1/ 一项调查，关于我如何通过识别与一名前员工相关的动漫 NFT 洗钱交易，确定与 2024 年 2800 万美元 Bittensor 黑客事件有关的嫌疑人，并因此获得了白帽奖励。

2/ 32 名 $TAO 持有者在 2024 年 5 月至 7 月期间经历了超过 2800 万美元的未经授权转账，Bittensor 网络在 2024 年 7 月 2 日暂时停止。 团队发布的事后分析显示，这些盗窃事件是由于供应链攻击造成的，恶意的 PyPi 包在 2024 年 5 月底被上传。 下载该包并执行特定操作的受害者意外地泄露了私钥。

3/ 我开始追踪来自两个初始盗窃地址的被盗资金，TAO通过Bittensor原生桥接到Ethereum，然后转移到即时交易所，攻击者在那里兑换成XMR。 受害者： $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN $13M: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ 盗窃整合 0x09f 于2024年6月存入了约494万美元到 Railgun，一个隐私协议。 总共通过 0x601 在6月8日至9日存入了548.934 ETH。 总共通过 0xf5ff 在6月11日和15日存入了701.066 ETH、277.2K USDC、22.35 WETH。 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ 我通过应用时间/金额启发式方法对三个地址（0x1d7, 0x87d8, 0x1fbc）进行了 Railgun 提现的去匿名化。 总存款：1249.68 ETH，277.2K USDC，22.35 WETH 总提现：1246.16 ETH，276.4K USDC，19.83 WETH 独特的面额和短暂的存款时间使得去混合的信心很高。 提现地址： 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ 被盗资金于6月9日从0x87d8流向更多即时交易所，其余资金于6月10日合并至0x1d7。 0x1d7于6月14日通过Synapse将1054 ETH桥接到Avalanche，然后再返回Ethereum。 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 于6月12日下午6:29（UTC）以18.644 ETH从0x0bc7购买了4个Killer GF NFT，这是一只新资金钱包，通过即时交易2购买了30个KGF NFT，总共花费1.279 ETH，交易时间为6月12日下午5:58（UTC）。 地板价平均约为每个NFT ~0.045 ETH，这意味着0x1d7从0x0bc7的支付明显过高，超出了许多倍。

8/ 0x5e9c 于6月12日下午6:35（UTC）以总计3.23 ETH购买了30个Killer GF NFT。 0x5e9c将27个NFT以约19.3 ETH的价格出售给0x0bc7，使用的是从盗窃地址0x1d7洗出来的资金。 下面的图表突出显示了所有三个相关地址之间的互动。

9/ 0x5e9c 于6月12日下午5:11 UTC由0xcf0c资助了14 ETH，之前发生了洗钱交易。 0xcf0c与0xd512有频繁的互动，后者是Bittensor用户，并为项目‘Skrtt racing’部署了‘Hot Wheels Presale’合约。 进一步调查显示，Skrtt项目是由一个使用别名Rusty的人创建的。

10/ Rusty 使用 X 账户 ‘otc_rusty’，他的个人简介显示他曾是 Opentensor 工程师。 对于那些不知情的人来说，OT 是管理 Bittensor 的基础。

12/ 看到涉及 NFT 洗钱交易的漏洞/黑客攻击是极其罕见的，我认为每个地址之间的关系实在是太巧合了，因为他们在 NFT 购买之前的资金来源以及在该系列的地板价之上进行了多次交易。 希望执法部门最终能在未来推进刑事案件。 另一个证据是攻击者使用的即时交易所与嫌疑人之间的重叠，我没有深入探讨这一点，因为这篇文章变得相当长。