1/ Eine Untersuchung darüber, wie ich einen der Verdächtigen im Zusammenhang mit dem $28M Bittensor-Hack von 2024 identifiziert habe, indem ich Anime NFT-Waschgeschäfte identifiziert habe, die mit einem ehemaligen Mitarbeiter verbunden sind, und dafür eine Whitehat-Prämie für meine Bemühungen erhalten habe.

2/ 32 $TAO-Inhaber erlebten unautorisierte Überweisungen von über 28 Millionen Dollar von Mai bis Juli 2024, und das Bittensor-Netzwerk wurde am 2. Juli 2024 vorübergehend gestoppt. Ein Nachbericht, der vom Team veröffentlicht wurde, zeigte, dass die Diebstähle das Ergebnis eines Supply-Chain-Angriffs waren, nachdem ein bösartiges PyPi-Paket Ende Mai 2024 hochgeladen wurde. Opfer, die das Paket heruntergeladen und spezifische Operationen durchgeführt haben, haben versehentlich private Schlüssel kompromittiert.

3/ Ich begann, die gestohlenen Gelder von zwei ursprünglichen Diebstahlsadressen nachzuverfolgen. TAO wurde über die native Brücke von Bittensor zu Ethereum übertragen und dann zu Instant-Börsen transferiert, wo die Angreifer in XMR umgetauscht haben. Opfer: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN $13M: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Die Konsolidierung von Diebstahl 0x09f hat im Juni 2024 ~$4,94M in Railgun, ein Datenschutzprotokoll, eingezahlt. Insgesamt wurden 548,934 ETH über 0x601 vom 8. bis 9. Juni eingezahlt. 701,066 ETH, 277,2K USDC, 22,35 WETH wurden insgesamt über 0xf5ff am 11. und 15. Juni eingezahlt. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Ich habe die Railgun-Abhebungen auf drei Adressen (0x1d7, 0x87d8, 0x1fbc) durch Anwendung von Timing-/Betragsheuristiken deanonymisiert. Gesamteinzahlungen: 1249,68 ETH, 277,2K USDC, 22,35 WETH Gesamtabhebungen: 1246,16 ETH, 276,4K USDC, 19,83 WETH Die einzigartigen Denominationen und die kurze Einzahlungszeit machen die Demix hochgradig vertrauenswürdig. Abhebungsadressen: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ Die gestohlenen Gelder flossen am 9. Juni zu mehr Instant-Exchanges von 0x87d8 und der Rest wurde am 10. Juni zu 0x1d7 konsolidiert. 0x1d7 überbrückte am 14. Juni 1054 ETH zu Avalanche und zurück zu Ethereum über Synapse. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 kaufte 4 X Killer GF NFTs für 18,644 ETH am 12. Juni um 18:29 Uhr UTC von 0x0bc7, einer neu finanzierten Wallet, über einen Instant-Exchange 2, die insgesamt 30 KGF NFTs für 1,279 ETH am 12. Juni um 17:58 Uhr UTC kaufte. Der Bodenpreis lag im Durchschnitt bei ~0,045 ETH pro NFT, was bedeutet, dass 0x1d7 von 0x0bc7 verdächtig viel überbezahlt hat.

8/ 0x5e9c kaufte am 12. Juni um 18:35 Uhr UTC insgesamt 30 X Killer GF NFTs für 3,23 ETH. 0x5e9c verkaufte 27 NFTs an 0x0bc7 für ~19,3 ETH, wobei die Mittel von der Diebstahlsadresse 0x1d7 gewaschen wurden. Das Diagramm unten zeigt, wie alle drei beteiligten Adressen miteinander interagieren.

9/ 0x5e9c wurde am 12. Juni um 17:11 Uhr UTC mit 14 ETH von 0xcf0c finanziert, bevor die Wash-Trades stattfanden. 0xcf0c hat häufige Interaktionen mit 0xd512, einem Bittensor-Nutzer, der den ‚Hot Wheels Presale‘-Vertrag für ein Projekt ‚Skrtt racing‘ bereitgestellt hat. Weitere Ermittlungen ergaben, dass das Skrtt-Projekt von einer Person erstellt wurde, die das Pseudonym Rusty verwendet.

10/ Rusty verwendet das X-Konto ‚otc_rusty‘ und in seiner Bio steht, dass er zuvor ein Opentensor-Ingenieur war. Für diejenigen, die es nicht wissen: OT ist die Grundlage, die Bittensor verwaltet.

12/ Es ist äußerst selten, dass Exploits/Hacks mit NFT-Waschhandel verbunden sind, und ich denke, die Beziehung zwischen den einzelnen Adressen ist einfach zu zufällig, angesichts dessen, wie sie vor den NFT-Käufen finanziert wurden und mehrfach über dem Bodenpreis für die Sammlung gehandelt wurden. Hoffentlich wird die Strafverfolgung in Zukunft irgendwann mit einem Strafverfahren vorankommen. Ein weiteres Beweisstück ist die Überlappung bei den Sofortwechseln, die vom Angreifer verwendet wurden und auch mit den Verdächtigen verbunden sind, in die ich nicht so sehr eingetaucht bin, da dieser Beitrag ziemlich lang wurde.