1/ Una investigación sobre cómo identifiqué a uno de los sospechosos vinculados al hackeo de $28M de Bittensor en 2024 al identificar operaciones de lavado de NFT de anime relacionadas con un ex empleado y gané una recompensa de whitehat por mis esfuerzos.

2/ 32 titulares de $TAO experimentaron transferencias no autorizadas por un total de más de $28M desde mayo hasta julio de 2024 y la red Bittensor fue detenida temporalmente el 2 de julio de 2024. Un análisis post-mortem publicado por el equipo reveló que los robos fueron el resultado de un ataque a la cadena de suministro después de que un paquete malicioso de PyPi fuera subido a finales de mayo de 2024. Las víctimas que descargaron el paquete y realizaron operaciones específicas comprometieron accidentalmente las claves privadas.

3/ Comencé a rastrear los fondos robados desde dos direcciones de robo iniciales, TAO fue transferido a Ethereum a través del puente nativo de Bittensor, y luego se transfirió a intercambios instantáneos donde los atacantes cambiaron a XMR. Víctimas: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN $13M: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Consolidación de robo 0x09f depositó ~$4.94M en Railgun, un protocolo de privacidad en junio de 2024. Se depositaron un total de 548.934 ETH a través de 0x601 del 8 al 9 de junio. Se depositaron un total de 701.066 ETH, 277.2K USDC, 22.35 WETH a través de 0xf5ff el 11 y 15 de junio. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ He desanonimizado los retiros de Railgun a tres direcciones (0x1d7, 0x87d8, 0x1fbc) aplicando heurísticas de tiempo / cantidad. Depósitos totales: 1249.68 ETH, 277.2K USDC, 22.35 WETH Retiros totales: 1246.16 ETH, 276.4K USDC, 19.83 WETH Las denominaciones únicas y el corto tiempo de depósito hacen que la desmezcla tenga alta confianza. Direcciones de retiro: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ Los fondos robados fluyeron a intercambios más instantáneos desde 0x87d8 el 9 de junio y el resto se consolidó en 0x1d7 el 10 de junio. 0x1d7 trasladó 1054 ETH a Avalanche y de vuelta a Ethereum a través de Synapse el 14 de junio. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 compró 4 NFTs de Killer GF por 18.644 ETH el 12 de junio a las 6:29 pm UTC de 0x0bc7, una billetera recién financiada a través de un intercambio instantáneo 2 que compró 30 NFTs de KGF por un total de 1.279 ETH el 12 de junio a las 5:58 pm UTC. El precio mínimo promedio fue de ~0.045 ETH por NFT, lo que significa que 0x1d7 pagó sospechosamente de más a 0x0bc7 por muchos múltiplos.

8/ 0x5e9c compró 30 NFTs de Killer GF por un total de 3.23 ETH el 12 de junio a las 6:35 pm UTC. 0x5e9c vendió 27 NFTs a 0x0bc7 por ~19.3 ETH utilizando fondos lavados de la dirección de robo 0x1d7. El diagrama a continuación destaca cómo las tres direcciones involucradas interactúan entre sí.

9/ 0x5e9c fue financiado con 14 ETH por 0xcf0c el 12 de junio a las 5:11 pm UTC antes de que se llevaran a cabo las operaciones de lavado. 0xcf0c tiene interacciones frecuentes con 0xd512, que es un usuario de Bittensor y desplegó el contrato de ‘Hot Wheels Presale’ para un proyecto ‘Skrtt racing’. Una investigación adicional reveló que el proyecto Skrtt fue creado por una persona que usa el alias Rusty.

10/ Rusty utiliza la cuenta X ‘otc_rusty’ y su biografía indica que anteriormente fue ingeniero en Opentensor. Para aquellos que no lo saben, OT es la fundación que gestiona Bittensor.

12/ Es extremadamente raro ver que los exploits/hacks involucren el lavado de NFT y creo que la relación entre cada dirección es demasiado coincidente dado cómo fueron financiadas antes de las compras de NFT y se negociaron múltiples por encima del precio mínimo de la colección. Espero que las fuerzas del orden eventualmente avancen con un caso criminal en el futuro. Otra pieza de evidencia es la superposición en los intercambios instantáneos utilizados por el atacante y también vinculados a los sospechosos, en los que no profundicé tanto ya que esta publicación se estaba volviendo bastante larga.