1/ Uma investigação sobre como identifiquei um dos suspeitos ligados ao hack Bittensor de US$ 28 milhões de 2024, identificando negociações de lavagem NFT de anime vinculadas a um ex-funcionário e ganhei uma recompensa whitehat por meus esforços.

2/ 32 $TAO detentores sofreram transferências não autorizadas superiores a US$ 28 milhões de maio a julho de 2024 e a rede Bittensor foi temporariamente interrompida em 2 de julho de 2024. Uma autópsia publicada pela equipe revelou que os roubos foram resultado de um ataque à cadeia de suprimentos depois que um pacote PyPi malicioso foi carregado no final de maio de 2024 As vítimas que baixaram o pacote e realizaram operações específicas comprometeram acidentalmente as chaves privadas.

3/ Comecei a rastrear os fundos roubados de dois endereços de roubo iniciais, o TAO foi conectado ao Ethereum via ponte nativa do Bittensor e, em seguida, transferido para exchanges instantâneas onde os invasores trocaram para XMR. Vítimas: US$ 400 mil: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN US$ 13 milhões: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ A consolidação de roubo 0x09f depositou ~ US$ 4,94 milhões no Railgun, um protocolo de privacidade em junho de 2024. O total de 548.934 ETH foi depositado via 0x601 de 8 a 9 de junho. 701.066 ETH, 277.2K USDC, 22.35 WETH total foi depositado via 0xf5ff em 11 e 15 de junho. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Desanonimizei as retiradas do Railgun para três endereços (0x1d7, 0x87d8, 0x1fbc) aplicando heurísticas de tempo / valor. Total de depósitos: 1249,68 ETH, 277,2 mil USDC, 22,35 WETH Total de saques: 1246,16 ETH, 276,4 mil USDC, 19,83 WETH As denominações exclusivas e o curto tempo de depósito tornam o demix de alta confiança. Endereços de retirada: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ Os fundos roubados fluíram para exchanges mais instantâneas de 0x87d8 em 9 de junho e o restante foi consolidado para 0x1d7 em 10 de junho. 0x1d7 fez a ponte de 1054 ETH para a Avalanche e de volta para o Ethereum via Synapse em 14 de junho. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 comprou 4 NFTs X Killer GF por 18.644 ETH em 12 de junho às 18h29 UTC de 0x0bc7 uma carteira recém-financiada via troca instantânea 2 que comprou 30 NFTs KGF por 1.279 ETH no total em 12 de junho às 17h58 UTC. O preço mínimo foi em média de ~ 0,045 ETH por NFT, o que significa que 0x1d7 pago a mais de 0x0bc7 por muitos múltiplos.

8/ 0x5e9c comprou 30 NFTs X Killer GF por um total de 3,23 ETH em 12 de junho às 18h35 UTC. 0x5e9c vendeu 27 NFTs para 0x0bc7 por ~ 19,3 ETH usando fundos lavados do endereço de roubo 0x1d7. O diagrama abaixo destaca como todos os três endereços envolvidos interagem entre si.

9/ 0x5e9c foi financiado com 14 ETH pela 0xcf0c em 12 de junho às 17h11 UTC antes das negociações de lavagem ocorrerem. 0xcf0c tem interações frequentes com 0xd512 que é um usuário do Bittensor e implantou o contrato de 'pré-venda Hot Wheels' para um projeto 'Skrtt racing' Uma investigação mais aprofundada revelou que o projeto Skrtt foi criado por uma pessoa que usa o pseudônimo Rusty.

10/ Rusty usa a conta X 'otc_rusty' e sua biografia afirma que ele era anteriormente um engenheiro do Opentensor. Para quem não sabe, OT é a base que administra o Bittensor.

12/ É extremamente raro ver exploits/hacks envolvendo wash trading de NFT e acho que a relação entre cada endereço é muito coincidência, dado como eles foram financiados antes das compras de NFT e negociados vários acima do preço mínimo da coleção. Esperançosamente, a aplicação da lei eventualmente avança com um caso criminal no futuro. Outra evidência é a sobreposição nas trocas instantâneas usadas pelo invasor e também ligadas aos suspeitos, nas quais não me aprofundei tanto, já que este post estava ficando bastante longo.