コインテレグラフによると、タピオカ財団は、いわゆる「ソーシャルエンジニアリング攻撃」で分散型金融プロトコルから470万ドルを盗んだ攻撃者に100万ドルの懸賞金を提示した。財団は10月20日に攻撃者の仮想通貨ウォレットにオンチェーンメッセージでこの提案を行い、攻撃者が残りの370万ドルを返還すれば合法的に懸賞金を保持できることを示唆した。テザー（USDT）で提示された懸賞金は、このようなケースで通常提示される10％よりも大幅に高い。

10月18日に発生したこの攻撃では、591イーサ（ETH）と280万ドル相当のUSDコイン（USDC）が盗まれました。攻撃者は、タピオカDAOトークン（TAP）とUDSOステーブルコインの権利確定契約の所有権を侵害し、権利確定TAPを請求して売却し、無制限の量のUSDOを発行して、USDOとUSDCの流動性プールを枯渇させました。

タピオカの共同創設者マット・マリノ氏は10月19日、この攻撃は共同創設者の一人である「レクトラー」がフィッシング攻撃を受けた結果であると明かした。レクトラーは面接中に悪意のあるソフトウェアをダウンロードし、取引を悪意のあるものに置き換え、攻撃者が契約にアクセスできるようにした。マリノ氏はその後、財団が「ハッカーをハッキング」し、流動性プールのUSDOステーブルコインを裏付ける担保だった1,000 ETH（270万ドル相当）を回収したと主張した。

攻撃者は、権利確定契約から約3000万のTAPトークンを引き出し、それを約150万ドル相当のETHと交換し、それをUSDTに変換して、資金をBNBチェーンに送り、そこに残っている。CoinGeckoによると、この攻撃によりTAPトークンはほぼすべての価値を失い、攻撃前の約1.40ドルから現在は2セントで取引されている。