1/ Vyšetřování toho, jak jsem identifikoval jednoho z podezřelých spojených s hackem Bittensoru v hodnotě 28 milionů dolarů z roku 2024 tím, že jsem identifikoval anime NFT wash trades spojené s bývalým zaměstnancem a za své úsilí jsem získal odměnu whitehat.

Držitelé $TAO 2/32 zaznamenali od května do července 2024 neoprávněné převody přesahující 28 milionů USD a síť Bittensor byla 2. července 2024 dočasně zastavena. Pitva zveřejněná týmem odhalila, že krádeže byly výsledkem útoku na dodavatelský řetězec poté, co byl koncem května 2024 nahrán škodlivý balíček PyPi Oběti, které si balíček stáhly a provedly konkrétní operace, omylem kompromitovaly soukromé klíče.

3/ Začal jsem sledovat ukradené prostředky ze dvou počátečních adres krádeží, TAO bylo přemostěno na Ethereum pomocí nativního mostu Bittensor a poté převedeno na okamžité burzy, kde útočníci přešli na XMR. Oběti: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN $13M: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Konsolidace krádeží 0x09f v červnu 2024 vložena ~4,94 milionu USD do protokolu o ochraně osobních údajů Railgun. Celkem bylo prostřednictvím 0x601 vloženo 548.934 ETH od 8. do 9. června. Celkem 701.066 ETH, 277.2K USDC, 22.35 WETH bylo vloženo prostřednictvím 0xf5ff dne 11. a 15. června. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Deanonymizoval jsem výběry Railgunu na tři adresy (0x1d7, 0x87d8, 0x1fbc) pomocí heuristiky časování / množství. Celkové vklady: 1249.68 ETH, 277.2K USDC, 22.35 WETH Celkové výběry: 1246.16 ETH, 276.4K USDC, 19.83 WETH Díky jedinečným nominálním hodnotám a krátké době vkladu je demix vysoce důvěryhodný. Adresy pro výběr: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ Ukradené prostředky přitekly na další okamžité burzy od 0x87d8 9. června a zbytek byl konsolidován do 0x1d7 10. června. 0x1d7 14. června přemostil 1054 ETH do Avalanche a zpět na Ethereum prostřednictvím Synapse. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 zakoupili 4 X Killer GF NFT za 18.644 ETH 12. června v 18:29 UTC od 0x0bc7 nově financované peněženky prostřednictvím okamžité burzy 2, která 12. června v 17:58 UTC zakoupila 30 KGF NFT za celkem 1.279 ETH. Minimální cena byla v průměru ~0,045 ETH za NFT, což znamená, že 0x1d7 podezřele přeplacená z 0x0bc7 mnoha násobky.

8/ Dne 12. června v 18:35 UTC 0x5e9c zakoupil 30 X Killer GF NFT za celkem 3,23 ETH. 0x5e9c prodal 27 NFT společnosti 0x0bc7 za ~19,3 ETH pomocí prostředků vymytých z adresy krádeže 0x1d7. Níže uvedený diagram znázorňuje, jak všechny tři zúčastněné adresy vzájemně interagují.

9/ 0x5e9c byl financován 14 ETH do 0xcf0c dne 12. června v 17:11 UTC před konáním wash obchodů. 0xcf0c je v častých interakcích se 0xd512 která je uživatelem Bittensoru a nasadila smlouvu "Hot Wheels Presale" pro projekt "Skrtt racing" Další vyšetřování odhalilo, že projekt Skrtt byl vytvořen osobou, která používá přezdívku Rusty.

10/ Rusty používá účet X "otc_rusty" a jeho životopis uvádí, že byl dříve inženýrem Opentensoru. Pro ty, kteří nevědí, že OT je základem, který spravuje Bittensor.

12/ Je extrémně vzácné vidět exploity/hacky zahrnující NFT wash trading a myslím, že vztah mezi jednotlivými adresami je příliš náhodný vzhledem k tomu, jak byly financovány před nákupy NFT a obchodovány násobně nad minimální cenou za kolekci. Doufejme, že orgány činné v trestním řízení nakonec v budoucnu pokročí v trestním řízení. Dalším důkazem je překrývání okamžitých výměn používaných útočníkem a také spojených s podezřelými, do kterých jsem se tolik neponořil, protože tento příspěvek byl poměrně dlouhý.