Tapioca DAO предотвращает кражу 1,000 ETH на сумму $2,7 миллиона после взлома, который опустошил большую часть его средств

DAO Tapioca подверглась крупной атаке, что привело к снижению цены токена TAP более чем на 95%. Было украдено криптовалют на сумму около 4,5 миллиона долларов, хотя команда заявляет, что находится в процессе восстановления средств с помощью компании по безопасности web3 Fuzzland и других.

"Всем текущим пользователям платформы Tapioca DAO рекомендуется отозвать одобрения наших контрактов до разрешения недавнего компрометации," заявили в Tapioca Foundation на X. "Пожалуйста, обращайтесь в поддержку сайта при возникновении проблем с отзывом одобрений."

По данным фонда, злоумышленник смог скомпрометировать контракт вестинга токена, что дало ему возможность продать 30 миллионов вестированных токенов TAP — на тот момент стоимостью около $1,40, а теперь менее $0,04 — а также контракт стейблкоина USDO.

В общей сложности злоумышленник унес около $4,405,600, включая $2,8 миллиона USDC и $1,575,606 в ETH, выведенных из пары ликвидности USDO/USDC. Украденные средства были обменены на ETH, затем на USDT, и затем перенесены с Arbitrum на BNB Chain, где, по состоянию на момент публикации, они остаются.

Tapioca — это децентрализованный протокол денежного рынка на основе LayerZero для заимствования криптовалют на нескольких блокчейнах. Он использует стейблкоин под названием USDO и Tapioca Omnichain Fungible Tokens (TOFTs) для перемещения обернутых активов между сетями.

По данным Fuzzland, вероятно, злоумышленник получил приватные ключи через социальную инженерию. На Discord сооснователь Tapioca Мэтт Марино сказал, что участник Discord 0xRektora был обманут, когда его попросили о помощи в найме друга, что заставило его снизить бдительность и подключить аппаратный кошелек, который злоумышленник использовал для получения контроля над TAP.

“Северная Корея всегда здесь как мусорщик,” сказал Fuzzland, повторяя слова ZachXBT, что связь с Королевством Отшельников еще не доказана и что ситуация “сложная.”

Эти атаки “были результатом фальшивых предложений о работе,” где северокорейские акторы выдавали себя за кандидатов на собеседование или поставщиков, чтобы получить внутренний доступ или информацию, необходимую для кражи средств, сказал ZachXBT. Существует множество анекдотов и недавнее расследование CoinDesk, предполагающее, что этот тип “заразительного собеседования” является широко распространенной и растущей проблемой в криптоиндустрии.

Восстановление средств?

“Мы координируем действия и активно работаем в оперативном штабе с необходимыми лицами и организациями, чтобы двигаться вперед, и будем сообщать о дальнейших шагах, когда ситуация будет под контролем,” написали в фонде.

Тони, инженер по безопасности в Fuzzland и член добровольной команды экстренного реагирования SEAL911, был одним из участников оперативного штаба, который работал над тем, чтобы помочь им восстановить часть средств, которые хакер не заметил, он рассказал The Block.

По словам Марино на Discord, организация переместила 1,000 ETH стоимостью около $2,7 миллиона из хранилища в безопасное место — мультисиг DAO. "1000 ETH были залогом DAO в Big Bang Origins для выпуска USDO для USDO/USDC LP," добавил он.

"Команда попыталась спасти эти активы, сначала одобрив Multicall, который позволяет любому забрать эти активы. К счастью, никто не узнал, и им удалось все же спасти эти активы," сказал сооснователь Fuzzland Чаофан Шоу The Block.

Однако, команда реагирования пока не смогла вернуть ни одного из украденных активов. В настоящее время казна DAO составляет $4,2 миллиона, сказал Марино.