1/ Múltiples proyectos vinculados al creador de Pepe, Matt Furie y ChainSaw, así como otro proyecto, Favrr, fueron explotados la semana pasada, lo que resultó en el robo de ~ $ 1 millón Mi análisis vincula ambos ataques con el mismo grupo de trabajadores de TI de la RPDC que probablemente fueron contratados accidentalmente como desarrolladores.

2/ El 18 de junio de 2025 a las 4:25 am UTC, la propiedad de 'Replicandy' de Matt Furie y ChainSaw fue transferida a un nuevo EOA 0x9Fca. 18 de junio de 2025 6:20 pm UTC: 0x9Fca retiró los ingresos de la acuñación del contrato. 19 de junio de 2025 5:11 am UTC: 0x9Fca reanuda la acuñación. El atacante luego acuñó NFTs y los vendió en las pujas, causando que el precio mínimo cayera a cero.

3/ El 23 de junio de 2025, el atacante transfirió la propiedad del desplegador de ChainSaw a 0x9Fca para Peplicator, Hedz, Zogz. De manera similar, el atacante acuñó NFTs y los vendió en pujas, causando que el precio mínimo cayera a cero. 0x9Fca3AC75cd66f3c62bea8231886513b9fe191BD

4/ En total, estimo que se robaron más de $310K de sus proyectos y se transfirieron principalmente entre las tres direcciones a continuación. 0xf6a9349c54d51f7f76bbd2afd755b5dd75e617ee 0x7e580f916a8e93871b72a694407fb7d790de96a6 0x58f4299465b261e79713e5c78a7629cd656aed36

5/ El atacante transfirió 2.05 ETH al intercambio 1 el 18 de junio a las 7:47 pm UTC. Al realizar un análisis de tiempo, pude localizar la transacción de destino donde se recibieron 5007.91 USDT y se transfirieron a MEXC. 0xf87fbc5e8fff065b413d3d48932b6fb5585d93d5

6/ Rastrear desde la dirección de depósito de MEXC 0xf87 reveló muchos otros depósitos de stablecoins recibidos cada mes que oscilan entre $2K-10K para varios proyectos. Como esos equipos fueron útiles al proporcionar información y se eliminaron los ITWs de la RPD de Corea, no nombraré el proyecto.

7/ Se pueden ver a continuación dos cuentas de GitHub utilizadas por presuntos ITWs de la RPDC en este grupo, así como las billeteras listadas en su cuenta. ITW RPDC 1: devmad119 0x93d5785d759563b5b8eb98eaff9196dddf7179f3 ITW RPDC 2: sujitb2114 0x6c88dd91de053fca915baece6868f6c32d20adea

8/ Otros indicadores revelados por los registros internos señalan irregularidades en el currículum de un supuesto trabajador de TI de la RPDC. ¿Por qué un desarrollador que afirma vivir en EE. UU. tendría una configuración de idioma coreano, usaría Astral VPN y tendría una zona horaria de Asia/Rusia?

9/ Rastreando desde el depósito de MEXC 0xf87f se llegó a otra consolidación diferente de ITW de la DPRK: 0x477d13ee1e1304292d270bfac1aa496902e6851f

10/ Consolidación de ITW de la RPDC 0x477 recibió nómina del proyecto Favrr, que fue explotado por más de $680K el 25 de junio de 2025. Sospecho que también tienen un segundo ITW en nómina porque la dirección del explotador está vinculada a una dirección de depósito de Gate 0xab7 a la que ITW 2 envió nómina. Favrr ITW 1 0x17087f92d16049e9097413b4964663b754c1e43d Favrr ITW 2 0x641279133f6f560c3f512b8e2d286ae2c53c31ee

12/ Pronto planeo publicar mis estadísticas sobre los pagos totales enviados a los trabajadores de TI de la RPDC en empresas/proyectos para proporcionar una visión de cuán grave es la situación. Es deprimente cuántos equipos contratan a trabajadores de TI de la RPDC cuando una diligencia debida básica probablemente lo habría prevenido. La falta de comunicación de Matt Furie y ChainSaw desde que ocurrió el incidente ha sido decepcionante, con su única advertencia a la comunidad eliminada sin explicación. Los fondos robados del incidente de ChainSaw permanecen en su mayoría inactivos. Los fondos robados de Favrr fueron transferidos a Gate y a algunos servicios anidados. No he podido ponerme en contacto con los equipos debido a que los DMs están deshabilitados y no hay una forma fácil de contactarlos en Telegram o Discord.