Rubriques tendance
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
1/ Une enquête sur la manière dont j'ai identifié l'un des suspects liés au hack de $28M de Bittensor en 2024 en identifiant des transactions de lavage NFT d'anime liées à un ancien employé et j'ai gagné une récompense de whitehat pour mes efforts.


2/ 32 détenteurs de $TAO ont subi des transferts non autorisés dépassant 28 millions de dollars entre mai et juillet 2024, et le réseau Bittensor a été temporairement suspendu le 2 juillet 2024.
Un post-mortem publié par l'équipe a révélé que les vols étaient le résultat d'une attaque de la chaîne d'approvisionnement après qu'un package PyPi malveillant a été téléchargé fin mai 2024.
Les victimes qui ont téléchargé le package et effectué des opérations spécifiques ont accidentellement compromis des clés privées.

3/ J'ai commencé à tracer les fonds volés à partir de deux adresses de vol initiales, TAO a été transféré sur Ethereum via le pont natif de Bittensor, puis transféré vers des échanges instantanés où les attaquants ont échangé contre XMR.
Victimes :
400 000 $ : 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN
13 000 000 $ : 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Consolidation de vol 0x09f a déposé environ 4,94 millions de dollars à Railgun, un protocole de confidentialité en juin 2024.
548,934 ETH au total a été déposé via 0x601 du 8 au 9 juin.
701,066 ETH, 277,2K USDC, 22,35 WETH au total a été déposé via 0xf5ff les 11 et 15 juin.
0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ J'ai dé-anonymisé les retraits de Railgun vers trois adresses (0x1d7, 0x87d8, 0x1fbc) en appliquant des heuristiques de temps / montant.
Dépôts totaux : 1249,68 ETH, 277,2K USDC, 22,35 WETH
Retraits totaux : 1246,16 ETH, 276,4K USDC, 19,83 WETH
Les dénominations uniques et le court temps de dépôt rendent le démélange très fiable.
Adresses de retrait :
0x87d82c5401764f87856a31746f603ff766c72c7d
0x1d7ac347943c2143587978141a9415f2138adc2a
0x1fbc554caff6c1b4c00a692c9849de62de97e29c


6/ Les fonds volés ont été transférés vers des échanges instantanés à partir de 0x87d8 le 9 juin et le reste a été consolidé vers 0x1d7 le 10 juin.
0x1d7 a transféré 1054 ETH vers Avalanche et de nouveau vers Ethereum via Synapse le 14 juin.
0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 a acheté 4 X Killer GF NFTs pour 18,644 ETH le 12 juin à 18h29 UTC depuis 0x0bc7, un portefeuille nouvellement financé via l'échange instantané 2 qui a acheté 30 KGF NFTs pour un total de 1,279 ETH le 12 juin à 17h58 UTC.
Le prix de plancher a été en moyenne d'environ 0,045 ETH par NFT, ce qui signifie que 0x1d7 a suspectement trop payé à 0x0bc7 par de nombreux multiples.

8/ 0x5e9c a acheté 30 NFT Killer GF pour un total de 3,23 ETH le 12 juin à 18h35 UTC.
0x5e9c a vendu 27 NFT à 0x0bc7 pour ~19,3 ETH en utilisant des fonds blanchis provenant de l'adresse de vol 0x1d7.
Le diagramme ci-dessous met en évidence comment les trois adresses impliquées interagissent entre elles.

9/ 0x5e9c a été financé avec 14 ETH par 0xcf0c le 12 juin à 17h11 UTC avant que les opérations de wash trading n'aient lieu.
0xcf0c a des interactions fréquentes avec 0xd512 qui est un utilisateur de Bittensor et a déployé le contrat de prévente ‘Hot Wheels’ pour un projet ‘Skrtt racing’.
Une enquête plus approfondie a révélé que le projet Skrtt a été créé par une personne qui utilise l'alias Rusty.



10/ Rusty utilise le compte X ‘otc_rusty’ et sa bio indique qu'il était auparavant ingénieur chez Opentensor.
Pour ceux qui ne le savent pas, OT est la fondation qui gère Bittensor.

12/ Il est extrêmement rare de voir des exploits/hacks impliquer le wash trading de NFT et je pense que la relation entre chaque adresse est tout simplement trop coïncidentelle étant donné comment elles ont été financées avant les achats de NFT et ont été échangées plusieurs fois au-dessus du prix de plancher de la collection.
J'espère que les forces de l'ordre avanceront finalement avec une affaire criminelle à l'avenir.
Un autre élément de preuve est le chevauchement des échanges instantanés utilisés par l'attaquant et également liés aux suspects, ce que je n'ai pas approfondi autant car ce post devenait assez long.

317,99K
Meilleurs
Classement
Favoris