La Tapioca Foundation ha offerto un compenso da 1 milione di dollari a un aggressore che ha rubato 4,7 milioni di dollari dal suo protocollo finanziario decentralizzato in quello che ha definito un “attacco di social engineering”.
“Vorremmo offrirti un'allettante taglia per cui te ne andresti con fondi che sono legalmente tuoi, senza alcun vincolo”, ha scritto Tapioca in un messaggio onchain del 20 ottobre al crypto wallet dell'aggressore.
Tapioca ha offerto 1 milione di dollari in Tether (USDT), una cifra “significativamente superiore al normale 10%” offerto nei bounty, in cambio della restituzione dei restanti 3,7 milioni di dollari da parte dell'aggressore.
In un post del 18 ottobre, Tapioca ha dichiarato di aver “subito un attacco di social engineering” in cui l'aggressore ha rubato 591 Ether (ETH) e 2,8 milioni di dollari in USD Coin (USDC).
Tapioca ha spiegato che l'attacco ha compromesso la proprietà del vesting contract del suo Tapioca DAO Token (TAP) e della stablecoin UDSO.
L'aggressore è stato in grado di rivendicare e vendere TAP e “ha aggiunto un minter per mintare all'infinito USDO e drenare” un pool di liquidità per USDO e USDC.
Fonte: Tapioca Foundation
Matt Marino, cofondatore di Tapioca, ha dichiarato in un messaggio del 19 ottobre su Discord che il cofondatore pseudonimo “Rektora” è stato vittima di phishing.
Ha aggiunto che Rektora “ha scaricato qualcosa durante un processo di intervista” e il software ha sostituito una transazione con una dannosa, che è il modo in cui gli aggressori hanno ottenuto l'accesso ai contratti.
In un successivo post su Discord del 19 ottobre, Marino ha affermato di aver “hackerato l'hacker” e di aver recuperato 1.000 ETH, che attualmente valgono più di 2,7 milioni di dollari e che costituivano un collaterale a sostegno della stablecoin USDO per un pool di liquidità.
Nell'attacco del 18 ottobre, l'aggressore ha prelevato quasi 30 milioni di token TAP dal vesting contract, li ha scambiati con circa 1,5 milioni di dollari in ETH, li ha convertiti in USDT e ha inviato i fondi alla BNB Chain, dove sono ancora presenti, come dimostrano le transazioni nel wallet dell'aggressore.
L'attacco ha comportato la perdita di tutto il valore del token TAP. Attualmente è scambiato a 2 centesimi, in calo rispetto ai circa 1,40 $ a cui era scambiato prima dell'attacco, secondo CoinGecko.