1/ Một cuộc điều tra về cách tôi xác định một trong những nghi phạm liên quan đến vụ hack Bittensor trị giá 28 triệu đô la từ năm 2024 bằng cách xác định các giao dịch rửa NFT anime liên quan đến một cựu nhân viên và đã nhận được phần thưởng whitehat cho những nỗ lực của mình.

2/ 32 người nắm giữ $TAO đã trải qua các giao dịch không được phép với tổng giá trị vượt quá 28 triệu đô la từ tháng 5 đến tháng 7 năm 2024 và mạng Bittensor đã bị tạm dừng vào ngày 2 tháng 7 năm 2024. Một báo cáo sau sự cố được công bố bởi đội ngũ đã tiết lộ rằng các vụ trộm cắp là kết quả của một cuộc tấn công chuỗi cung ứng sau khi một gói PyPi độc hại được tải lên vào cuối tháng 5 năm 2024. Các nạn nhân đã tải xuống gói và thực hiện các thao tác cụ thể đã vô tình làm lộ khóa riêng.

3/ Tôi đã bắt đầu theo dõi các quỹ bị đánh cắp từ hai địa chỉ trộm cắp ban đầu, TAO đã được chuyển qua cầu Ethereum thông qua cầu gốc Bittensor, và sau đó được chuyển đến các sàn giao dịch tức thì nơi những kẻ tấn công đã đổi sang XMR. Nạn nhân: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN $13M: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Tập hợp tài sản bị đánh cắp 0x09f đã gửi khoảng ~$4.94 triệu vào Railgun, một giao thức bảo mật vào tháng 6 năm 2024. Tổng cộng 548.934 ETH đã được gửi qua 0x601 từ ngày 8-9 tháng 6. 701.066 ETH, 277.2K USDC, 22.35 WETH tổng cộng đã được gửi qua 0xf5ff vào ngày 11 & 15 tháng 6. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Tôi đã làm lộ danh tính các khoản rút tiền từ Railgun đến ba địa chỉ (0x1d7, 0x87d8, 0x1fbc) bằng cách áp dụng các phương pháp suy diễn thời gian / số tiền. Tổng số tiền gửi: 1249.68 ETH, 277.2K USDC, 22.35 WETH Tổng số tiền rút: 1246.16 ETH, 276.4K USDC, 19.83 WETH Các mệnh giá độc nhất và thời gian gửi ngắn khiến việc phân tách có độ tin cậy cao. Địa chỉ rút tiền: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ Các quỹ bị đánh cắp đã chảy vào nhiều sàn giao dịch tức thì từ 0x87d8 vào ngày 9 tháng 6 và phần còn lại đã được hợp nhất vào 0x1d7 vào ngày 10 tháng 6. 0x1d7 đã chuyển 1054 ETH sang Avalanche và quay trở lại Ethereum qua Synapse vào ngày 14 tháng 6. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 đã mua 4 NFT Killer GF với giá 18.644 ETH vào ngày 12 tháng 6 lúc 6:29 chiều UTC từ 0x0bc7, một ví mới được cấp vốn qua sàn giao dịch tức thì 2, đã mua tổng cộng 30 NFT KGF với giá 1.279 ETH vào ngày 12 tháng 6 lúc 5:58 chiều UTC. Giá sàn trung bình khoảng ~0.045 ETH mỗi NFT, có nghĩa là 0x1d7 đã trả quá nhiều so với 0x0bc7 với nhiều lần chênh lệch.

8/ 0x5e9c đã mua 30 NFT Killer GF với tổng giá 3.23 ETH vào ngày 12 tháng 6 lúc 6:35 chiều UTC. 0x5e9c đã bán 27 NFT cho 0x0bc7 với giá ~19.3 ETH bằng cách sử dụng quỹ rửa từ địa chỉ đánh cắp 0x1d7. Sơ đồ dưới đây làm nổi bật cách mà cả ba địa chỉ liên quan tương tác với nhau.

9/ 0x5e9c đã được tài trợ 14 ETH bởi 0xcf0c vào ngày 12 tháng 6 lúc 5:11 chiều UTC trước khi các giao dịch rửa diễn ra. 0xcf0c có nhiều tương tác với 0xd512, người dùng Bittensor và đã triển khai hợp đồng ‘Hot Wheels Presale’ cho một dự án ‘Skrtt racing’. Cuộc điều tra thêm cho thấy dự án Skrtt được tạo ra bởi một người sử dụng bí danh Rusty.

10/ Rusty sử dụng tài khoản X ‘otc_rusty’ và tiểu sử của anh ấy cho biết anh từng là Kỹ sư Opentensor. Đối với những ai chưa biết, OT là nền tảng quản lý Bittensor.

12/ Rất hiếm khi thấy các vụ khai thác/tấn công liên quan đến việc rửa giao dịch NFT và tôi nghĩ rằng mối quan hệ giữa mỗi địa chỉ chỉ là quá trùng hợp, xét về cách chúng được tài trợ trước khi mua NFT và đã giao dịch nhiều lần trên mức giá sàn của bộ sưu tập. Hy vọng rằng cơ quan thực thi pháp luật cuối cùng sẽ tiến hành một vụ án hình sự trong tương lai. Một bằng chứng khác là sự chồng chéo trong các sàn giao dịch tức thì được kẻ tấn công sử dụng và cũng liên quan đến các nghi phạm, điều mà tôi không đi sâu vào nhiều vì bài viết này đang trở nên khá dài.