O investigador de blockchain ZachXBT ligou uma grande exploração que afeta vários projetos de NFT conectados ao criador do Pepe, Matt Furie, a um grupo de trabalhadores de TI suspeitos da Coreia do Norte.
De acordo com sua análise, os ataques resultaram na perda de mais de $1 milhão em várias plataformas, incluindo projetos relacionados ao ChainSaw, Replicandy e Peplicator, com cerca de $310.000 roubados apenas desses.
Rede Norte-Coreana Suspeita em Roubo de Cripto de $680K, Exploração de NFT e Infiltração de Desenvolvedores.
Em um post compartilhado no X, ZachXBT explicou que os atacantes ganharam controle da propriedade do contrato inteligente, usaram a função de mintagem para gerar novos NFTs e os venderam em lances. Essa ação fez com que os preços mínimos das coleções afetadas despencassem para zero.
A exploração começou em 18 de junho de 2025, quando a propriedade da Replicandy foi transferida para um endereço de propriedade externa (EOA), identificado como 0x9Fca. Mais tarde, naquele mesmo dia, fundos foram retirados do contrato.
1/ Múltiplos projetos ligados ao criador do Pepe, Matt Furie & ChainSaw, assim como outro projeto Favrr, foram explorados na semana passada, resultando em cerca de $1M roubados.
Minha análise liga ambos os ataques ao mesmo grupo de trabalhadores de TI da RPDC que provavelmente foram contratados acidentalmente como desenvolvedores. pic.twitter.com/85JRm5kLQO
— ZachXBT (@zachxbt) 27 de junho de 2025
O atacante retomou o processo de mintagem na manhã seguinte, mintando e despejando NFTs no mercado. Alguns dias depois, em 23 de junho, o mesmo endereço assumiu o controle dos contratos Peplicator, Hedz e Zogz, projetos também ligados a Matt Furie e ChainSaw.
Os fundos roubados dos projetos relacionados ao ChainSaw foram rastreados através de três carteiras. Parte do ETH foi posteriormente convertida e transferida para a MEXC, uma exchange centralizada.
ZachXBT observou que um endereço de depósito na MEXC recebeu transferências repetidas de stablecoins ao longo de vários meses, variando entre $2.000 e $10.000, sugerindo um uso mais amplo da mesma rede de trabalhadores de TI em vários projetos de criptomoedas.
Uma investigação adicional revelou contas do GitHub ligadas aos atacantes suspeitos. De acordo com ZachXBT, um desenvolvedor que alegou estar baseado nos EUA tinha configurações de idioma coreano, usou o Astral VPN e operava em fusos horários da Ásia/Rússia, bandeiras vermelhas apontando para ligações norte-coreanas. Logs internos e conexões de folha de pagamento acrescentaram mais peso às alegações.
Outro projeto afetado, Favrr, perdeu mais de $680.000 em 25 de junho. Um de seus desenvolvedores, identificado como Alex Hong, é suspeito de ser um trabalhador de TI da Coreia do Norte. Seu perfil no LinkedIn foi recentemente deletado, e os esforços para verificar sua experiência de trabalho anterior falharam.
ZachXBT disse: “O CTO do Favrr parece suspeito e provavelmente é um dos dois trabalhadores de TI da RPDC contratados.”
“A situação é deprimente”, acrescentou ZachXBT, “porque muitas equipes contratam trabalhadores de TI da RPDC quando uma devida diligência básica poderia ter evitado isso.”
Ele também criticou a falta de transparência de Matt Furie e ChainSaw desde o incidente. Segundo ele, seu único aviso público à comunidade foi deletado sem explicação. A maior parte dos fundos roubados da exploração ChainSaw permanece sem movimento.
Enquanto isso, os fundos do Favrr foram canalizados através da Gate.io e outros canais.
ZachXBT disse que planeja divulgar estatísticas mais amplas em breve, destacando como os pagamentos a trabalhadores suspeitos da Coreia do Norte se tornaram disseminados no espaço cripto.
Esquema de Trabalhadores de TI da Coreia do Norte Ligado a Explorações de Cripto em Andamento enquanto os EUA Apreendem $7,7M em Fundos Lavados.
Em 6 de junho, o Departamento de Justiça dos EUA entrou com uma ação civil de confisco para apreender $7,7 milhões em cripto supostamente ganhos por operativos de TI da Coreia do Norte que se passavam por freelancers remotos.
Os EUA estão se movendo para apreender $7,7M em cripto ligados a trabalhadores de TI da Coreia do Norte que supostamente lavaram fundos através de trabalhos freelance falsos. #DOJ #CryptoEnforcement https://t.co/7iKHNodaBL
— Cryptonews.com (@cryptonews) 6 de junho de 2025
Esses trabalhadores asseguraram posições em empresas de blockchain e canalizaram ganhos, muitas vezes pagos em stablecoins como USDC e USDT, de volta ao regime da Coreia do Norte, contornando as sanções dos EUA.
As autoridades disseram que a operação apoia o programa de armas da Coreia do Norte e foi orquestrada através de identidades falsas, táticas sofisticadas de lavagem de dinheiro e empresas de fachada.
Uma figura nomeada é Sim Hyon Sop, anteriormente indiciado em 2023, com ligações ao Banco de Comércio Exterior da Coreia do Norte.
Essas ameaças internas estão cada vez mais ligadas a hacks externos. O notório Grupo Lazarus, responsável pelo roubo de $1,4 bilhão da Bybit em fevereiro, continua a evoluir seus métodos.
Somente em 2024, atores ligados à Coreia do Norte roubaram $1,3 bilhão em 47 incidentes, de acordo com a Chainalysis.
Hackers norte-coreanos implantam o trojan "PylangGhost" se passando por recrutadores da Coinbase para roubar credenciais de cripto através de entrevistas de emprego falsas, parte de uma campanha cibernética de $1,3 bilhão direcionada a profissionais da indústria. #CoreiaDoNorte #Coinbase https://t.co/CGeDVs7s3J
— Cryptonews.com (@cryptonews) 20 de junho de 2025
Uma nova frente nesta guerra cibernética são os ataques de malware direcionados. Em 20 de junho, pesquisadores da Cisco Talos expuseram o PylangGhost, um malware baseado em Python implantado pelo grupo Famous Chollima, afiliado ao Lazarus.
Ele se disfarça através de entrevistas de emprego falsas e instala malware que rouba credenciais nos sistemas das vítimas, visando principalmente profissionais de cripto na Índia.
À medida que a Coreia do Norte muda de hacking à força bruta para engenharia social e acesso interno, os riscos para startups de cripto, especialmente comunidades de moeda meme e NFT, continuam a crescer.
O post 'Projetos do Criador do Pepe Atingidos por Exploração de $1M Ligada a Trabalhadores de TI da Coreia do Norte: ZachXBT' apareceu primeiro no Cryptonews.
