1/ Plusieurs projets liés au créateur de Pepe, Matt Furie & ChainSaw, ainsi qu’un autre projet Favrr ont été exploités la semaine dernière, ce qui a entraîné le vol de ~1 million de dollars. Mon analyse relie les deux attaques au même groupe de travailleurs informatiques de la RPDC qui ont probablement été accidentellement embauchés comme développeurs.

2/ Le 18 juin 2025 à 4h25 UTC, la propriété de ‘Replicandy’ de Matt Furie & ChainSaw a été transférée à un nouveau EOA 0x9Fca. 18 juin 2025 18h20 UTC : 0x9Fca a retiré les bénéfices de la mint du contrat. 19 juin 2025 5h11 UTC : 0x9Fca a réactivé la mint. L'attaquant a ensuite minté des NFTs et vendu aux enchères, provoquant la chute du prix plancher à zéro.

3/ Le 23 juin 2025, l'attaquant a transféré la propriété du déployeur ChainSaw à 0x9Fca pour Peplicator, Hedz, Zogz. De même, l'attaquant a frappé des NFTs et les a vendus aux enchères, provoquant une chute du prix plancher à zéro. 0x9Fca3AC75cd66f3c62bea8231886513b9fe191BD

4/ Au total, j'estime que plus de 310K $ provenant de leurs projets ont été volés et transférés principalement entre les trois adresses ci-dessous. 0xf6a9349c54d51f7f76bbd2afd755b5dd75e617ee 0x7e580f916a8e93871b72a694407fb7d790de96a6 0x58f4299465b261e79713e5c78a7629cd656aed36

5/ L'attaquant a transféré 2,05 ETH à l'échange 1 le 18 juin à 19h47 UTC. En effectuant une analyse temporelle, j'ai pu localiser la transaction de destination où 5007,91 USDT a été reçu et transféré à MEXC. 0xf87fbc5e8fff065b413d3d48932b6fb5585d93d5

6/ La traçabilité depuis l'adresse de dépôt MEXC 0xf87 a révélé de nombreux autres dépôts de stablecoins reçus chaque mois, allant de 2K à 10K $ pour divers projets. Comme ces équipes ont été utiles en fournissant des informations et que les ITW de la RPDC ont été supprimés, je ne nommerai pas le projet.

7/ Deux comptes GitHub utilisés par des ITW présumés de la RPDC dans ce cluster peuvent être vus ci-dessous et les portefeuilles listés sur leur compte. ITW RPDC 1 : devmad119 0x93d5785d759563b5b8eb98eaff9196dddf7179f3 ITW RPDC 2 : sujitb2114 0x6c88dd91de053fca915baece6868f6c32d20adea

8/ D'autres indicateurs révélés par les journaux internes soulignent des irrégularités dans le CV d'un travailleur informatique suspecté de la RPDC. Pourquoi un développeur qui prétend vivre aux États-Unis aurait-il un paramètre de langue coréenne, utiliserait-il un VPN Astral et serait-il dans un fuseau horaire Asie/Russie ?

9/ La traçabilité depuis le dépôt MEXC 0xf87f mène à une autre consolidation ITW DPRK différente : 0x477d13ee1e1304292d270bfac1aa496902e6851f

10/ Consolidation ITW DPRK 0x477 a reçu le salaire du projet Favrr qui a été exploité pour plus de 680K $ le 25 juin 2025. Je soupçonne qu'ils ont un deuxième ITW sur la paie également, car l'adresse de l'exploitant est liée à une adresse de dépôt Gate 0xab7 à laquelle l'ITW 2 a envoyé le salaire. Favrr ITW 1 0x17087f92d16049e9097413b4964663b754c1e43d Favrr ITW 2 0x641279133f6f560c3f512b8e2d286ae2c53c31ee

12/ Je prévois bientôt de publier mes statistiques sur les paiements totaux envoyés aux travailleurs informatiques de la RPDC dans des entreprises/projets pour donner un aperçu de la gravité de la situation. C'est déprimant de voir combien d'équipes embauchent des travailleurs informatiques de la RPDC alors qu'une simple diligence raisonnable aurait probablement pu l'éviter. Le manque de communication de la part de Matt Furie et de ChainSaw depuis l'incident a été décevant, leur seul avertissement à la communauté ayant été supprimé sans explication. Les fonds volés lors de l'incident ChainSaw restent principalement dormants. Les fonds volés pour Favrr ont été transférés à Gate et à quelques services imbriqués. Je n'ai pas pu entrer en contact avec les équipes en raison des messages directs désactivés et de l'absence de moyen facile pour les contacter sur Telegram ou Discord.