1/ 2024'teki 28 milyon dolarlık Bittensor hack'iyle bağlantılı şüphelilerden birini, eski bir çalışanla bağlantılı anime NFT yıkama işlemlerini tespit ederek nasıl tespit ettiğime ve çabalarım karşılığında beyaz şapka ödülü kazandığıma dair bir soruşturma.

2/ 32 $TAO sahibi, Mayıs'tan Temmuz 2024'e kadar 28 milyon doları aşan yetkisiz transferlerle karşılaştı ve Bittensor ağı 2 Temmuz 2024'te geçici olarak durduruldu. Ekip tarafından yayınlanan bir otopsi, hırsızlıkların Mayıs 2024'ün sonlarında kötü amaçlı bir PyPi paketinin yüklenmesinin ardından bir tedarik zinciri saldırısının sonucu olduğunu ortaya çıkardı Paketi indiren ve belirli işlemleri gerçekleştiren kurbanlar yanlışlıkla özel anahtarları tehlikeye attı.

3/ İlk iki hırsızlık adresinden çalınan fonların izini sürmeye başladım, TAO, Bittensor yerel köprüsü aracılığıyla Ethereum'a köprülendi ve ardından saldırganların XMR'ye geçtiği anlık borsalara aktarıldı. Kurban: 400 bin dolar: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN 13 milyon dolar: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Hırsızlık konsolidasyonu 0x09f Haziran 2024'te bir gizlilik protokolü olan Railgun'a ~4,94 milyon dolar yatırıldı. 8-9 Haziran tarihleri arasında 0x601 aracılığıyla toplam 548.934 ETH yatırıldı. 701.066 ETH, 277.2K USDC, 22.35 WETH toplamı 11 ve 15 Haziran'da 0xf5ff aracılığıyla yatırıldı. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Railgun para çekme işlemlerini zamanlama / miktar buluşsal yöntemleri uygulayarak üç adrese (0x1d7, 0x87d8, 0x1fbc) anonimleştirdim. Toplam para yatırma: 1249,68 ETH, 277,2 bin USDC, 22,35 WETH Toplam para çekme miktarı: 1246,16 ETH, 276,4 bin USDC, 19,83 WETH Benzersiz mezhepler ve kısa para yatırma süresi, demix'i yüksek güven haline getirir. Para çekme adresleri: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ Çalınan fonlar 9 Haziran'da 0x87d8'dan daha fazla anlık borsaya aktı ve geri kalanı 10 Haziran'da 0x1d7 konsolide edildi. 0x1d7, 14 Haziran'da 1054 ETH'yi Avalanche'a ve tekrar Synapse aracılığıyla Ethereum'a köprüledi. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7, 12 Haziran saat 18:29 UTC'de 18.644 ETH karşılığında 4 X Killer GF NFT satın aldı ve 2 Haziran saat 12:1.279 UTC'de toplam 1.279 ETH karşılığında 30 KGF NFT satın alan anlık değişim 12 aracılığıyla yeni finanse edilen bir cüzdan 0x0bc7'den 58 ETH karşılığında 4 X Killer GF NFT satın aldı. Taban fiyat, NFT başına ortalama ~0,045 ETH idi, bu da 0x1d7 0x0bc7'den birçok kat şüpheli bir şekilde fazla ödeme yapıldığı anlamına geliyor.

8/ 0x5e9c, 12 Haziran saat 18:35 UTC'de toplam 3,23 ETH karşılığında 30 X Killer GF NFT satın aldı. 0x5e9c, hırsızlık adresinden 0x1d7 alınan fonları kullanarak ~19,3 ETH karşılığında 0x0bc7'ye 27 NFT sattı. Aşağıdaki şema, ilgili üç adresin de birbiriyle nasıl etkileşime girdiğini göstermektedir.

9/ 0x5e9c, yıkama işlemleri gerçekleşmeden önce 12 Haziran saat 17:11 UTC'de 0xcf0c tarafından 14 ETH ile finanse edildi. 0xcf0c, Bittensor kullanıcısı olan ve 'Skrtt yarışı' projesi için 'Hot Wheels Ön Satış' sözleşmesini uygulayan 0xd512 ile sık sık etkileşime giriyor Daha fazla araştırma, Skrtt projesinin Rusty takma adını kullanan bir kişi tarafından oluşturulduğunu ortaya çıkardı.

10/ Rusty, X hesabı 'otc_rusty' kullanıyor ve biyografisinde daha önce bir Opentensor Mühendisi olduğu belirtiliyor. Farkında olmayanlar için OT, Bittensor'u yöneten temeldir.

11/ Bu yılın başlarında, bu bulgulara dayanarak birden fazla şüpheli hakkında hukuk davası açıldı. Sanıkların ifadelerinden alınan ilginç bir kısım, Rusty'nin (Ayden B) tespit ettiğim birkaç cüzdanın sahibi olduğunu kabul etmesi, ancak olaya karıştığını reddetmesi aşağıda vurgulanmıştır. Bir diğer şüpheli olduğu iddia edilen 0xJones (Jon L), daha önce Rusty ile arkadaş olarak OTF'ye bir rol için başvurmuş ve olaydan sonra Bittensor Discord'daki mesajları silmiş ve X hesabını devre dışı bırakmıştı.

12/ NFT yıkama ticaretini içeren istismarların/hack'lerin olduğunu görmek son derece nadirdir ve NFT satın alımlarından önce nasıl finanse edildikleri ve koleksiyon için taban fiyatın üzerinde birden fazla işlem gördükleri göz önüne alındığında, her adres arasındaki ilişkinin çok tesadüfi olduğunu düşünüyorum. Umarım kolluk kuvvetleri gelecekte bir ceza davasıyla ilerler. Bir başka kanıt da, saldırgan tarafından kullanılan ve aynı zamanda şüphelilerle bağlantılı anlık alışverişlerin örtüşmesidir ki bu yazı oldukça uzun olduğu için çok fazla konuya girmedim.