Mai multe proiecte legate de creatorul lui Pepe, Matt Furie și ChainSaw, precum și un alt proiect Favrr au fost exploatate săptămâna trecută, ceea ce a dus la furtul de ~ 1 milion de dolari Analiza mea leagă ambele atacuri de același grup de lucrători IT din RPDC care au fost probabil angajați accidental ca dezvoltatori.

2/ Pe 18 iunie 2025 la 4:25 UTC, proprietatea pentru "Replicandy" de la Matt Furie & ChainSaw a fost transferată la un nou 0x9Fca EOA. Iun 18, 2025 18:20 UTC: 0x9Fca retras veniturile monetăriei din contract Iun 19, 2025 5:11 UTC: 0x9Fca întrerupe monetăria Atacatorul a bătut apoi NFT-uri și a vândut în oferte, ceea ce a făcut ca prețul minim să scadă la zero.

3/ Pe 23 iunie 2025, atacatorul a transferat proprietatea de la ChainSaw la 0x9Fca pentru Peplicator, Hedz, Zogz. În mod similar, atacatorul a bătut NFT-uri și le-a vândut în oferte, ceea ce a făcut ca prețul minim să scadă la zero. 0x9Fca3AC75cd66f3c62bea8231886513b9fe191BD

4/ În total, estimez că $310K+ din proiectele lor au fost furați și transferați în principal între cele trei adrese de mai jos. 0xf6a9349c54d51f7f76bbd2afd755b5dd75e617ee 0x7e580f916a8e93871b72a694407fb7d790de96a6 0x58f4299465b261e79713e5c78a7629cd656aed36

5/ Atacatorul a transferat 2,05 ETH pentru a schimba 1 pe 18 iunie la 7:47 pm UTC. Efectuând o analiză a timpului, am putut localiza tranzacția de destinație în care au fost primite 5007,91 USDT și transferate către MEXC. 0xf87fbc5e8fff065b413d3d48932b6fb5585d93d5

6/ Urmărirea de la adresa de depozit MEXC 0xf87 dezvăluit multe alte depozite de monede stabile primite în fiecare lună, variind de la 2K-10K USD pentru diverse proiecte. Deoarece acele echipe au fost de ajutor cu furnizarea de informații și ITW-urile din RPDC au fost eliminate, așa că nu voi numi proiectul.

7/ Două conturi GitHub utilizate de ITW suspectați de RPDC în acest cluster pot fi văzute mai jos și portofele listate în contul lor. RPDC ITW 1: devmad119 0x93d5785d759563b5b8eb98eaff9196dddf7179f3 RPDC ITW 2: sujitb2114 0x6c88dd91de053fca915baece6868f6c32d20adea

8/ Alți indicatori dezvăluiți din jurnalele interne indică nereguli în CV-ul unui presupus CV al lucrătorilor IT din RPDC. De ce ar avea un dezvoltator care pretinde că locuiește în SUA o setare de limbă coreeană, utilizarea Astral VPN și un fus orar Asia/Rusia?

9/ Urmărirea de la depozitul MEXC 0xf87f duce la o altă consolidare diferită a ITW în RPDC: 0x477d13ee1e1304292d270bfac1aa496902e6851f

10/ Consolidarea ITW din RPDC 0x477 primit salarii din proiectul Favrr, care a fost exploatat pentru 680 de mii de dolari+ pe 25 iunie 2025 Bănuiesc că au și un al doilea ITW pe statul de plată, deoarece adresa exploatatorului este legată de o adresă de depozit Gate 0xab7 care ITW 2 a trimis statul de plată. Favrr ITW 1 0x17087f92d16049e9097413b4964663b754c1e43d Favrr ITW 2 0x641279133f6f560c3f512b8e2d286ae2c53c31ee

12/ În curând intenționez să public statisticile mele despre plățile totale trimise către ITW-urile din RPDC la companii/proiecte pentru a oferi o perspectivă asupra cât de rău este. Este deprimant câte echipe angajează lucrători IT din RPDC când diligența de bază ar fi prevenit acest lucru. Lipsa de comunicare din partea lui Matt Furie și ChainSaw de când a avut loc incidentul a fost dezamăgitoare, singurul lor avertisment către comunitate fiind șters fără explicații. Fondurile furate de la incidentul ChainSaw rămân în mare parte inactive. Fondurile furate pentru Favrr au fost transferate la Poartă și câteva servicii imbricate. Nu am reușit să iau legătura cu echipele din cauza DM-urilor dezactivate și nicio modalitate de a le contacta cu ușurință pe Telegram sau Discord.