1/ Una investigación sobre cómo identifiqué a uno de los sospechosos vinculados al hackeo de Bittensor de 28 millones de dólares de 2024 identificando operaciones de lavado de NFT de anime vinculadas a un ex empleado y obtuve una recompensa de sombrero blanco por mis esfuerzos.

2/32 $TAO titulares experimentaron transferencias no autorizadas por más de 28 millones de dólares de mayo a julio de 2024 y la red de Bittensor se detuvo temporalmente el 2 de julio de 2024. Una autopsia publicada por el equipo reveló que los robos fueron el resultado de un ataque a la cadena de suministro después de que se cargara un paquete malicioso de PyPi a fines de mayo de 2024 Las víctimas que descargaron el paquete y realizaron operaciones específicas comprometieron accidentalmente las claves privadas.

3/ Comencé a rastrear los fondos robados de dos direcciones de robo iniciales, TAO se conectó a Ethereum a través del puente nativo de Bittensor y luego se transfirió a intercambios instantáneos donde los atacantes cambiaron a XMR. Víctimas: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN $13M: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Consolidación de robos 0x09f depositó ~$4.94M a Railgun, un protocolo de privacidad en junio de 2024. Se depositaron 548.934 ETH en total a través de 0x601 del 8 al 9 de junio. 701.066 ETH, 277.2K USDC, 22.35 WETH total se depositaron a través de 0xf5ff el 11 y 15 de junio. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Deanonimizé los retiros de Railgun a tres direcciones (0x1d7, 0x87d8, 0x1fbc) aplicando heurísticas de tiempo / cantidad. Depósitos totales: 1249.68 ETH, 277.2K USDC, 22.35 WETH Retiros totales: 1246.16 ETH, 276.4K USDC, 19.83 WETH Las denominaciones únicas y el corto tiempo de depósito hacen que la demezcla sea de alta confianza. Direcciones de retiro: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ Los fondos robados fluyeron a más intercambios instantáneos desde 0x87d8 el 9 de junio y el resto se consolidó a 0x1d7 el 10 de junio. 0x1d7 conectó 1054 ETH a Avalanche y de nuevo a Ethereum a través de Synapse el 14 de junio. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 compró 4 NFT de X Killer GF por 18.644 ETH el 12 de junio a las 6:29 pm UTC desde 0x0bc7 una billetera recién financiada a través de un intercambio instantáneo 2 que compró NFT de 30 KGF por un total de 1.279 ETH el 12 de junio a las 5:58 pm UTC. El precio mínimo promedió ~0.045 ETH por NFT, lo que significa 0x1d7 sospechosamente sobrepagado de 0x0bc7 por muchos múltiplos.

8/ 0x5e9c compró 30 NFT de X Killer GF por un total de 3.23 ETH el 12 de junio a las 6:35 pm UTC. 0x5e9c vendió 27 NFT a 0x0bc7 por ~19,3 ETH utilizando fondos lavados de 0x1d7 de direcciones de robo. El siguiente diagrama destaca cómo interactúan entre sí las tres direcciones involucradas.

9/ 0x5e9c se financió con 14 ETH por 0xcf0c el 12 de junio a las 5:11 pm UTC antes de que se llevaran a cabo las operaciones de lavado. 0xcf0c tiene interacciones frecuentes con 0xd512 que es usuario de Bittensor y desplegó el contrato de 'Hot Wheels Presale' para un proyecto 'Skrtt racing' Una investigación adicional reveló que el proyecto Skrtt fue creado por una persona que usa el alias Rusty.

10/ Rusty usa la cuenta X 'otc_rusty' y su biografía indica que anteriormente era un ingeniero de Opentensor. Para aquellos que no lo saben, OT es la base que administra Bittensor.

12/ Es extremadamente raro ver exploits/hacks que involucren el comercio de lavado de NFT y creo que la relación entre cada dirección es demasiado coincidente dado que se financiaron antes de las compras de NFT y se negociaron múltiples por encima del precio mínimo para la colección. Con suerte, las fuerzas del orden eventualmente avanzan con un caso penal en el futuro. Otra evidencia es la superposición en los intercambios instantáneos utilizados por el atacante y también vinculados a los sospechosos, en los que no me sumergí tanto ya que esta publicación se estaba haciendo bastante larga.