Nachdem ein Exploit im Wert von 4,7 Millionen US-Dollar das DeFi-Protokoll Tapioca DAO getroffen hatte, haben die Entwickler ein Kopfgeld von 1 Million US-Dollar auf den Angreifer ausgesetzt, falls dieser die verbleibenden Mittel zurückgibt.
Am 20. Oktober schickte die Tapioca Foundation eine On-Chain-Nachricht an die mit dem Angreifer verbundene Wallet und bot ihm die Möglichkeit, legal und ohne rechtliche Konsequenzen mit der Kopfprämie „davonzukommen“, wenn er sich dafür entschied, die verbleibenden Mittel an das Protokoll zurückzugeben.
On-Chain-Nachricht an den Angreifer gesendet. Quelle: Arbiscan
Die Stiftung hat 1 Million USDT angeboten, wenn der Angreifer die restlichen 3,7 Millionen USD an das Protokoll zurückgibt, und hat bis zum 22. Oktober, 16:00 Uhr UTC Zeit, das Angebot anzunehmen.
Zum Zeitpunkt des Schreibens dieses Artikels hatte der Hacker noch nicht auf die Kopfprämie reagiert, während das Protokoll den Betrieb eingestellt und die Benutzer aufgefordert hat, nicht mit Tapioca-Verträgen zu interagieren.
Das könnte Sie auch interessieren: Obduktion zeigt, dass heimliche Malware-Injektion zu 50 Millionen US-Dollar schwerem Radiant Capital-Exploit führte
Was ist passiert?
Das DeFi-Protokoll wurde am 18. Oktober zum Ziel, nachdem sein pseudonymer Mitbegründer „Rektora“ Opfer eines mutmaßlichen Social-Engineering-Angriffs wurde. Solche Angriffe basieren darauf, Opfer dazu zu bringen, vertrauliche Informationen preiszugeben oder sie dazu zu verleiten, Schadsoftware herunterzuladen oder auf Phishing-Links zu klicken.
Tapioca DAO wurde Opfer eines Social-Engineering-Angriffs. Dadurch konnte der Angreifer die Eigentumsverhältnisse des TAP-Token-Vesting-Vertrags kompromittieren, was es dem Angreifer ermöglichte, diese 30 Mio. TAP zu beanspruchen und zu verkaufen, was sich auf die von TAP/ETH DAO gehaltene LP auswirkte. Der Angreifer griff dann auch auf die…
— Tapioca Foundation (@tapioca_dao) 18. Oktober 2024
Laut Tapioca-Mitbegründer Matt Marino wurde Rektora dazu verleitet, Schadsoftware herunterzuladen, die es den Angreifern ermöglichte, sich Zugriff auf den Vesting-Vertrag für das native TAP-Token des Protokolls zu verschaffen.
Dadurch konnten sie 30 Millionen unverfallbare TAP-Token abheben – die damals etwa 1,40 Dollar wert waren, nach dem Exploit nun aber nur noch 0,01 Dollar wert sind. Darüber hinaus erlangten die Angreifer auch die Kontrolle über den USDO-Stablecoin-Vertrag.
Insgesamt erbeutete der Angreifer rund 4,4 Millionen US-Dollar, darunter 2,8 Millionen US-Dollar in USDC und 1,57 Millionen US-Dollar in ETH, die aus dem USDO/USDC-Liquiditätspool abgezogen wurden. Die gestohlenen Gelder wurden schnell in ETH, dann in USDT umgetauscht und schließlich von Arbitrum zur BNB-Kette weitergeleitet, wo sie derzeit verbleiben.
Laut einem Update vom 19. Oktober auf dem Discord des Projekts hat Marion den Angreifer angeblich „gehackt“ und es geschafft, 1.000 ETH wiederherzustellen.
Letztes Jahr konnte das DeFi-Kreditprotokoll Euler Finance erfolgreich über 58.000 ETH zurückgewinnen, die bei einem Flash-Loan-Angriff gestohlen wurden. Damals schickte das Protokoll eine On-Chain-Nachricht, in der die Rückgabe der Gelder gefordert wurde, und drohte, eine Belohnung von 1 Million Dollar für Informationen anzubieten, die zur Identifizierung des Angreifers führen, falls die Gelder nicht zurückgegeben würden.
Allerdings führen nicht alle Kopfgeldangebote zur Wiedererlangung der gestohlenen Gelder. So startete beispielsweise die Kryptobörse WazirX ein Kopfgeldprogramm über 11,5 Millionen Dollar, nachdem sie mehrere Kryptowährungen im Wert von über 234 Millionen Dollar verloren hatte.
Trotz der angebotenen Belohnung konnten die gestohlenen Gelder nicht wiedergefunden werden, da die Angreifer erhebliche Teile der Beute über Plattformen wie Tornado Cash gewaschen haben.
Weiterlesen: Fehler der Web3-Sicherheitsfirma macht Opfer eines 50-Millionen-Dollar-Exploits zum Geldbeutelplünderer
