Pepe miim yaratıcısı Matt Furie ve NFT stüdyosu ChainSaw’ın projeleri, geçtiğimiz hafta sözleşme ele geçirme hileleri sonucunda yaklaşık 1 milyon dolar kaybetti. Bu bilgi, zincir üzerindeki araştırmacı ZachXBT tarafından verildi.
27 Haziran’da, ZachXBT, saldırganın 18 Haziran’da saat 4.25 UTC’de “Replicandy” sözleşmesinin kontrolünü 0x9Fca kodlu harici bir adrese sahip olmak suretiyle ele geçirerek işlem kayıtlarını bildirdi.
İki saat sonra, yeni sahip mint gelirlerini çekti ve ertesi gün saat 5.11’de mint’i tekrar açıp, yeni NFT’ler çıkardı ve bunları açık tekliflere koyarak taban fiyatını sıfıra düşürdü.
23 Haziran’da, aynı adres, üç ek ChainSaw sözleşmesini daha ele geçirdi: Peplicator, Hedz ve Zogz. Ardından kötü niyetli aktör, mint-dump döngüsünü tekrarladı.
ZachXBT, toplam hırsızlığı 310.000 dolardan fazla olarak tahmin etti ve fonları 0xf6a9, 0x7e58 ve 0x58f4 kodlu üç koleksiyoner adresine bağladı. 0x9Fca’dan bir borsaya yapılan 2.05 ETH’lik ödemeyi takip etti. Bu ödeme, 5,007.91 USDT’ye dönüştürüldü ve daha sonra MEXC’ye taşındı.
Daha sonra, bağlantısız projelerden aynı borsa cüzdanına yapılan birçok küçük aylık mevduatı haritalandırdı.
“devmad119” ve “sujitb2114” adlarında iki GitHub hesabı, çalınan fon yolunu kesen cüzdanları listeler.
Her iki hesap da ZachXBT’nin Kuzey Koreli IT çalışanlarıyla ilişkilendirdiği göstergeleri paylaşıyor. Bu göstergeler arasında Kore dil sistemi ayarları, Astral VPN oturumları ve Asya-Rusya saat dilimleri bulunuyor. Bu durum, ABD’de ikamet ettiklerini iddia eden özgeçmişlere rağmen söz konusu.
Favrr hilesi aynı maaş yoluyla takip edildi
İkinci bir olay, 25 Haziran’da ortaya çıktı. Özgür hizmet token projesi Favrr, bir DEX’te listelendikten sonra 680.000 dolardan fazla kaybetti. Zincir üzerindeki analiz, hileyi 0x477 kodlu birleştirme cüzdanına bağladı. Bu cüzdan, Favrr maaş adreslerinden 0x1708 ve 0x6412’den düzenli ödemeler aldı.
Gate.io mevduat adresi 0xab7, çalınan Favrr tokenlerinin bir kısmını aldı ve daha önce “sujitb2114” arkasındaki olası geliştirici tarafından finanse edildi.
Favrr, tüm başlangıç merkezi olmayan teklif katılımcılarına iade yapacağını, MEXC listesini iptal edeceğini ve kod tabanının kapsamlı bir denetimini başlatacağını duyurdu. Proje, “gelecek haftalarda” yeni bir lansman takvimi yayınlayacağını ve kullanıcıların bu süre zarfında sahte tokenlerle ticaret yapmaktan kaçınmaları gerektiğini tavsiye etti.
ZachXBT, Favrr’nin teknoloji müdürü olan Alex Hong’un hile sonrası LinkedIn profilini sildiğini bildirdi. Daha önceki işverenleriyle iş geçmişini doğrulama girişimleri başarısız oldu.
Araştırmacı, aynı Kuzey Kore kümesine bağlı cüzdanlara maaş akışlarına dair toplu verileri yayımlamayı planlıyor. Bu, işe alımların temel bir ön kontrolle tespit edilebileceğini savunuyor.
ChainSaw koleksiyonlarından çalınan paralar hâlâ duruyorken, Favrr gelirlerinin çoğu zaten Gate.io ve birkaç hizmet aracılığıyla geçti.
ZachXBT, ekiplerle ulaşamadığını çünkü onların doğrudan mesaj kanallarının kapalı olduğunu ve resmi Telegram veya Discord odalarının iletişim seçenekleri sunmadığını belirtti.
Bu olaylar, kripto projelerinin geliştirme işlerini serbest platformlar aracılığıyla dış kaynaklara yöneltmesi sonucu oluşan “gölge işe alım” risklerine yeniden dikkat çekiyor.
Araştırmacılar, zincir üzerindeki izleri takip etmeye devam ediyor ve etkilenen topluluklar Furie, ChainSaw ve Favrr’den resmi açıklamalar bekliyor.
Bir yanıt yazın