Flera projekt knutna till Pepe-skaparen Matt Furie & ChainSaw samt ett annat projekt Favrr utnyttjades under den senaste veckan, vilket resulterade i att ~1 miljon dollar stals Min analys kopplar båda attackerna till samma kluster av nordkoreanska IT-arbetare som sannolikt av misstag anställdes som utvecklare.

2/ Den 18 juni 2025 kl. 04:25 UTC överfördes ägandet för 'Replicandy' från Matt Furie & ChainSaw till en ny EOA-0x9Fca. juni 18, 2025 18:20 UTC: 0x9Fca tog ut myntintäkter från kontraktet juni 19, 2025 05:11 UTC: 0x9Fca tar upp myntningen Angriparen präglade sedan NFT:er och sålde till bud, vilket fick golvpriset att sjunka till noll.

3/ Den 23 juni 2025 överförde angriparen äganderätten från ChainSaw-utplaceraren till 0x9Fca för Peplicator, Hedz, Zogz. På samma sätt präglade angriparen NFT:er och sålde dem till bud, vilket fick golvpriset att sjunka till noll. 0x9Fca3AC75cd66f3c62bea8231886513b9fe191BD

4/ Totalt uppskattar jag att $310K+ från deras projekt stals och överfördes främst mellan de tre adresserna nedan. 0xf6a9349c54d51f7f76bbd2afd755b5dd75e617ee 0x7e580f916a8e93871b72a694407fb7d790de96a6 0x58f4299465b261e79713e5c78a7629cd656aed36

5/ Angriparen överförde 2.05 ETH till utbyte 1 den 18 juni kl. 19:47 UTC. Genom att utföra en tidsanalys kunde jag lokalisera destinationstransaktionen där 5007,91 USDT togs emot och överfördes till MEXC. 0xf87fbc5e8fff065b413d3d48932b6fb5585d93d5

6/ Spårning tillbaka från MEXC-insättningsadressen 0xf87 avslöjade många andra stablecoin-insättningar som mottagits varje månad, allt från $2K-10K för olika projekt. Eftersom dessa team var hjälpsamma med att ge information och DPRK ITWs togs bort så kommer jag inte att namnge projektet.

7/ Två GitHub-konton som används av misstänkta DPRK ITWs i detta kluster kan ses nedan och listade plånböcker på deras konto. Nordkorea ITW 1: devmad119 0x93d5785d759563b5b8eb98eaff9196dddf7179f3 Nordkorea ITW 2: sujitb2114 0x6c88dd91de053fca915baece6868f6c32d20adea

8/ Andra indikatorer som avslöjats från interna loggar pekar på oegentligheter i en misstänkt nordkoreansk it-arbetares meritförteckning. Varför skulle en utvecklare som påstår sig bo i USA ha en koreansk språkinställning, Astral VPN-användning och ha en tidszon i Asien/Ryssland?

9/ Att spåra tillbaka från MEXC-fyndigheten 0xf87f leda till ytterligare en annan konsolidering av Nordkoreas ITW: 0x477d13ee1e1304292d270bfac1aa496902e6851f

10/ DPRK ITW-konsolidering 0x477 fått lön från projektet Favrr som utnyttjades för $680K+ den 25 juni 2025 Jag misstänker att de har en andra ITW på lönelistan också eftersom exploatörens adress är knuten till en Gate-insättningsadress 0xab7 vilken ITW 2 skickade löner till. Favrr ITW 1 0x17087f92d16049e9097413b4964663b754c1e43d Favrr ITW 2 0x641279133f6f560c3f512b8e2d286ae2c53c31ee

12/ Snart planerar jag att publicera min statistik över totala betalningar som skickas ut till DPRK ITWs på företag/projekt för att ge insikt i hur illa det är. Det är deprimerande hur många team som anställer nordkoreanska IT-arbetare när grundläggande due diligence sannolikt skulle ha förhindrat det. Bristen på kommunikation från Matt Furie & ChainSaw sedan incidenten inträffade har varit en besvikelse och deras enda varning till communityn har raderats utan förklaring. De stulna pengarna från ChainSaw-incidenten förblir mestadels vilande. De stulna pengarna för Favrr överfördes till Gate och några nästlade tjänster. Jag har inte kunnat komma i kontakt med lagen på grund av DM:s inaktiverade och inget sätt att enkelt kontakta dem på Telegram eller Discord.