1/ Расследование о том, как я идентифицировал одного из подозреваемых, связанных с хакерской атакой на Bittensor на сумму 28 миллионов долларов в 2024 году, выявив аниме NFT-торговлю с отмыванием, связанную с бывшим сотрудником, и заработал вознаграждение белого хакера за свои усилия.

2/ 32 держателей $TAO столкнулись с несанкционированными переводами на сумму более $28M с мая по июль 2024 года, и сеть Bittensor была временно приостановлена 2 июля 2024 года. В посмертном отчете, опубликованном командой, было раскрыто, что кражи стали результатом атаки на цепочку поставок после того, как в конце мая 2024 года был загружен вредоносный пакет PyPi. Жертвы, которые загрузили пакет и выполнили определенные операции, случайно скомпрометировали свои приватные ключи.

3/ Я начал отслеживать украденные средства с двух начальных адресов кражи, TAO был переведен на Ethereum через нативный мост Bittensor, а затем переведен на мгновенные обменники, где злоумышленники обменяли на XMR. Жертвы: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN $13M: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Консолидация кражи 0x09f внес ~$4.94M в Railgun, протокол конфиденциальности в июне 2024 года. Всего было внесено 548.934 ETH через 0x601 с 8 по 9 июня. Всего было внесено 701.066 ETH, 277.2K USDC, 22.35 WETH через 0xf5ff 11 и 15 июня. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Я денанонимизировал выводы Railgun на три адреса (0x1d7, 0x87d8, 0x1fbc), применив эвристики по времени / сумме. Общие депозиты: 1249.68 ETH, 277.2K USDC, 22.35 WETH Общие выводы: 1246.16 ETH, 276.4K USDC, 19.83 WETH Уникальные номиналы и короткое время депозита делают демикс высоко надежным. Адреса для вывода: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ Украденные средства поступили на более быстрые обменники с 0x87d8 9 июня, а остальная часть была консолидирована на 0x1d7 10 июня. 0x1d7 перевел 1054 ETH на Avalanche и обратно на Ethereum через Synapse 14 июня. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 купил 4 X Killer GF NFT за 18.644 ETH 12 июня в 18:29 UTC у 0x0bc7, нового финансируемого кошелька через мгновенный обмен 2, который купил 30 KGF NFT за 1.279 ETH в общей сложности 12 июня в 17:58 UTC. Средняя цена на полу составила ~0.045 ETH за NFT, что означает, что 0x1d7 подозрительно переплатил 0x0bc7 в несколько раз.

8/ 0x5e9c приобрел 30 NFT Killer GF за 3.23 ETH в общей сложности 12 июня в 18:35 UTC. 0x5e9c продал 27 NFT 0x0bc7 за ~19.3 ETH, используя средства, вымытые с адреса кражи 0x1d7. Диаграмма ниже подчеркивает, как все три вовлеченные адреса взаимодействуют друг с другом.

9/ 0x5e9c был профинансирован на 14 ETH от 0xcf0c 12 июня в 17:11 UTC до того, как произошли сделки с отмыванием. 0xcf0c часто взаимодействует с 0xd512, который является пользователем Bittensor и развернул контракт ‘Hot Wheels Presale’ для проекта ‘Skrtt racing’. Дальнейшее расследование показало, что проект Skrtt был создан человеком, использующим псевдоним Rusty.

10/ Расти использует аккаунт X ‘otc_rusty’, и в его биографии указано, что он ранее был инженером Opentensor. Для тех, кто не в курсе, OT — это фонд, который управляет Bittensor.

12/ Крайне редко можно увидеть, чтобы эксплойты/взломы были связаны с NFT-ваш-трейдингом, и я думаю, что связь между каждым адресом слишком совпадала, учитывая, как они были профинансированы до покупок NFT и торговали многими выше минимальной цены для коллекции. Надеюсь, правоохранительные органы в конечном итоге продвинутся вперед с уголовным делом в будущем. Еще одним доказательством является пересечение в мгновенных обменах, используемых злоумышленником, и также связанных с подозреваемыми, в которое я не углублялся так сильно, так как этот пост становился довольно длинным.