1/ Beberapa proyek yang terkait dengan pencipta Pepe Matt Furie & ChainSaw serta proyek lain Favrr dieksploitasi dalam seminggu terakhir yang mengakibatkan ~$1M dicuri Analisis saya menghubungkan kedua serangan tersebut dengan kelompok pekerja TI DPRK yang sama yang kemungkinan secara tidak sengaja dipekerjakan sebagai pengembang.

2/ Pada 18 Juni 2025 pukul 4:25 UTC kepemilikan untuk 'Replicandy' dari Matt Furie & ChainSaw ditransfer ke 0x9Fca EOA baru. Juni 18, 2025 18:20 UTC: 0x9Fca menarik hasil mint dari kontrak Juni 19, 2025 5:11 UTC: 0x9Fca membatalkan jeda mint Penyerang kemudian mencetak NFT dan menjualnya ke dalam tawaran yang menyebabkan harga dasar turun menjadi nol.

3/ Pada 23 Juni 2025 penyerang mengalihkan kepemilikan dari penyebar ChainSaw ke 0x9Fca untuk Peplicator, Hedz, Zogz. Demikian pula, penyerang mencetak NFT dan menjualnya ke dalam penawaran, menyebabkan harga dasar turun menjadi nol. 0x9Fca3AC75cd66f3c62bea8231886513b9fe191BD

4/ Secara total saya memperkirakan $310K+ dari proyek mereka dicuri dan ditransfer terutama antara tiga alamat di bawah ini. 0xf6a9349c54d51f7f76bbd2afd755b5dd75e617ee 0x7e580f916a8e93871b72a694407fb7d790de96a6 0x58f4299465b261e79713e5c78a7629cd656aed36

5/ Penyerang mentransfer 2,05 ETH ke pertukaran 1 pada 18 Juni pukul 19:47 UTC. Dengan melakukan analisis waktu, saya dapat menemukan transaksi tujuan di mana 5007,91 USDT diterima dan ditransfer ke MEXC. 0xf87fbc5e8fff065b413d3d48932b6fb5585d93d5

6/ Menelusuri kembali dari alamat setoran MEXC 0xf87 mengungkapkan banyak setoran stablecoin lainnya yang diterima setiap bulan mulai dari $2K-10K untuk berbagai proyek. Karena tim-tim itu membantu memberikan info dan ITW DPRK dihapus jadi saya tidak akan menyebutkan nama proyeknya.

7/ Dua akun GitHub yang digunakan oleh tersangka ITW DPRK di klaster ini dapat dilihat di bawah ini dan tercantum dompet di akun mereka. DPRK ITW 1: devmad119 0x93d5785d759563b5b8eb98eaff9196dddf7179f3 DPRK ITW 2: sujitb2114 0x6c88dd91de053fca915baece6868f6c32d20adea

8/ Indikator lain yang terungkap dari log internal menunjukkan penyimpangan dalam resume pekerja TI DPRK yang dicurigai. Mengapa pengembang yang mengaku tinggal di AS memiliki pengaturan bahasa Korea, penggunaan VPN Astral, dan memiliki zona waktu Asia/Rusia?

9/ Menelusuri kembali dari deposit MEXC 0xf87f mengarah ke konsolidasi DPRK ITW yang berbeda: 0x477d13ee1e1304292d270bfac1aa496902e6851f

10/ Konsolidasi ITW DPRK 0x477 menerima penggajian dari proyek Favrr yang dieksploitasi seharga $680K+ pada 25 Juni 2025 Saya menduga mereka memiliki ITW kedua dalam penggajian juga karena alamat pengeksploitasi terikat dengan alamat setoran Gerbang 0xab7 tempat ITW 2 mengirim penggajian. Favrr ITW 1 0x17087f92d16049e9097413b4964663b754c1e43d Favrr ITW 2 0x641279133f6f560c3f512b8e2d286ae2c53c31ee

12/ Segera saya berencana untuk mempublikasikan statistik saya tentang total pembayaran yang dikirim ke ITW DPRK di perusahaan/proyek untuk memberikan wawasan tentang seberapa buruk itu. Sangat menyedihkan berapa banyak tim yang mempekerjakan pekerja TI DPRK ketika uji tuntas dasar kemungkinan akan mencegahnya. Kurangnya komunikasi dari Matt Furie & ChainSaw sejak insiden itu terjadi telah mengecewakan dengan satu-satunya peringatan mereka kepada komunitas yang dihapus tanpa penjelasan. Dana yang dicuri dari insiden ChainSaw sebagian besar tetap tidak aktif. Dana yang dicuri untuk Favrr ditransfer ke Gate dan beberapa layanan bersarang. Saya tidak dapat menghubungi tim karena DM dinonaktifkan dan tidak ada cara untuk dengan mudah menghubungi mereka di Telegram atau Discord.