1/ O investigație asupra modului în care am identificat unul dintre suspecții legați de hack-ul Bittensor de 28 de milioane de dolari din 2024 prin identificarea tranzacțiilor de spălare anime NFT legate de un fost angajat și am câștigat o recompensă whitehat pentru eforturile mele.

2/ 32 deținătorii de $TAO au experimentat transferuri neautorizate de peste 28 de milioane de dolari din mai până în iulie 2024, iar rețeaua Bittensor a fost oprită temporar pe 2 iulie 2024. O autopsie publicată de echipă a dezvăluit că furturile au fost rezultatul unui atac asupra lanțului de aprovizionare după ce un pachet PyPi rău intenționat a fost încărcat la sfârșitul lunii mai 2024 Victimele care au descărcat pachetul și au efectuat operațiuni specifice au compromis accidental cheile private.

3/ Am început să urmăresc fondurile furate de la două adrese inițiale de furt, TAO a fost conectat la Ethereum prin podul nativ Bittensor și apoi transferat pe schimburi instantanee unde atacatorii au trecut la XMR. Victime: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN 13 milioane USD: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Consolidarea furtului 0x09f depuse ~ 4,94 milioane USD la Railgun, un protocol de confidențialitate în iunie 2024. Totalul de 548.934 ETH a fost depus prin 0x601 în perioada 8-9 iunie. 701.066 ETH, 277.2K USDC, 22.35 WETH total a fost depus prin 0xf5ff pe 11 și 15 iunie. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Am deanonimizat retragerile Railgun la trei adrese (0x1d7, 0x87d8, 0x1fbc) aplicând euristica de timp / sumă. Total depozite: 1249.68 ETH, 277.2K USDC, 22.35 WETH Total retrageri: 1246.16 ETH, 276.4K USDC, 19.83 WETH Denominațiile unice și timpul scurt de depunere fac ca demixul să fie o încredere ridicată. Adrese de retragere: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ Fondurile furate au trecut către mai multe schimburi instantanee de la 0x87d8 pe 9 iunie, iar restul au fost consolidate la 0x1d7 pe 10 iunie. 0x1d7 a conectat 1054 ETH la Avalanche și înapoi la Ethereum prin Synapse pe 14 iunie. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 achiziționat 4 NFT-uri X Killer GF pentru 18.644 ETH pe 12 iunie la 18:29 UTC de la 0x0bc7 un portofel nou finanțat prin schimb instantaneu 2 care a achiziționat 30 de NFT-uri KGF pentru un total de 1.279 ETH pe 12 iunie la 5:58 pm UTC. Prețul minim a fost în medie de ~0,045 ETH per NFT, ceea ce înseamnă că 0x1d7 suspect de plătit în exces de la 0x0bc7 cu mulți multipli.

8/ 0x5e9c achiziționat 30 de NFT-uri X Killer GF pentru un total de 3,23 ETH pe 12 iunie, la ora 18:35 UTC. 0x5e9c vândut 27 de NFT-uri către 0x0bc7 pentru ~19,3 ETH folosind fonduri spălate din 0x1d7 de adrese de furt. Diagrama de mai jos evidențiază modul în care toate cele trei adrese implicate interacționează între ele.

9/ 0x5e9c a fost finanțat cu 14 ETH de 0xcf0c pe 12 iunie la 5:11 pm UTC înainte de a avea loc tranzacțiile de spălare. 0xcf0c interacționează frecvent cu 0xd512 care este utilizator Bittensor și a implementat contractul "Hot Wheels Presale" pentru un proiect "Skrtt racing" Investigațiile ulterioare au arătat că proiectul Skrtt a fost creat de o persoană care folosește pseudonimul Rusty.

10/ Rusty folosește contul X "otc_rusty" și biografia sa afirmă că a fost anterior inginer Opentensor. Pentru cei care nu știu, OT este fundația care îl administrează pe Bittensor.

12/ Este extrem de rar să vezi exploit-uri/hack-uri care implică tranzacționarea NFT și cred că relația dintre fiecare adresă este prea întâmplătoare, având în vedere modul în care au fost finanțate înainte de achizițiile NFT și au fost tranzacționate mai multe peste prețul minim pentru colecție. Sperăm că forțele de ordine vor merge în cele din urmă mai departe cu un caz penal în viitor. O altă dovadă este suprapunerea schimburilor instantanee folosite de atacator și, de asemenea, legate de suspecți, în care nu m-am scufundat atât de mult, deoarece această postare devenea destul de lungă.