1/ Een onderzoek naar hoe ik een van de verdachten die verbonden zijn aan de $28M Bittensor hack van 2024 heb geïdentificeerd door anime NFT wash trades te koppelen aan een voormalige werknemer en een whitehat beloning heb verdiend voor mijn inspanningen.

2/ 32 $TAO-houders hebben ongeautoriseerde overboekingen van meer dan $28M ervaren van mei tot juli 2024 en het Bittensor-netwerk werd tijdelijk stilgelegd op 2 juli 2024. Een post-mortem gepubliceerd door het team onthulde dat de diefstallen het resultaat waren van een supply chain-aanval nadat een kwaadaardig PyPi-pakket eind mei 2024 was geüpload. Slachtoffers die het pakket hebben gedownload en specifieke handelingen hebben uitgevoerd, hebben per ongeluk privésleutels gecompromitteerd.

3/ Ik begon de gestolen fondsen te traceren vanaf twee initiële diefstadressen, TAO werd via de Bittensor native bridge naar Ethereum overgezet, en vervolgens overgedragen aan instant exchanges waar de aanvallers het omwisselden naar XMR. Slachtoffers: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN $13M: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Diefstal consolidatie 0x09f heeft ~$4,94M gestort in Railgun, een privacyprotocol in juni 2024. In totaal 548,934 ETH werd gestort via 0x601 van 8-9 juni. In totaal 701,066 ETH, 277,2K USDC, 22,35 WETH werd gestort via 0xf5ff op 11 en 15 juni. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Ik heb de Railgun-opnames gedenaamiseerd naar drie adressen (0x1d7, 0x87d8, 0x1fbc) door timing- / bedragheuristieken toe te passen. Totaal stortingen: 1249,68 ETH, 277,2K USDC, 22,35 WETH Totaal opnames: 1246,16 ETH, 276,4K USDC, 19,83 WETH De unieke denominaties en korte stortingstijd maken de demix zeer betrouwbaar. Opnameadressen: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ De gestolen fondsen stroomden op 9 juni naar meer instant exchanges vanaf 0x87d8 en de rest werd op 10 juni geconsolideerd naar 0x1d7. 0x1d7 heeft op 14 juni 1054 ETH naar Avalanche overgebracht en weer terug naar Ethereum via Synapse. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 heeft 4 X Killer GF NFT's gekocht voor 18.644 ETH op 12 juni om 18:29 UTC van 0x0bc7, een nieuw gefinancierde wallet via instant exchange 2 die 30 KGF NFT's heeft gekocht voor in totaal 1.279 ETH op 12 juni om 17:58 UTC. De vloerprijs gemiddeld ~0.045 ETH per NFT, wat betekent dat 0x1d7 verdacht veel te veel heeft betaald aan 0x0bc7.

8/ 0x5e9c kocht 30 X Killer GF NFT's voor in totaal 3,23 ETH op 12 juni om 18:35 UTC. 0x5e9c verkocht 27 NFT's aan 0x0bc7 voor ~19,3 ETH met fondsen gewassen van diefstadres 0x1d7. Het diagram hieronder benadrukt hoe alle drie de betrokken adressen met elkaar interageren.

9/ 0x5e9c werd gefinancierd met 14 ETH door 0xcf0c op 12 juni om 17:11 UTC voordat de wash trades plaatsvonden. 0xcf0c heeft frequente interacties met 0xd512, wat een Bittensor-gebruiker is en het ‘Hot Wheels Presale’-contract heeft ingezet voor een project ‘Skrtt racing’. Verdere onderzoeken onthulden dat het Skrtt-project is gemaakt door een persoon die de alias Rusty gebruikt.

10/ Rusty gebruikt het X-account ‘otc_rusty’ en zijn bio vermeldt dat hij eerder een Opentensor Engineer was. Voor degenen die het niet weten, OT is de stichting die Bittensor beheert.

12/ Het is extreem zeldzaam om exploits/hacks te zien waarbij NFT wash trading betrokken is en ik denk dat de relatie tussen elk adres gewoon te toevallig is gezien hoe ze gefinancierd zijn vóór de NFT-aankopen en meerdere keren boven de vloerprijs voor de collectie zijn verhandeld. Hopelijk gaat de wetshandhaving in de toekomst uiteindelijk verder met een strafzaak. Een ander stuk bewijs is de overlap in instant exchanges die door de aanvaller zijn gebruikt en ook verbonden zijn met de verdachten, waar ik niet zoveel op in ben gegaan omdat deze post behoorlijk lang werd.