Хакери приховують свої дії, маскуючись під недосвідчених трейдерів для відмивання криптовалюти

Експерти зазначають, що ці операції нагадують традиційні схеми відмивання грошей. Зокрема, дослідник із компанії Hacken, Єгор Рудиця, виявив безліч підозрілих транзакцій, які проводяться через криптоміксери FixedFloat та ChangeNow, які часто використовуються для відмивання коштів.

В основі цих операцій лежить використання стейблкоїнів, таких як USDC та USDT, із застосуванням багатоетапного процесу. Спочатку кілька гаманців вносять та знімають кошти через платформу Aave. Потім, після виведення активів, відмивачі направляють стейблкоіни до торгових пулів на децентралізованій біржі Uniswap.

Зазвичай стейблкоїни, прив'язані до долара, мають стабільну ціну. Однак зловмисники налаштовують пули таким чином, що їх контрольовані боти можуть втручатися у угоди. В одному з таких прикладів було зафіксовано, як хакери обміняли $90 000 USDC на $2300 USDT, втративши $87 700. Незважаючи на збитки в одній транзакції, відмивачі компенсують їх через арбітражний прибуток.

Рудиця також виявив, що протягом п'яти хвилин через той самий торговий пул було проведено шість подібних угод, що свідчить про високоорганізовану діяльність злочинців.

Крім цього, хакери використовують інші методи для приховування своїх слідів. Одним з таких способів є сендвіч-атака, коли роботи купують токени до великих угод і потім продають їх з націнкою. Також хакери активно працюють із низьколіквідними активами. Наприклад, одна з адрес, пов'язана з Lazarus, використовувала токени WAFF і USDT, що призвело до блокування пулу Uniswap компанією Tether.

Нагадуємо, що 13 березня хакери з Lazarus перевели 400 ETH (~$752 000) у криптоміксер Tornado Cash. Ці кошти надійшли через протокол THORChain, який угруповання використовувало для відмивання вкрадених коштів із платформи Bybit.