1/ Vários projetos ligados ao criador de Pepe, Matt Furie & ChainSaw, bem como outro projeto Favrr, foram explorados na semana passada, o que resultou em ~ $ 1 milhão roubado Minha análise vincula os dois ataques ao mesmo grupo de trabalhadores de TI da RPDC que provavelmente foram contratados acidentalmente como desenvolvedores.

2/ Em 18 de junho de 2025 às 4h25 UTC, a propriedade de 'Replicandy' de Matt Furie & ChainSaw foi transferida para um novo 0x9Fca EOA. 18 de junho de 2025 18h20 UTC: 0x9Fca retirou o produto da cunhagem do contrato 19 de junho de 2025 5h11 UTC: 0x9Fca retoma a casa da moeda O invasor então cunhou NFTs e vendeu em lances, fazendo com que o preço mínimo caísse para zero.

3/ Em 23 de junho de 2025, o invasor transferiu a propriedade do implantador do ChainSaw para 0x9Fca para Peplicator, Hedz, Zogz. Da mesma forma, o invasor cunhou NFTs e os vendeu em lances, fazendo com que o preço mínimo caísse para zero. 0x9Fca3AC75cd66f3c62bea8231886513b9fe191BD

4/ No total, estimo que $ 310K + de seus projetos foram roubados e transferidos principalmente entre os três endereços abaixo. 0xf6a9349c54d51f7f76bbd2afd755b5dd75e617ee 0x7e580f916a8e93871b72a694407fb7d790de96a6 0x58f4299465b261e79713e5c78a7629cd656aed36

5/ O invasor transferiu 2,05 ETH para a exchange 1 em 18 de junho às 19h47 UTC. Ao realizar uma análise de tempo, pude localizar a transação de destino onde 5007,91 USDT foi recebido e transferido para a MEXC. 0xf87fbc5e8fff065b413d3d48932b6fb5585d93d5

6/ Rastreando a partir do endereço de depósito MEXC 0xf87 revelou muitos outros depósitos de stablecoin recebidos a cada mês, variando de US$ 2 mil a US$ 10 mil para vários projetos. Como essas equipes foram úteis no fornecimento de informações e os ITWs da RPDC foram removidos, não vou nomear o projeto.

7/ Duas contas do GitHub usadas por suspeitos de ITWs da RPDC neste cluster podem ser vistas abaixo e carteiras listadas em sua conta. RPDC ITW 1: devmad119 0x93d5785d759563b5b8eb98eaff9196dddf7179f3 RPDC ITW 2: sujitb2114 0x6c88dd91de053fca915baece6868f6c32d20adea

8/ Outros indicadores revelados a partir de registros internos apontam irregularidades no currículo de um suposto funcionário de TI da RPDC. Por que um desenvolvedor que afirma morar nos EUA teria uma configuração de idioma coreano, uso de Astral VPN e um fuso horário da Ásia/Rússia?

9/ O rastreamento do depósito MEXC 0xf87f levar a outra consolidação diferente da RPDC ITW: 0x477d13ee1e1304292d270bfac1aa496902e6851f

10/ A consolidação da ITW da RPDC 0x477 recebeu a folha de pagamento do projeto Favrr, que foi explorada por US$ 680 mil + em 25 de junho de 2025 Suspeito que eles também tenham um segundo ITW na folha de pagamento porque o endereço do explorador está vinculado a um endereço de depósito do Gate 0xab7 para o qual o ITW 2 enviou a folha de pagamento. Favrr ITW 1 0x17087f92d16049e9097413b4964663b754c1e43d Favrr ITW 2 0x641279133f6f560c3f512b8e2d286ae2c53c31ee

12/ Em breve pretendo publicar minhas estatísticas sobre o total de pagamentos enviados aos ITWs da RPDC em empresas/projetos para fornecer informações sobre o quão ruim é. É deprimente quantas equipes contratam trabalhadores de TI da RPDC quando a devida diligência básica provavelmente teria evitado isso. A falta de comunicação de Matt Furie & ChainSaw desde que o incidente ocorreu foi decepcionante, com seu único aviso à comunidade excluído sem explicação. Os fundos roubados do incidente da ChainSaw permanecem inativos. Os fundos roubados para Favrr foram transferidos para Gate e alguns serviços aninhados. Não consegui entrar em contato com as equipes devido a DMs desativados e não há como contatá-los facilmente no Telegram ou Discord.