1/ Uma investigação sobre como identifiquei um dos suspeitos ligados ao hack de $28M da Bittensor em 2024, identificando negociações de lavagem de NFTs de anime ligadas a um ex-funcionário e ganhei uma recompensa de whitehat pelos meus esforços.

2/ 32 detentores de $TAO experienciaram transferências não autorizadas em excesso de $28M de maio a julho de 2024 e a rede Bittensor foi temporariamente interrompida em 2 de julho de 2024. Um relatório pós-morte publicado pela equipe revelou que os roubos foram o resultado de um ataque à cadeia de suprimentos após um pacote malicioso do PyPi ter sido carregado no final de maio de 2024. As vítimas que baixaram o pacote e realizaram operações específicas comprometeram acidentalmente chaves privadas.

3/ Comecei a rastrear os fundos roubados a partir de dois endereços de roubo iniciais, o TAO foi transferido para Ethereum através da ponte nativa da Bittensor, e depois transferido para trocas instantâneas onde os atacantes trocaram por XMR. Vítimas: $400K: 5ENiTXL63DRMKytjaDRBLnorwd6qURKcCVgsgpu8UQxgptQN $13M: 5DnXm2tBGAD57ySJv5SfpTfLcsQbSKKp6xZKFWABw3cYUgqg

4/ Consolidação de roubo 0x09f depositou ~$4.94M no Railgun, um protocolo de privacidade em junho de 2024. 548.934 ETH no total foi depositado via 0x601 de 8 a 9 de junho. 701.066 ETH, 277.2K USDC, 22.35 WETH no total foi depositado via 0xf5ff em 11 e 15 de junho. 0x09f76d4fc3bce5bf28543f45c4cee9999e0a0aaf

5/ Eu desanonimizei os levantamentos do Railgun para três endereços (0x1d7, 0x87d8, 0x1fbc) aplicando heurísticas de tempo / montante. Total de depósitos: 1249.68 ETH, 277.2K USDC, 22.35 WETH Total de levantamentos: 1246.16 ETH, 276.4K USDC, 19.83 WETH As denominações únicas e o curto tempo de depósito tornam a demix de alta confiança. Endereços de levantamento: 0x87d82c5401764f87856a31746f603ff766c72c7d 0x1d7ac347943c2143587978141a9415f2138adc2a 0x1fbc554caff6c1b4c00a692c9849de62de97e29c

6/ Os fundos roubados fluíram para mais trocas instantâneas a partir de 0x87d8 em 9 de junho e o restante foi consolidado em 0x1d7 em 10 de junho. 0x1d7 fez a ponte de 1054 ETH para Avalanche e de volta para Ethereum via Synapse em 14 de junho. 0x4fbc6c00fa1ef99561e1d977ee6c678a54cfb06f

7/ 0x1d7 comprou 4 NFTs Killer GF por 18.644 ETH no dia 12 de junho às 18:29 UTC de 0x0bc7, uma carteira recém-financiada via troca instantânea 2 que comprou 30 NFTs KGF por um total de 1.279 ETH no dia 12 de junho às 17:58 UTC. O preço mínimo médio foi de ~0.045 ETH por NFT, o que significa que 0x1d7 pagou suspeitosamente a mais para 0x0bc7 por muitos múltiplos.

8/ 0x5e9c comprou 30 NFTs Killer GF por um total de 3.23 ETH no dia 12 de junho às 18:35 UTC. 0x5e9c vendeu 27 NFTs para 0x0bc7 por ~19.3 ETH usando fundos lavados do endereço de roubo 0x1d7. O diagrama abaixo destaca como os três endereços envolvidos interagem entre si.

9/ 0x5e9c foi financiado com 14 ETH por 0xcf0c no dia 12 de junho às 17:11 UTC antes de ocorrerem as operações de wash trades. 0xcf0c tem interações frequentes com 0xd512, que é um usuário do Bittensor e implementou o contrato ‘Hot Wheels Presale’ para um projeto ‘Skrtt racing’. Uma investigação mais aprofundada revelou que o projeto Skrtt foi criado por uma pessoa que usa o pseudónimo Rusty.

10/ Rusty usa a conta X ‘otc_rusty’ e sua biografia afirma que ele foi anteriormente um Engenheiro da Opentensor. Para aqueles que não sabem, OT é a fundação que administra o Bittensor.

11/ No início deste ano, foi apresentada uma ação civil contra vários suspeitos com base nessas descobertas. Um ponto interessante retirado das declarações dos réus está destacado abaixo, onde Rusty (Ayden B) admite a posse de várias carteiras que identifiquei, embora negue envolvimento. 0xJones (Jon L), outro suposto suspeito, anteriormente se candidatou a um cargo na OTF como amigo de Rusty e apagou mensagens do Discord do Bittensor e desativou sua conta no X após o incidente.

12/ É extremamente raro ver explorações/hacks que envolvem negociação de lavagem de NFT e eu acho que a relação entre cada endereço é apenas demasiado coincidente, dado como foram financiados antes das compras de NFT e negociados várias vezes acima do preço mínimo da coleção. Espero que as autoridades eventualmente avancem com um caso criminal no futuro. Outra peça de evidência é a sobreposição nas trocas instantâneas usadas pelo atacante e também ligadas aos suspeitos, o que eu não explorei tanto, já que este post estava a ficar bastante longo.