Tapioca DAO verhindert den Diebstahl von 1.000 ETH im Wert von 2,7 Millionen Dollar nach einem Exploit, der den Großteil seiner Mittel abzieht

Die Tapioca DAO erlitt einen massiven Exploit, der zu einem Rückgang des TAP-Token-Preises um über 95 % führte. Etwa 4,5 Millionen US-Dollar an Kryptowährungen wurden gestohlen, obwohl das Team angibt, dass es mit Unterstützung der Web3-Sicherheitsfirma Fuzzland und anderen dabei ist, die Gelder zurückzuholen.

"Allen aktuellen Nutzern der Tapioca DAO-Plattform wird geraten, die Genehmigungen für unsere Verträge zu widerrufen, bis der jüngste Kompromiss gelöst ist", sagte die Tapioca Foundation auf X. "Bitte wenden Sie sich bei Problemen mit dem Widerruf von Genehmigungen an den Website-Support."

Laut der Stiftung konnte der Angreifer den Vesting-Vertrag des Tokens kompromittieren, was ihm den Zugang zum Verkauf von 30 Millionen gevesteten TAP-Token ermöglichte – damals etwa 1,40 US-Dollar wert, jetzt weniger als 0,04 US-Dollar – sowie den USDO-Stablecoin-Vertrag.

Insgesamt erbeutete der Angreifer etwa 4.405.600 US-Dollar, darunter 2,8 Millionen USDC und 1.575.606 US-Dollar in ETH, die aus dem USDO/USDC-Liquiditätspaar abgezogen wurden. Die gestohlenen Gelder wurden gegen ETH getauscht, dann in USDT und schließlich von Arbitrum zur BNB Chain überbrückt, wo sie zum Zeitpunkt der Veröffentlichung verblieben.

Tapioca ist ein dezentralisiertes Geldmarktprotokoll basierend auf LayerZero für das Ausleihen von Kryptowährungen über mehrere Blockchains hinweg. Es verwendet einen Stablecoin namens USDO und Tapioca Omnichain Fungible Tokens (TOFTs), um Benutzern zu ermöglichen, verpackte Vermögenswerte zwischen Netzwerken zu bewegen.

Laut Fuzzland scheint es wahrscheinlich, dass der Angreifer die privaten Schlüssel durch Social Engineering erlangt hat. Auf Discord sagte Tapioca-Mitbegründer Matt Marino, dass das Discord-Mitglied 0xRektora über einen Freund kontaktiert wurde, der eingestellt wurde, was ihn dazu brachte, seine Wachsamkeit so weit zu senken, dass er die Hardware-Wallet anschloss, die der Angreifer benutzte, um die Kontrolle über TAP zu erlangen.

"Nordkorea ist hier immer der Müllsammler", sagte Fuzzland und wiederholte ZachXBT, dass die Verbindung zum Einsiedlerkönigreich noch nicht bewiesen sei und die Situation "kompliziert" sei.

Diese Angriffe "waren das Ergebnis von gefälschten Job-Betrügereien", bei denen nordkoreanische Akteure sich als Interviewpartner oder Anbieter ausgaben, um Zugang oder Informationen zu erhalten, die zum Diebstahl von Geldern benötigt wurden, sagte ZachXBT. Es gibt eine Reihe von Anekdoten und eine kürzliche CoinDesk Untersuchung, die darauf hindeutet, dass diese Art von "ansteckendem Interview"-Betrug ein weit verbreitetes und wachsendes Problem im Krypto-Bereich ist.

Rückgewinnung von Geldern?

"Wir haben koordiniert und sind aktiv in einem Kriegsraum mit den notwendigen Personen und Entitäten, um voranzukommen, und werden über weitere Schritte kommunizieren, wenn die Situation unter Kontrolle ist", schrieb die Stiftung.

Tony, ein Sicherheitsingenieur bei Fuzzland und Mitglied des freiwilligen Notfallteams SEAL911, war eines der Mitglieder im Kriegsraum, das daran arbeitete, ihnen zu helfen, einen Teil der Gelder zurückzuholen, die der Hacker nicht bemerkte, sagte er The Block.

Laut Marino auf Discord hat die Organisation 1.000 ETH im Wert von etwa 2,7 Millionen US-Dollar von einem Tresor an einen sicheren Ort – die DAO-Multisig – verschoben. "Die 1000 ETH waren DAO-Sicherheiten innerhalb von Big Bang Origins, um USDO für USDO/USDC LP zu prägen", fügte er hinzu.

"Das Team versuchte, diese Vermögenswerte zu retten, indem es zuerst die Multicall genehmigte, die jeder wegnehmen kann. Glücklicherweise fand niemand heraus, und sie schafften es, diese Vermögenswerte dennoch zu retten", sagte Fuzzland-Mitbegründer Chaofan Shou The Block.

Allerdings konnte das Reaktionsteam bisher keine der gestohlenen Vermögenswerte zurückgewinnen. Der Schatz der DAO beläuft sich derzeit auf 4,2 Millionen US-Dollar, sagte Marino.