طبق گزارش تحلیلگر زنجیره‌ای معروف ZachXBT، پروژه‌هایی که به مت فیوری (خالق میم Pepe) و استودیوی NFT به نام ChainSaw مرتبط‌اند، در هفته گذشته حدود ۱ میلیون دلار بر اثر حمله از طریق تغییر مالکیت قراردادهای هوشمند از دست دادند.

در تاریخ ۲۷ ژوئن، ZachXBT اعلام کرد که سوابق تراکنش‌ها نشان می‌دهد مهاجم در ساعت ۴:۲۵ بامداد UTC در ۱۸ ژوئن، با انتقال مالکیت قرارداد "Replicandy" به آدرس شخصی 0x9Fca کنترل کامل آن را به دست آورده است.

حدود دو ساعت بعد، این مالک جدید درآمد حاصل از فروش NFTها (mint) را برداشت کرد و در ساعت ۵:۱۱ بامداد روز بعد، فرآیند mint را مجدداً باز کرد، NFTهای جدید منتشر کرد و آنها را در برابر سفارش‌های خرید باز بفروش رساند. این اقدام باعث شد قیمت کف مجموعه به صفر برسد.

در تاریخ ۲۳ ژوئن، همین آدرس مالکیت سه قرارداد دیگر از پروژه ChainSaw شامل Peplicator، Hedz و Zogz را نیز به دست گرفت و دوباره همان چرخه انتشار و فروش سریع (dump) را تکرار کرد.

ZachXBT تخمین زد که این حملات در مجموع بیش از ۳۱۰ هزار دلار خسارت مالی به همراه داشته‌اند. او رد پول‌ها را به سه آدرس کلکسیونری 0xf6a9، 0x7e58 و 0x58f4 ردیابی کرده است. همچنین پرداختی به مقدار 2.05 ETH از آدرس 0x9Fca به یک صرافی ثبت شده، که در آن به ۵٬۰۰۷.۹۱ دلار USDT تبدیل شده و سپس به صرافی MEXC منتقل شده است.

او همچنین دریافت که چندین پرداخت ماهانه کوچک از پروژه‌های نامرتبط به همان کیف پول در صرافی ارسال شده‌اند.

دو حساب GitHub به نام‌های "devmad119" و "sujitb2114" نیز آدرس‌هایی دارند که در مسیر پول‌های سرقتی دیده می‌شوند. به گفته ZachXBT، این دو حساب نشانه‌هایی دارند که آن‌ها را به نیروهای IT کره شمالی مرتبط می‌سازد؛ مثل تنظیمات زبان سیستم کره‌ای، استفاده از VPN به نام Astral، و تطابق زمانی با مناطق آسیا-روسیه، در حالی که در رزومه‌هایشان ادعای اقامت در آمریکا دارند.

حمله مشابه در پروژه Favrr

مورد دوم در ۲۵ ژوئن رخ داد؛ زمانی که پروژه توکن خدمات فریلنسری Favrr، پس از فهرست شدن در یک DEX، بیش از ۶۸۰ هزار دلار ضرر دید. بررسی‌های آن‌چین نشان داد که آدرس تجمیعی 0x477 که با آدرس‌های حقوق و دستمزد Favrr به نام‌های 0x1708 و 0x6412 در ارتباط بود، نقشی کلیدی در این سرقت داشت.

همچنین بخشی از توکن‌های سرقت‌شده به آدرس واریزی در صرافی Gate.io به نام 0xab7 ارسال شده که قبلاً توسط توسعه‌دهنده مشکوک حساب sujitb2114 تأمین مالی شده بود.

Favrr اعلام کرد که تمام سرمایه‌گذاران اولیه عرضه غیرمتمرکز (IDO) را بازپرداخت خواهد کرد، لیست شدنش در صرافی MEXC را لغو کرده و یک ممیزی کامل از کدهای خود انجام خواهد داد. همچنین قول داد جدول زمانی جدیدی برای راه‌اندازی در هفته‌های آتی منتشر کند و به کاربران هشدار داد که در این فاصله از خرید توکن‌های تقلبی پرهیز کنند.

ZachXBT گزارش داد که مدیر فناوری Favrr، فردی به نام Alex Hong، پس از این حمله پروفایل لینکدین خود را حذف کرده و تلاش‌ها برای تأیید سابقه کاری او با کارفرمایان قبلی به جایی نرسیده است.

او قصد دارد به‌زودی گزارشی کلی از پرداخت‌های مشکوک مرتبط با نیروی کار کره شمالی منتشر کند و تأکید دارد که بررسی‌های ساده منابع انسانی می‌توانست این استخدام‌ها را شناسایی کند.

در حالی که وجوه سرقت‌شده از پروژه‌های ChainSaw هنوز دست‌نخورده باقی مانده‌اند، بیشتر سرمایه‌های Favrr از طریق Gate.io و سایر مسیرهای تودرتو انتقال یافته‌اند.

ZachXBT اشاره کرد که نتوانسته با تیم‌های این پروژه‌ها ارتباط بگیرد، چرا که کانال‌های پیام‌رسان آن‌ها بسته هستند و در تلگرام یا دیسکورد نیز راهی برای تماس مستقیم وجود ندارد.

این اتفاقات، بار دیگر توجه‌ها را به ریسک‌های استخدام ناشناس و از راه دور در پروژه‌های کریپتو جلب کرده‌اند؛ جایی که توسعه‌دهندگان اغلب از طریق پلتفرم‌های فریلنسری به کار گرفته می‌شوند. جامعه کاربران اکنون منتظر بیانیه‌های رسمی از مت فیوری، ChainSaw و Favrr هستند.