1/ Un'indagine su come ho identificato uno dei sospetti legati all'hack di Bittensor da 28 milioni di dollari del 2024, identificando scambi di NFT anime wash collegati a un ex dipendente e guadagnando un premio whitehat per i miei sforzi.

2/ 32 i detentori di $TAO hanno subito trasferimenti non autorizzati superiori a $28M da maggio a luglio 2024 e la rete Bittensor è stata temporaneamente sospesa il 2 luglio 2024. Un'analisi post-mortem pubblicata dal team ha rivelato che i furti erano il risultato di un attacco alla catena di approvvigionamento dopo che un pacchetto PyPi malevolo è stato caricato alla fine di maggio 2024. Le vittime che hanno scaricato il pacchetto e hanno eseguito operazioni specifiche hanno compromesso accidentalmente le chiavi private.

3/ Ho iniziato a tracciare i fondi rubati da due indirizzi di furto iniziali, TAO è stato trasferito su Ethereum tramite il ponte nativo di Bittensor, e poi trasferito a scambi istantanei dove gli attaccanti hanno scambiato in XMR. Vittime: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN $13M: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Consolidamento del furto 0x09f ha depositato ~$4.94M in Railgun, un protocollo di privacy a giugno 2024. 548.934 ETH in totale è stato depositato tramite 0x601 dall'8 al 9 giugno. 701.066 ETH, 277.2K USDC, 22.35 WETH in totale è stato depositato tramite 0xf5ff l'11 e il 15 giugno. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Ho deanonimizzato i prelievi di Railgun a tre indirizzi (0x1d7, 0x87d8, 0x1fbc) applicando euristiche di tempo / importo. Depositi totali: 1249.68 ETH, 277.2K USDC, 22.35 WETH Prelievi totali: 1246.16 ETH, 276.4K USDC, 19.83 WETH Le denominazioni uniche e il breve tempo di deposito rendono la demix ad alta confidenza. Indirizzi di prelievo: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ I fondi rubati sono stati trasferiti a scambi più istantanei da 0x87d8 il 9 giugno e il resto è stato consolidato a 0x1d7 il 10 giugno. 0x1d7 ha trasferito 1054 ETH ad Avalanche e di nuovo a Ethereum tramite Synapse il 14 giugno. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 ha acquistato 4 NFT Killer GF per 18.644 ETH il 12 giugno alle 18:29 UTC da 0x0bc7, un wallet appena finanziato tramite scambio istantaneo 2 che ha acquistato 30 NFT KGF per un totale di 1.279 ETH il 12 giugno alle 17:58 UTC. Il prezzo minimo medio era di ~0.045 ETH per NFT, il che significa che 0x1d7 ha sospettosamente pagato troppo rispetto a 0x0bc7 di molti multipli.

8/ 0x5e9c ha acquistato 30 NFT Killer GF per un totale di 3,23 ETH il 12 giugno alle 18:35 UTC. 0x5e9c ha venduto 27 NFT a 0x0bc7 per ~19,3 ETH utilizzando fondi riciclati dall'indirizzo di furto 0x1d7. Il diagramma qui sotto evidenzia come tutti e tre gli indirizzi coinvolti interagiscono tra loro.

9/ 0x5e9c è stato finanziato con 14 ETH da 0xcf0c il 12 giugno alle 17:11 UTC prima che avvenissero le operazioni di wash trading. 0xcf0c ha frequenti interazioni con 0xd512, che è un utente di Bittensor e ha distribuito il contratto ‘Hot Wheels Presale’ per un progetto ‘Skrtt racing’. Ulteriori indagini hanno rivelato che il progetto Skrtt è stato creato da una persona che utilizza l'alias Rusty.

10/ Rusty utilizza l'account X ‘otc_rusty’ e la sua biografia afferma che in precedenza era un ingegnere di Opentensor. Per chi non lo sapesse, OT è la fondazione che gestisce Bittensor.

12/ È estremamente raro vedere exploit/hack coinvolgere il wash trading di NFT e penso che la relazione tra ogni indirizzo sia semplicemente troppo coincidenziale, dato come sono stati finanziati prima degli acquisti di NFT e scambiati più volte sopra il prezzo minimo per la collezione. Spero che le forze dell'ordine alla fine procedano con un caso penale in futuro. Un altro pezzo di prova è la sovrapposizione negli scambi istantanei utilizzati dall'attaccante e anche legati ai sospetti, su cui non mi sono addentrato molto poiché questo post stava diventando piuttosto lungo.