1/ Śledztwo w sprawie tego, jak zidentyfikowałem jednego z podejrzanych związanych z hackiem Bittensor o wartości 28 milionów dolarów z 2024 roku, poprzez zidentyfikowanie wash tradingów NFT związanych z byłym pracownikiem i zdobycie nagrody whitehat za moje wysiłki.

2/ 32 posiadaczy $TAO doświadczyło nieautoryzowanych transferów przekraczających 28 milionów dolarów od maja do lipca 2024 roku, a sieć Bittensor została tymczasowo wstrzymana 2 lipca 2024 roku. Post-mortem opublikowane przez zespół ujawniło, że kradzieże były wynikiem ataku na łańcuch dostaw po tym, jak złośliwy pakiet PyPi został przesłany pod koniec maja 2024 roku. Ofiary, które pobrały pakiet i wykonały określone operacje, przypadkowo skompromitowały klucze prywatne.

3/ Zacząłem śledzić skradzione fundusze z dwóch początkowych adresów kradzieży, TAO zostało przeniesione do Ethereum za pośrednictwem natywnego mostu Bittensor, a następnie przetransferowane do natychmiastowych giełd, gdzie napastnicy wymienili je na XMR. Ofiary: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN $13M: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Konsolidacja kradzieży 0x09f wpłacił ~$4.94M do Railgun, protokołu prywatności w czerwcu 2024. Łącznie 548.934 ETH zostało wpłacone przez 0x601 w dniach 8-9 czerwca. Łącznie 701.066 ETH, 277.2K USDC, 22.35 WETH zostało wpłacone przez 0xf5ff w dniach 11 i 15 czerwca. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Zdeanonimizowałem wypłaty Railgun do trzech adresów (0x1d7, 0x87d8, 0x1fbc) stosując heurystyki czasowe / kwotowe. Całkowite wpłaty: 1249.68 ETH, 277.2K USDC, 22.35 WETH Całkowite wypłaty: 1246.16 ETH, 276.4K USDC, 19.83 WETH Unikalne nominały i krótki czas wpłaty sprawiają, że demiks ma wysoką pewność. Adresy wypłat: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ Skradzione środki przepłynęły do bardziej natychmiastowych giełd z 0x87d8 9 czerwca, a reszta została skonsolidowana do 0x1d7 10 czerwca. 0x1d7 przeniosło 1054 ETH do Avalanche i z powrotem do Ethereum za pośrednictwem Synapse 14 czerwca. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 zakupił 4 X Killer GF NFT za 18.644 ETH 12 czerwca o 18:29 UTC z portfela 0x0bc7, który został niedawno dofinansowany przez natychmiastową wymianę 2, która zakupiła 30 KGF NFT za 1.279 ETH łącznie 12 czerwca o 17:58 UTC. Średnia cena minimalna wynosiła ~0.045 ETH za NFT, co oznacza, że 0x1d7 podejrzanie przepłacił 0x0bc7 o wiele razy.

8/ 0x5e9c zakupił 30 NFT Killer GF za 3.23 ETH łącznie 12 czerwca o 18:35 UTC. 0x5e9c sprzedał 27 NFT do 0x0bc7 za ~19.3 ETH, używając funduszy pranych z adresu kradzieży 0x1d7. Diagram poniżej pokazuje, jak wszystkie trzy zaangażowane adresy ze sobą współdziałają.

9/ 0x5e9c został sfinansowany kwotą 14 ETH przez 0xcf0c 12 czerwca o 17:11 UTC przed przeprowadzeniem transakcji wash trades. 0xcf0c ma częste interakcje z 0xd512, który jest użytkownikiem Bittensor i wdrożył kontrakt ‘Hot Wheels Presale’ dla projektu ‘Skrtt racing’. Dalsze śledztwo ujawniło, że projekt Skrtt został stworzony przez osobę, która używa aliasu Rusty.

10/ Rusty używa konta X ‘otc_rusty’, a w jego biografii napisano, że wcześniej był inżynierem Opentensor. Dla tych, którzy nie wiedzą, OT to fundacja, która zarządza Bittensor.

11/ Na początku tego roku złożono pozew cywilny przeciwko wielu podejrzanym na podstawie tych ustaleń. Interesujący fragment z oświadczeń oskarżonych jest podkreślony poniżej, gdzie Rusty (Ayden B) przyznaje się do posiadania kilku portfeli, które zidentyfikowałem, ale zaprzecza zaangażowaniu. 0xJones (Jon L), kolejny rzekomy podejrzany, wcześniej ubiegał się o rolę w OTF jako przyjaciel Rusty'ego i usunął wiadomości z Discorda Bittensor oraz dezaktywował swoje konto X po incydencie.

12/ Ekstremalnie rzadko zdarza się, aby exploity/haki dotyczyły NFT wash trading, a myślę, że relacja między każdym adresem jest po prostu zbyt przypadkowa, biorąc pod uwagę, jak były finansowane przed zakupami NFT i handlowane wielokrotnie powyżej ceny minimalnej dla kolekcji. Mam nadzieję, że organy ścigania w końcu podejmą działania w sprawie kryminalnej w przyszłości. Kolejnym dowodem jest nakładanie się natychmiastowych wymian używanych przez napastnika, które również są powiązane z podejrzanymi, w co nie zagłębiałem się zbyt mocno, ponieważ ten post stawał się dość długi.