Актуальные темы
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
1/ Несколько проектов, связанных с создателем Pepe Мэттом Фьюри и ChainSaw, а также еще один проект Favrr были использованы на прошлой неделе, что привело к краже ~$1 млн.
Мой анализ связывает обе атаки с одним и тем же кластером IT-работников КНДР, которые, вероятно, были случайно наняты в качестве разработчиков.


2/ 18 июня 2025 года в 4:25 утра по UTC право собственности на ‘Replicandy’ от Мэтта Фурие и ChainSaw было передано новому EOA 0x9Fca.
18 июня 2025 года
18:20 по UTC: 0x9Fca вывел средства от чеканки из контракта
19 июня 2025 года
5:11 утра по UTC: 0x9Fca возобновил чеканку
Злоумышленник затем чеканил NFT и продавал их по ставкам, что привело к падению минимальной цены до нуля.



3/ 23 июня 2025 года злоумышленник передал право собственности от развертывателя ChainSaw к 0x9Fca для Peplicator, Hedz, Zogz.
Аналогично, злоумышленник создал NFT и продал их на аукционах, что привело к падению минимальной цены до нуля.
0x9Fca3AC75cd66f3c62bea8231886513b9fe191BD

4/ В общей сложности я оцениваю, что было украдено более $310K из их проектов, и средства были в основном переведены между тремя адресами ниже.
0xf6a9349c54d51f7f76bbd2afd755b5dd75e617ee
0x7e580f916a8e93871b72a694407fb7d790de96a6
0x58f4299465b261e79713e5c78a7629cd656aed36

5/ Нападающий перевел 2.05 ETH на биржу 1 18 июня в 19:47 UTC.
Проведя анализ времени, я смог найти целевую транзакцию, где было получено 5007.91 USDT и переведено на MEXC.
0xf87fbc5e8fff065b413d3d48932b6fb5585d93d5

6/ Прослеживание от адреса депозита MEXC 0xf87 показало множество других депозитов стейблкоинов, получаемых каждый месяц, в диапазоне от 2K до 10K долларов для различных проектов.
Поскольку эти команды были полезны в предоставлении информации, а ИТ-работники КНДР были удалены, я не буду называть проект.

7/ Ниже представлены два аккаунта GitHub, используемые подозреваемыми ITW из КНДР в этом кластере, а также указанные кошельки на их аккаунтах.
ITW КНДР 1: devmad119
0x93d5785d759563b5b8eb98eaff9196dddf7179f3
ITW КНДР 2: sujitb2114
0x6c88dd91de053fca915baece6868f6c32d20adea


8/ Другие индикаторы, выявленные из внутренних журналов, указывают на несоответствия в резюме подозреваемого IT-работника КНДР.
Почему разработчик, который утверждает, что живет в США, имеет настройки языка корейского, использует Astral VPN и находится в часовом поясе Азия/Россия?
9/ Прослеживание от депозита MEXC 0xf87f привело к другой консолидации DPRK ITW:
0x477d13ee1e1304292d270bfac1aa496902e6851f

10/ Консолидация ITW КНДР 0x477 получила зарплату от проекта Favrr, который был использован для получения более $680K 25 июня 2025 года.
Я подозреваю, что у них также есть второй ITW на зарплате, потому что адрес злоумышленника связан с адресом депозита Gate 0xab7, на который ITW 2 отправил зарплату.
Favrr ITW 1
0x17087f92d16049e9097413b4964663b754c1e43d
Favrr ITW 2
0x641279133f6f560c3f512b8e2d286ae2c53c31ee


26 июн. 2025 г.
Команда Favrr и ее инвесторы приняли к сведению техническую проблему во время листинга $FAVRR на DEX в среду, 25 июня.
Пока расследования продолжаются, мы хотим изложить немедленные следующие шаги для сообщества Favrr:
1. Все участники IDO @CoinTerminalCom получат полный возврат средств.
2. Листинг $FAVRR сегодня на @MEXC_official отменен.
Мы предоставим обновления по срокам повторного запуска в ближайшие недели.
Тем временем:
• Пожалуйста, избегайте торговли $FAVRR и будьте осторожны с любыми токенами, которые его подделывают.
• Полагайтесь только на официальные объявления, размещенные в X.
Спасибо за вашу постоянную поддержку и понимание.
12/ Вскоре я планирую опубликовать свои статистические данные о общих платежах, отправляемых ИТ-работникам КНДР в компаниях/проектах, чтобы дать представление о том, насколько это плохо.
Ужасно, сколько команд нанимают ИТ-работников из КНДР, когда базовая должная осмотрительность, вероятно, могла бы этого предотвратить.
Отсутствие коммуникации от Мэтта Фури и ChainSaw с момента инцидента разочаровывает, их единственное предупреждение для сообщества было удалено без объяснения причин.
Украденные средства из инцидента с ChainSaw в основном остаются бездействующими.
Украденные средства для Favrr были переведены на Gate и несколько вложенных сервисов.
Мне не удалось связаться с командами из-за отключенных личных сообщений и отсутствия простого способа связаться с ними в Telegram или Discord.

905,2K
Топ
Рейтинг
Избранное