Хакеры скрывают свои действия, маскируясь под неопытных трейдеров для отмывания криптовалюты

Эксперты отмечают, что эти операции напоминают традиционные схемы отмывания денег. В частности, исследователь из компании Hacken, Егор Рудица, обнаружил множество подозрительных транзакций, проводимых через криптомиксеры FixedFloat и ChangeNow, которые часто используются для отмывания средств.

В основе этих операций лежит использование стейблкоинов, таких как USDC и USDT, с применением многоэтапного процесса. Сначала несколько кошельков вносят и снимают средства через платформу Aave. Затем, после вывода активов, отмыватели направляют стейблкоины в торговые пулы на децентрализованной бирже Uniswap.

Обычно стейблкоины, будучи привязанными к доллару, имеют стабильную цену. Однако злоумышленники настраивают пулы таким образом, что их контролируемые боты могут вмешиваться в сделки. В одном из таких примеров было зафиксировано, как хакеры обменяли $90 000 в USDC на $2300 в USDT, потеряв $87 700. Несмотря на убытки в одной транзакции, отмыватели компенсируют их через арбитражную прибыль.

Рудица также обнаружил, что в течение пяти минут через один и тот же торговый пул было проведено шесть подобных сделок, что свидетельствует о высокоорганизованной деятельности преступников.

Помимо этого, хакеры используют и другие методы для сокрытия своих следов. Одним из таких способов является сэндвич-атака, когда боты покупают токены до крупных сделок и затем продают их с наценкой. Также хакеры активно работают с низколиквидными активами. Например, один из адресов, связанный с Lazarus, использовал токены WAFF и USDT, что привело к блокировке пула Uniswap компанией Tether.

Напоминаем, что 13 марта хакеры из Lazarus перевели 400 ETH (~$752 000) в криптомиксер Tornado Cash. Эти средства поступили через протокол THORChain, который группировка использовала для отмывания украденных средств с платформы Bybit.