Selon Cointelegraph, la Fondation Tapioca a proposé une prime d'un million de dollars à un attaquant qui a volé 4,7 millions de dollars à son protocole de finance décentralisée dans ce qu'elle a décrit comme une « attaque d'ingénierie sociale ». La fondation a fait cette offre dans un message onchain au portefeuille crypto de l'attaquant le 20 octobre, suggérant que l'attaquant pourrait légalement conserver la prime s'il rendait les 3,7 millions de dollars restants. La prime, offerte en Tether (USDT), est nettement supérieure aux 10 % généralement offerts dans de tels cas.

L'attaque, qui a eu lieu le 18 octobre, a impliqué le vol de 591 Ether (ETH) et de 2,8 millions de dollars d'USD Coin (USDC). L'attaquant a compromis la propriété du contrat d'acquisition du Tapioca DAO Token (TAP) et du stablecoin UDSO, leur permettant de réclamer et de vendre le TAP acquis et de frapper une quantité infinie d'USDO, drainant ainsi un pool de liquidités pour l'USDO et l'USDC.

Le cofondateur de Tapioca, Matt Marino, a révélé le 19 octobre que l'attaque était le résultat d'une tentative de phishing contre son cofondateur, « Rektora ». Rektora avait téléchargé un logiciel malveillant lors d'un processus d'entretien, qui a remplacé une transaction par une transaction malveillante, permettant aux attaquants d'accéder aux contrats. Marino a ensuite affirmé que la fondation avait « piraté le pirate informatique » et récupéré 1 000 ETH, d'une valeur de plus de 2,7 millions de dollars, qui constituaient une garantie soutenant le stablecoin USDO pour un pool de liquidités.

L'attaquant a retiré près de 30 millions de jetons TAP du contrat de rachat, les a échangés contre environ 1,5 million de dollars d'ETH, les a convertis en USDT et a envoyé les fonds à la chaîne BNB, où ils restent. L'attaque a fait perdre au jeton TAP presque toute sa valeur, se négociant actuellement à 2 cents, contre environ 1,40 $ avant l'attaque, selon CoinGecko.