1. Розслідування того, як я ідентифікував одного з підозрюваних, пов'язаних із зломом Bittensor на суму 28 мільйонів доларів у 2024 році, виявивши wash-торги anime NFT, пов'язані з колишнім співробітником, і отримав винагороду у вигляді білого капелюха за свої зусилля.

Власники 2/32 $TAO зіткнулися з несанкціонованими переказами на суму понад 28 мільйонів доларів США з травня по липень 2024 року, а мережа Bittensor була тимчасово припинена 2 липня 2024 року. Посмертний розтин, опублікований командою, показав, що крадіжки були результатом атаки на ланцюжок поставок після того, як наприкінці травня 2024 року було завантажено шкідливий пакет PyPi Жертви, які завантажили пакет і виконали певні операції, випадково скомпрометували приватні ключі.

3/ Я почав відстежувати вкрадені кошти з двох початкових адрес крадіжки, TAO був перекинутий мостом до Ethereum через рідний міст Bittensor, а потім переведений на миттєві біржі, де зловмисники обмінялися на XMR. Жертв: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN $13M: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4. У червні 2024 року консолідація крадіжок 0x09f внести ~4,94 мільйона доларів на Railgun, протокол конфіденційності. 548.934 ETH було внесено через 0x601 з 8 по 9 червня. 701,066 ETH, 277,2K USDC, 22,35 WETH було депоновано через 0xf5ff 11 та 15 червня. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Я деанонімізував виведення коштів з Railgun на три адреси (0x1d7, 0x87d8, 0x1fbc), застосувавши евристику часу/суми. Всього депозитів: 1249.68 ETH, 277.2K USDC, 22.35 WETH Всього виведень: 1246,16 ETH, 276,4 тис USDC, 19,83 WETH Унікальні номінали та короткий час депозиту надають деміксу високу впевненість. Адреси для виведення коштів: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6. Вкрадені кошти надійшли на більш миттєві обміни з 0x87d8 9 червня, а решта була консолідована до 0x1d7 10 червня. 14 червня 0x1d7 перемістив 1054 ETH на Avalanche і знову на Ethereum через Synapse. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 придбали 4 NFT X Killer GF за 18,644 ETH 12 червня о 18:29 UTC у 0x0bc7 нещодавно поповненого гаманця через миттєвий обмін 2, який придбав 30 NFT KGF на загальну суму 1,279 ETH 12 червня о 17:58 UTC. Мінімальна ціна в середньому становила ~0,045 ETH за NFT, що означає, що 0x1d7 підозріло переплачували з 0x0bc7 багатьма мультиплікаторами.

8/ 12 червня о 18:35 UTC 0x5e9c придбали 30 NFT X Killer GF за 3,23 ETH. 0x5e9c продав 0x0bc7 27 NFT за ~19,3 ETH, використовуючи кошти, вимиті з адреси крадіжки 0x1d7. На діаграмі нижче показано, як усі три залучені адреси взаємодіють одна з одною.

9/ 0x5e9c було профінансовано 14 ETH від 0xcf0c 12 червня о 17:11 UTC до того, як відбулися вош-торги. 0xcf0c часто спілкується з 0xd512, яка є користувачем Bittensor і розгорнула контракт «Hot Wheels Presale» для проекту «Skrtt racing» Подальше розслідування показало, що проект Skrtt був створений особою, яка використовує псевдонім Rusty.

10. Расті використовує обліковий запис X «otc_rusty», і в його біографії зазначено, що він раніше був інженером Opentensor. Для тих, хто не знає, ОТ є основою, яка керує Bittensor.

12. Надзвичайно рідко можна побачити експлойти/хаки, пов'язані з фіктивною торгівлею NFT, і я думаю, що зв'язок між кожною адресою занадто випадковий, враховуючи, як вони фінансувалися до покупки NFT і торгувалися в кілька разів вище мінімальної ціни за колекцію. Сподіваюся, що в майбутньому правоохоронні органи врешті-решт просунуться вперед з кримінальною справою. Ще одним доказом є збіг миттєвих обмінів, які використовував зловмисник, а також прив'язані до підозрюваних, у що я не так сильно занурювався, оскільки цей пост ставав досить довгим.