1/ En etterforskning av hvordan jeg identifiserte en av mistenkte knyttet til Bittensor-hacket på 28 millioner dollar fra 2024 ved å identifisere anime NFT-vaskehandler knyttet til en tidligere ansatt og tjente en whitehat-dusør for innsatsen min.

2/32 $TAO innehavere opplevde uautoriserte overføringer på over 28 millioner dollar fra mai til juli 2024, og Bittensor-nettverket ble midlertidig stoppet 2. En obduksjon publisert av teamet avslørte at tyveriene var et resultat av et forsyningskjedeangrep etter at en ondsinnet PyPi-pakke ble lastet opp i slutten av mai 2024 Ofre som lastet ned pakken og utførte spesifikke operasjoner, kompromitterte ved et uhell private nøkler.

3/ Jeg begynte å spore de stjålne midlene fra to første tyveriadresser, TAO ble brokoblet til Ethereum via Bittensor native bridge, og deretter overført til øyeblikkelige børser hvor angriperne byttet til XMR. Ofre: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN $13M: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Tyverikonsolidering 0x09f deponert ~4,94 millioner dollar til Railgun, en personvernprotokoll i juni 2024. 548.934 ETH totalt ble satt inn via 0x601 fra 8.-9. 701.066 ETH, 277.2K USDC, 22.35 WETH totalt ble satt inn via 0xf5ff 11. og 15. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Jeg deanonymiserte Railgun-uttakene til tre adresser (0x1d7, 0x87d8, 0x1fbc) ved å bruke timing-/mengdeheuristikk. Totale innskudd: 1249,68 ETH, 277,2K USDC, 22,35 WETH Totalt uttak: 1246,16 ETH, 276,4K USDC, 19,83 WETH De unike valørene og den korte innskuddstiden gjør demiksen til høy tillit. Adresser for uttak: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ De stjålne midlene strømmet til flere umiddelbare børser fra 0x87d8 0x1d7 9. 0x1d7 bygget bro over 1054 ETH til Avalanche og tilbake igjen til Ethereum via Synapse 14. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 kjøpte 4 X Killer GF NFT-er for 18.644 ETH 12. juni kl. 6:29 UTC fra 0x0bc7 en nylig finansiert lommebok via øyeblikkelig børs 2 som kjøpte 30 KGF NFT-er for 1.279 ETH totalt 12. Gulvprisen var i gjennomsnitt ~0,045 ETH per NFT, noe som betyr at 0x1d7 mistenkelig overbetalt fra 0x0bc7 med mange multipler.

8/ 0x5e9c kjøpte 30 X Killer GF NFT-er for 3,23 ETH totalt 12. 0x5e9c solgte 27 NFT-er til 0x0bc7 for ~19,3 ETH ved å bruke midler vasket fra tyveriadresse 0x1d7. Diagrammet nedenfor fremhever hvordan alle de tre involverte adressene samhandler med hverandre.

9/ 0x5e9c ble finansiert med 14 ETH av 0xcf0c 12. 0xcf0c har hyppige interaksjoner med 0xd512 som er en Bittensor-bruker og distribuerte 'Hot Wheels Presale'-kontrakten for et prosjekt 'Skrtt racing' Videre undersøkelser avslørte at Skrtt-prosjektet ble opprettet av en person som bruker aliaset Rusty.

10/ Rusty bruker X-kontoen 'otc_rusty' og biografien hans sier at han tidligere var en Opentensor-ingeniør. For de som ikke er klar over, er OT grunnlaget som forvalter Bittensor.

11/ Tidligere i år ble det anlagt et sivilt søksmål mot flere mistenkte basert på disse funnene. En interessant bit hentet fra de tiltaltes uttalelser er fremhevet nedenfor der Rusty (Ayden B) innrømmer eierskap til flere lommebøker jeg identifiserte, men benekter involvering. 0xJones (Jon L), en annen påstått mistenkt, søkte tidligere på en rolle hos OTF som venn med Rusty og slettet meldinger fra Bittensor Discord og deaktiverte X-kontoen hans etter hendelsen.

12/ Det er ekstremt sjelden å se utnyttelser/hacks involvere NFT-vaskehandel, og jeg tror forholdet mellom hver adresse bare er for tilfeldig gitt hvordan de ble finansiert før NFT-kjøp og handlet flere over gulvprisen for samlingen. Forhåpentligvis går politiet til slutt videre med en straffesak i fremtiden. Et annet bevis er overlappingen i øyeblikkelige utvekslinger brukt av angriperen og også knyttet til de mistenkte som jeg ikke dykket så mye ned i siden dette innlegget begynte å bli ganske langt.