однаковою вартістю, оскільки вони прив’язані до курсу долара. Однак відмивачі налаштовують торгові пули на Uniswap, щоб їхній власний бот міг маніпулювати угодами.
В одному випадку зловмисники обміняли 90 000 доларів США в доларах США на 2300 доларів США в доларах США, зазнавши збитків у 87 700 доларів США. Хоча гаманець, який ініціює транзакцію, несе збитки, втрачена сума компенсується арбітражними прибутками, які генерує програмне забезпечення, контрольоване відмивачем.
Рудиця зазначив, що він виявив шість таких угод, здійснених через один торговий пул всього за п'ять хвилин, що свідчить про скоординовану діяльність.
Хакери також використовують альтернативні стратегії, такі як сендвіч-атаки, коли боти купують токени для великих транзакцій і згодом продають їх за вищою ціною.
Ще одна тактика передбачає роботу з неліквідними активами. В одному спостережуваному випадку адреса, пов’язана з Lazarus, використовувала WAFF і USDT. Отже, Tether заблокував пул Uniswap, пов’язаний з токеном.
Нагадаємо, 13 березня хакери Lazarus перерахували 400 ETH (~$752 тис.) на криптоміксер Tornado Cash. Початкова адреса отримувала кошти через протокол THORChain, який група активно використовувала в схемах відмивання вкрадених активів Bybit.
