1 / تم استغلال العديد من المشاريع المرتبطة بمبتكر Pepe Matt Furie & ChainSaw بالإضافة إلى مشروع آخر Favrr في الأسبوع الماضي مما أدى إلى سرقة ~ 1 مليون دولار يربط تحليلي كلا الهجومين بنفس المجموعة من العاملين في تكنولوجيا المعلومات في كوريا الديمقراطية الذين من المحتمل أن يكونوا قد تم تعيينهم عن طريق الخطأ كمطورين.

2 / في 18 يونيو 2025 الساعة 4:25 صباحا بالتوقيت العالمي المنسق ، تم نقل ملكية "Replicandy" من Matt Furie & ChainSaw إلى 0x9Fca EOA جديد. يونيو 18, 2025 6:20 مساء بالتوقيت العالمي المنسق: سحبت 0x9Fca عائدات سك العملة من العقد يونيو 19, 2025 5:11 صباحا بالتوقيت العالمي المنسق: 0x9Fca يلغي إيقاف النعناع مؤقتا ثم قام المهاجم بسك NFTs وبيعها في عطاءات مما تسبب في انخفاض السعر الأدنى إلى الصفر.

3 / في 23 يونيو 2025 ، نقل المهاجم الملكية من موزع ChainSaw إلى 0x9Fca ل Peplica و Hedz و Zogz. وبالمثل ، قام المهاجم بسك NFTs وباعها في عطاءات ، مما تسبب في انخفاض السعر الأدنى إلى الصفر. 0x9Fca3AC75cd66f3c62bea8231886513b9fe191BD

4 / في المجموع ، أقدر أن 310 آلاف دولار + من مشاريعهم قد سرقت ونقلت بشكل أساسي بين العناوين الثلاثة أدناه. 0xf6a9349c54d51f7f76bbd2afd755b5dd75e617ee 0x7e580f916a8e93871b72a694407fb7d790de96a6 0x58f4299465b261e79713e5c78a7629cd656aed36

5 / قام المهاجم بنقل 2.05 ETH لتبادل 1 في 18 يونيو الساعة 7:47 مساء بالتوقيت العالمي المنسق. من خلال إجراء تحليل التوقيت ، تمكنت من تحديد موقع معاملة الوجهة حيث تم استلام 5007.91 USDT وتحويلها إلى MEXC. 0xf87fbc5e8fff065b413d3d48932b6fb5585d93d5

6 / كشف التتبع من عنوان إيداع MEXC 0xf87 عن العديد من ودائع العملات المستقرة الأخرى التي يتم تلقيها كل شهر تتراوح من 2 ألف دولار إلى 10 آلاف دولار لمشاريع مختلفة. نظرا لأن هذه الفرق كانت مفيدة في توفير المعلومات ، وتمت إزالة ITWs في كوريا الديمقراطية ، لذا لن أذكر المشروع.

7 / يمكن رؤية حسابين على GitHub يستخدمهما ITWs المشتبه بهم في DPRK في هذه المجموعة أدناه والمحافظ المدرجة في حسابهم. جمهورية كوريا الشعبية الديمقراطية ITW 1: devmad119 0x93d5785d759563b5b8eb98eaff9196dddf7179f3 جمهورية كوريا الشعبية الديمقراطية ITW 2: sujitb2114 0x6c88dd91de053fca915baece6868f6c32d20adea

8/ تشير المؤشرات الأخرى التي تم الكشف عنها من السجلات الداخلية إلى وجود مخالفات في السيرة الذاتية المشتبه في أنها لموظفي تكنولوجيا المعلومات في كوريا الديمقراطية. لماذا يكون لدى المطور الذي يدعي أنه يعيش في الولايات المتحدة إعداد اللغة الكورية ، واستخدام Astral VPN ، ولديه منطقة زمنية في آسيا / روسيا؟

9 / التتبع من 0xf87f إيداع MEXC يؤدي إلى توحيد ITW مختلف آخر لجمهورية كوريا الديمقراطية: 0x477d13ee1e1304292d270bfac1aa496902e6851f

10 / تلقت 0x477 توحيد DPRK ITW كشوف المرتبات من مشروع Favrr الذي تم استغلاله مقابل 680 ألف دولار + في 25 يونيو 2025 أظن أن لديهم ITW ثان في كشوف المرتبات أيضا لأن عنوان المستغل مرتبط بعنوان إيداع Gate الذي 0xab7 أرسل ITW 2 كشوف المرتبات إليه. فافر آي تي دبليو 1 0x17087f92d16049e9097413b4964663b754c1e43d ففر آي تي دبليو 2 0x641279133f6f560c3f512b8e2d286ae2c53c31ee

12 / قريبا أخطط لنشر إحصائياتي حول إجمالي المدفوعات التي يتم إرسالها إلى ITWs في كوريا الديمقراطية في الشركات / المشاريع لتقديم نظرة ثاقبة حول مدى سوء ذلك. إنه لأمر محبط عدد الفرق التي توظف عمال تكنولوجيا المعلومات في كوريا الديمقراطية عندما تكون العناية الواجبة الأساسية قد منعت ذلك على الأرجح. كان عدم وجود اتصال من Matt Furie & ChainSaw منذ وقوع الحادث مخيبا للآمال مع حذف تحذيرهم الوحيد للمجتمع دون تفسير. لا تزال الأموال المسروقة من حادثة ChainSaw نائمة في الغالب. تم تحويل الأموال المسروقة ل Favrr إلى Gate وعدد قليل من الخدمات المتداخلة. لم أتمكن من الاتصال بالفرق بسبب تعطيل الرسائل المباشرة وعدم وجود طريقة للاتصال بهم بسهولة على Telegram أو Discord.