1/ Investigasi tentang bagaimana saya mengidentifikasi salah satu tersangka yang terkait dengan peretasan Bittensor senilai $28 juta dari tahun 2024 dengan mengidentifikasi perdagangan pencucian NFT anime yang terkait dengan mantan karyawan dan mendapatkan hadiah topi putih atas upaya saya.

2/32 pemegang $TAO mengalami transfer tidak sah lebih dari $28 juta dari Mei hingga Juli 2024 dan jaringan Bittensor dihentikan sementara pada 2 Juli 2024. Post-mortem yang diterbitkan oleh tim mengungkapkan pencurian itu adalah hasil dari serangan rantai pasokan setelah paket PyPi berbahaya diunggah pada akhir Mei 2024 Korban yang mengunduh paket dan melakukan operasi tertentu secara tidak sengaja membahayakan kunci pribadi.

3/ Saya mulai melacak dana yang dicuri dari dua alamat pencurian awal, TAO dijembatani ke Ethereum melalui jembatan asli Bittensor, dan kemudian ditransfer ke bursa instan di mana penyerang bertukar ke XMR. Korban: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN $13M: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Konsolidasi pencurian 0x09f disetorkan ~$4,94 juta ke Railgun, protokol privasi pada Juni 2024. Total 548.934 ETH disimpan melalui 0x601 dari 8-9 Juni. 701.066 ETH, 277.2K USDC, 22.35 WETH total disetorkan melalui 0xf5ff pada 11 & 15 Juni. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Saya mendeanonimisasi penarikan Railgun ke tiga alamat (0x1d7, 0x87d8, 0x1fbc) dengan menerapkan heuristik waktu / jumlah. Total setoran: 1249.68 ETH, 277.2K USDC, 22.35 WETH Total penarikan: 1246.16 ETH, 276.4K USDC, 19.83 WETH Denominasi yang unik dan waktu setoran yang singkat membuat demix memiliki kepercayaan diri yang tinggi. Alamat penarikan: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ Dana yang dicuri mengalir ke bursa yang lebih instan dari 0x87d8 pada 9 Juni dan sisanya dikonsolidasikan menjadi 0x1d7 pada 10 Juni. 0x1d7 menjembatani 1054 ETH ke Avalanche dan kembali lagi ke Ethereum melalui Synapse pada 14 Juni. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 membeli 4 X NFT Killer GF seharga 18.644 ETH pada 12 Juni pukul 18:29 UTC dari 0x0bc7 dompet yang baru didanai melalui pertukaran instan 2 yang membeli 30 NFT KGF seharga total 1.279 ETH pada 12 Juni pukul 17:58 UTC. Harga dasar rata-rata ~0,045 ETH per NFT yang berarti 0x1d7 dibayar lebih dari 0x0bc7 dengan banyak kelipatan

8/ 0x5e9c membeli 30 X Killer GF NFT seharga total 3,23 ETH pada 12 Juni pukul 18:35 UTC. 0x5e9c menjual 27 NFT ke 0x0bc7 seharga ~19,3 ETH menggunakan dana yang dicuci dari alamat pencurian 0x1d7. Diagram di bawah ini menyoroti bagaimana ketiga alamat yang terlibat berinteraksi satu sama lain.

9/ 0x5e9c didanai dengan 14 ETH oleh 0xcf0c pada 12 Juni pukul 5:11 UTC sebelum wash trade berlangsung. 0xcf0c sering berinteraksi dengan 0xd512 yang merupakan pengguna Bittensor dan menerapkan kontrak 'Hot Wheels Presale' untuk proyek 'balap Skrtt' Penyelidikan lebih lanjut mengungkapkan bahwa proyek Skrtt dibuat oleh seseorang yang menggunakan alias Rusty.

10/ Rusty menggunakan akun X 'otc_rusty' dan bio-nya menyatakan bahwa dia sebelumnya adalah Insinyur Opentensor. Bagi mereka yang tidak menyadari, OT adalah fondasi yang mengelola Bittensor.

12/ Sangat jarang melihat eksploitasi/peretasan melibatkan perdagangan cuci NFT dan saya pikir hubungan antara setiap alamat terlalu kebetulan mengingat bagaimana mereka didanai sebelum pembelian NFT dan diperdagangkan beberapa di atas harga dasar untuk koleksi. Semoga penegak hukum akhirnya bergerak maju dengan kasus pidana di masa depan. Bukti lain adalah tumpang tindih dalam pertukaran instan yang digunakan oleh penyerang dan juga terkait dengan tersangka yang tidak saya selami karena posting ini semakin panjang.