1/ Uma investigação sobre como identifiquei um dos suspeitos ligados ao hack de $28M da Bittensor em 2024, identificando negociações de lavagem de NFTs de anime ligadas a um ex-funcionário e ganhei uma recompensa de whitehat pelos meus esforços.

2/ 32 detentores de $TAO experienciaram transferências não autorizadas em excesso de $28M de maio a julho de 2024 e a rede Bittensor foi temporariamente interrompida em 2 de julho de 2024. Um relatório pós-morte publicado pela equipe revelou que os roubos foram o resultado de um ataque à cadeia de suprimentos após um pacote malicioso do PyPi ter sido carregado no final de maio de 2024. As vítimas que baixaram o pacote e realizaram operações específicas comprometeram acidentalmente chaves privadas.

3/ Comecei a rastrear os fundos roubados a partir de dois endereços de roubo iniciais, o TAO foi transferido para Ethereum através da ponte nativa da Bittensor, e depois transferido para trocas instantâneas onde os atacantes trocaram por XMR. Vítimas: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN $13M: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Consolidação de roubo 0x09f depositou ~$4.94M no Railgun, um protocolo de privacidade em junho de 2024. 548.934 ETH no total foi depositado via 0x601 de 8 a 9 de junho. 701.066 ETH, 277.2K USDC, 22.35 WETH no total foi depositado via 0xf5ff em 11 e 15 de junho. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Eu desanonimizei os levantamentos do Railgun para três endereços (0x1d7, 0x87d8, 0x1fbc) aplicando heurísticas de tempo / montante. Total de depósitos: 1249.68 ETH, 277.2K USDC, 22.35 WETH Total de levantamentos: 1246.16 ETH, 276.4K USDC, 19.83 WETH As denominações únicas e o curto tempo de depósito tornam a demix de alta confiança. Endereços de levantamento: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ Os fundos roubados fluíram para mais trocas instantâneas a partir de 0x87d8 em 9 de junho e o restante foi consolidado em 0x1d7 em 10 de junho. 0x1d7 fez a ponte de 1054 ETH para Avalanche e de volta para Ethereum via Synapse em 14 de junho. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 comprou 4 NFTs Killer GF por 18.644 ETH no dia 12 de junho às 18:29 UTC de 0x0bc7, uma carteira recém-financiada via troca instantânea 2 que comprou 30 NFTs KGF por um total de 1.279 ETH no dia 12 de junho às 17:58 UTC. O preço mínimo médio foi de ~0.045 ETH por NFT, o que significa que 0x1d7 pagou suspeitosamente a mais para 0x0bc7 por muitos múltiplos.

8/ 0x5e9c comprou 30 NFTs Killer GF por um total de 3.23 ETH no dia 12 de junho às 18:35 UTC. 0x5e9c vendeu 27 NFTs para 0x0bc7 por ~19.3 ETH usando fundos lavados do endereço de roubo 0x1d7. O diagrama abaixo destaca como os três endereços envolvidos interagem entre si.

9/ 0x5e9c foi financiado com 14 ETH por 0xcf0c no dia 12 de junho às 17:11 UTC antes de ocorrerem as operações de wash trades. 0xcf0c tem interações frequentes com 0xd512, que é um usuário do Bittensor e implementou o contrato ‘Hot Wheels Presale’ para um projeto ‘Skrtt racing’. Uma investigação mais aprofundada revelou que o projeto Skrtt foi criado por uma pessoa que usa o pseudónimo Rusty.

10/ Rusty usa a conta X ‘otc_rusty’ e sua biografia afirma que ele foi anteriormente um Engenheiro da Opentensor. Para aqueles que não sabem, OT é a fundação que administra o Bittensor.

12/ É extremamente raro ver explorações/hacks que envolvem negociação de lavagem de NFT e eu acho que a relação entre cada endereço é apenas demasiado coincidente, dado como foram financiados antes das compras de NFT e negociados várias vezes acima do preço mínimo da coleção. Espero que as autoridades eventualmente avancem com um caso criminal no futuro. Outra peça de evidência é a sobreposição nas trocas instantâneas usadas pelo atacante e também ligadas aos suspeitos, o que eu não explorei tanto, já que este post estava a ficar bastante longo.