Poté, co zneužití 4,7 milionu dolarů zasáhlo protokol DeFi Tapioca DAO, vývojáři vypsali odměnu 1 milion dolarů pro útočníka, pokud vrátí zbývající prostředky.
20. října odeslala Tapioca Foundation do peněženky spojené s útočníkem zprávu na řetězu, která jim nabídla možnost legálně „odejít“ s odměnou bez jakýchkoli právních následků, pokud se rozhodnou vrátit zbývající prostředky protokolu.
Zpráva v řetězci odeslaná útočníkovi. Zdroj: Arbiscan
Nadace nabídla 1 milion USDT, pokud útočník protokolu vrátí zbývajících 3,7 milionu USD, a dala do 22. října 16:00 UTC nabídku přijmout.
V době psaní tohoto článku hacker nereagoval na odměnu, zatímco protokol pozastavil operace a vyzval uživatele, aby neinteragovali s žádnými smlouvami Tapioca.
Také by se vám mohlo líbit: Pitva odhaluje skryté injekce malwaru, které vedly k zneužití Radiant Capital v hodnotě 50 milionů dolarů
Co se stalo?
Protokol DeFi byl zaměřen 18. října poté, co se jeho pseudonymní spoluzakladatel „Rektora“ stal obětí údajného útoku sociálního inženýrství. Takové útoky spoléhají na to, že oběti přimějí k odhalení citlivých informací nebo je přimějí ke stažení škodlivého softwaru nebo kliknutí na phishingové odkazy.
Tapioca DAO utrpěla útok sociálního inženýrství. To útočníkovi umožnilo ohrozit vlastnictví smlouvy o vkládání tokenů TAP, což útočníkovi umožnilo nárokovat a prodat tento 30 milionů vázaný TAP, což mělo dopad na LP vlastněné TAP/ETH DAO. Útočník pak také zahrnoval…
— Tapioca Foundation (@tapioca_dao) 18. října 2024
Podle spoluzakladatele Tapioca Matta Marina byl Rektora oklamán, aby si stáhl nějaký škodlivý software, který útočníkům umožnil kompromitovat vlastnictví smlouvy o nativním TAP tokenu protokolu.
To jim umožnilo vybrat 30 milionů vložených tokenů TAP – v té době v hodnotě kolem 1,40 $, ale nyní po exploitu v hodnotě 0,01 $. Útočníci navíc získali kontrolu také nad kontraktem na stablecoiny USDO.
Útočník si celkově odčerpal přibližně 4,4 milionu USD, včetně 2,8 milionu USD v USDC a 1,57 milionu USD v ETH, vyčerpaných z fondu likvidity USDO/USDC. Ukradené prostředky byly rychle vyměněny za ETH, poté USDT a nakonec přemostěny z Arbitrum do řetězce BNB, kde v současnosti zůstávají.
Marion údajně „hackla“ útočníka a podařilo se jí obnovit 1 000 ETH za aktualizaci projektu Discord z 19. října.
Loni úvěrový protokol DeFi Euler Finance úspěšně získal zpět více než 58 000 ETH ukradených při útoku na bleskovou půjčku. Protokol v té době odeslal řetězovou zprávu požadující vrácení finančních prostředků a hrozilo, že pokud finanční prostředky nebudou vráceny, nabídne odměnu 1 milion dolarů za informace vedoucí k identifikaci útočníka.
Ne všechny nabídky odměn však vedou k získání ukradených finančních prostředků. Například kryptoburza WazirX spustila program odměn za 11,5 milionu dolarů poté, co ztratila několik kryptoměn v hodnotě více než 234 milionů dolarů.
Navzdory nabídce odměny zůstávají ukradené prostředky nezískány, přičemž útočníci perou značné množství kořisti prostřednictvím platforem, jako je Tornado Cash.
Čtěte více: Chyba bezpečnostní firmy Web3 vystavuje oběti zneužití v hodnotě 50 milionů dolarů vysoušeči peněženky
