1/ Nhiều dự án gắn liền với người sáng tạo Pepe Matt Furie & ChainSaw cũng như một dự án khác Favrr đã bị khai thác trong tuần qua dẫn đến ~ 1 triệu đô la bị đánh cắp Phân tích của tôi liên kết cả hai cuộc tấn công với cùng một nhóm nhân viên CNTT của CHDCND Triều Tiên, những người có khả năng vô tình được thuê làm nhà phát triển.
2/ Vào ngày 18 tháng 6 năm 2025 lúc 4:25 sáng UTC, quyền sở hữu ‘Replicandy’ từ Matt Furie & ChainSaw đã được chuyển giao cho một EOA mới 0x9Fca. Ngày 18 tháng 6 năm 2025 6:20 chiều UTC: 0x9Fca đã rút tiền từ hợp đồng mint Ngày 19 tháng 6 năm 2025 5:11 sáng UTC: 0x9Fca đã mở lại mint Kẻ tấn công sau đó đã mint NFT và bán vào các giá thầu khiến giá sàn giảm xuống còn bằng không.
feedsImage
3/ Vào ngày 23 tháng 6 năm 2025, kẻ tấn công đã chuyển quyền sở hữu từ người triển khai ChainSaw sang 0x9Fca cho Peplicator, Hedz, Zogz. Tương tự, kẻ tấn công đã đúc NFT và bán chúng vào các phiên đấu giá khiến giá sàn giảm xuống còn bằng không. 0x9Fca3AC75cd66f3c62bea8231886513b9fe191BD
4/ Tổng cộng, tôi ước tính hơn $310K từ các dự án của họ đã bị đánh cắp và chuyển nhượng chủ yếu giữa ba địa chỉ dưới đây. 0xf6a9349c54d51f7f76bbd2afd755b5dd75e617ee 0x7e580f916a8e93871b72a694407fb7d790de96a6 0x58f4299465b261e79713e5c78a7629cd656aed36
5/ Kẻ tấn công đã chuyển 2.05 ETH đến sàn giao dịch 1 vào ngày 18 tháng 6 lúc 7:47 tối UTC. Bằng cách thực hiện phân tích thời gian, tôi có thể xác định giao dịch đích nơi 5007.91 USDT đã được nhận và chuyển đến MEXC. 0xf87fbc5e8fff065b413d3d48932b6fb5585d93d5
6/ Việc truy vết từ địa chỉ gửi tiền MEXC 0xf87 đã tiết lộ nhiều khoản gửi stablecoin khác nhau được nhận mỗi tháng, dao động từ 2.000 đến 10.000 đô la cho nhiều dự án khác nhau. Vì các đội ngũ đó đã hỗ trợ cung cấp thông tin và các ITW của DPRK đã được gỡ bỏ nên tôi sẽ không nêu tên dự án.
7/ Hai tài khoản GitHub được cho là của các ITW DPRK trong cụm này có thể được thấy bên dưới và danh sách ví trên tài khoản của họ. ITW DPRK 1: devmad119 0x93d5785d759563b5b8eb98eaff9196dddf7179f3 ITW DPRK 2: sujitb2114 0x6c88dd91de053fca915baece6868f6c32d20adea
8/ Các chỉ số khác được tiết lộ từ nhật ký nội bộ chỉ ra những bất thường trong hồ sơ của một nhân viên CNTT bị nghi ngờ thuộc DPRK. Tại sao một nhà phát triển tuyên bố đang sống ở Mỹ lại có cài đặt ngôn ngữ Hàn Quốc, sử dụng Astral VPN và có múi giờ Châu Á/Nga?
9/ Theo dõi từ khoản tiền gửi MEXC 0xf87f dẫn đến một sự hợp nhất ITW DPRK khác: 0x477d13ee1e1304292d270bfac1aa496902e6851f
10/ Tập hợp ITW của DPRK 0x477 đã nhận lương từ dự án Favrr, dự án này đã bị khai thác với số tiền hơn $680K vào ngày 25 tháng 6 năm 2025. Tôi nghi ngờ họ có một ITW thứ hai trên bảng lương vì địa chỉ khai thác liên quan đến một địa chỉ gửi tiền Gate 0xab7 mà ITW 2 đã gửi lương đến. Favrr ITW 1 0x17087f92d16049e9097413b4964663b754c1e43d Favrr ITW 2 0x641279133f6f560c3f512b8e2d286ae2c53c31ee
Favrr
Favrr26 thg 6, 2025
Đội ngũ Favrr và các nhà đầu tư của họ đã nhận thức được một vấn đề kỹ thuật trong quá trình niêm yết DEX của $FAVRR vào thứ Tư, ngày 25 tháng 6. Trong khi các cuộc điều tra đang diễn ra, chúng tôi muốn phác thảo các bước tiếp theo ngay lập tức cho cộng đồng Favrr: 1. Tất cả các người tham gia trong IDO của @CoinTerminalCom sẽ được hoàn lại toàn bộ. 2. Việc niêm yết $FAVRR hôm nay trên @MEXC_official đã bị hủy bỏ. Chúng tôi sẽ cung cấp cập nhật về thời gian tái ra mắt trong những tuần tới. Trong thời gian chờ đợi: • Vui lòng tránh giao dịch $FAVRR và cẩn thận với bất kỳ token nào giả mạo nó. • Chỉ dựa vào các thông báo chính thức được đăng trên X. Cảm ơn bạn đã tiếp tục ủng hộ và hiểu biết.
12/ Sớm thôi, tôi dự định công bố thống kê về tổng số thanh toán được gửi đến các ITW của DPRK tại các công ty/dự án để cung cấp cái nhìn về mức độ nghiêm trọng của vấn đề. Thật buồn khi biết có bao nhiêu đội ngũ thuê lao động IT từ DPRK khi việc thẩm định cơ bản có lẽ đã ngăn chặn được điều này. Sự thiếu giao tiếp từ Matt Furie & ChainSaw kể từ khi sự cố xảy ra thật đáng thất vọng, với cảnh báo duy nhất cho cộng đồng đã bị xóa mà không có lời giải thích. Số tiền bị đánh cắp từ sự cố ChainSaw chủ yếu vẫn nằm im. Số tiền bị đánh cắp cho Favrr đã được chuyển đến Gate và một vài dịch vụ lồng ghép. Tôi không thể liên lạc với các đội ngũ do DMs bị vô hiệu hóa và không có cách nào dễ dàng để liên hệ với họ trên Telegram hoặc Discord.
905,2K