1/ En utredning av hur jag identifierade en av de misstänkta som var knutna till Bittensor-hacket på 28 miljoner dollar från 2024 genom att identifiera anime NFT-tvättaffärer kopplade till en tidigare anställd och tjänade en whitehat-belöning för mina ansträngningar.

2/ 32 $TAO innehavare upplevde obehöriga överföringar på över 28 miljoner dollar från maj till juli 2024 och Bittensor-nätverket stoppades tillfälligt den 2 juli 2024. En obduktion som publicerades av teamet avslöjade att stölderna var resultatet av en attack mot leveranskedjan efter att ett skadligt PyPi-paket laddades upp i slutet av maj 2024 Offer som laddade ner paketet och utförde specifika operationer äventyrade av misstag privata nycklar.

3/ Jag började spåra de stulna pengarna från två initiala stöldadresser, TAO överbryggades till Ethereum via Bittensors ursprungliga brygga och överfördes sedan till omedelbara utbyten där angriparna bytte till XMR. Offer: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN 13 miljoner dollar: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Konsolidering av stöld 0x09f deponerade ~4,94 miljoner dollar till Railgun, ett integritetsprotokoll i juni 2024. 548 934 ETH totalt deponerades via 0x601 från 8-9 juni. 701.066 ETH, 277.2K USDC, 22.35 WETH totalt deponerades via 0xf5ff den 11 och 15 juni. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Jag avanonymiserade Railgun-uttagen till tre adresser (0x1d7, 0x87d8, 0x1fbc) genom att tillämpa timing / mängd heuristik. Totalt antal insättningar: 1249.68 ETH, 277.2K USDC, 22.35 WETH Totala uttag: 1246.16 ETH, 276.4K USDC, 19.83 WETH De unika valörerna och den korta insättningstiden gör att demixen har hög tillförlitlighet. Adresser för uttag: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

De stulna pengarna flödade till fler omedelbara utbyten från 0x87d8 den 9 juni och resten konsoliderades till 0x1d7 den 10 juni. 0x1d7 överbryggade 1054 ETH till Avalanche och tillbaka igen till Ethereum via Synapse den 14 juni. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 köpte 4 X Killer GF NFT:er för 18.644 ETH den 12 juni kl. 18:29 UTC från 0x0bc7 en nyligen finansierad plånbok via instant exchange 2 som köpte 30 KGF NFT:er för totalt 1.279 ETH den 12 juni kl. 17:58 UTC. Golvpriset var i genomsnitt ~0,045 ETH per NFT, vilket innebär att 0x1d7 misstänkt överbetalt från 0x0bc7 med många multiplar.

8/ 0x5e9c köpte 30 X Killer GF NFT:er för totalt 3,23 ETH den 12 juni kl. 18:35 UTC. 0x5e9c sålde 27 NFT:er till 0x0bc7 för ~19,3 ETH med hjälp av medel som tvättats från stöldadress 0x1d7. Diagrammet nedan visar hur alla tre berörda adresser interagerar med varandra.

9/ 0x5e9c finansierades med 14 ETH av 0xcf0c den 12 juni kl. 17:11 UTC innan tvätthandeln ägde rum. 0xcf0c har frekventa kontakter med 0xd512 som är en Bittensor-användare och distribuerade kontraktet "Hot Wheels Presale" för ett projekt "Skrtt racing" Ytterligare undersökningar avslöjade att Skrtt-projektet skapades av en person som använder aliaset Rusty.

10/ Rusty använder X-kontot "otc_rusty" och i hans biografi står det att han tidigare var en Opentensor-ingenjör. För dem som inte känner till det är OT den grund som förvaltar Bittensor.

Tidigare i år lämnades en civilrättslig stämningsansökan in mot flera misstänkta baserat på dessa resultat. En intressant bit hämtad från de åtalades uttalanden är markerad nedan där Rusty (Ayden B) erkänner ägande av flera plånböcker som jag identifierat men förnekar inblandning. 0xJones (Jon L), en annan påstådd misstänkt, ansökte tidigare om en roll på OTF som vän med Rusty och raderade meddelanden från Bittensor Discord och inaktiverade sitt X-konto efter händelsen.

12/ Det är extremt sällsynt att se exploateringar/hacks involvera NFT-tvätthandel och jag tror att förhållandet mellan varje adress är alldeles för slumpartat med tanke på hur de finansierades före NFT-köp och handlades flera över golvpriset för samlingen. Förhoppningsvis går brottsbekämpande myndigheter så småningom vidare med ett brottmål i framtiden. Ett annat bevis är överlappningen i omedelbara utbyten som används av angriparen och som också är knutna till de misstänkta, vilket jag inte dök in i så mycket eftersom det här inlägget började bli ganska långt.