Sau khi giao thức DeFi Tapioca DAO bị tấn công với số tiền 4,7 triệu đô la, các nhà phát triển đã đưa ra mức tiền thưởng 1 triệu đô la cho kẻ tấn công nếu họ trả lại số tiền còn lại.
Vào ngày 20 tháng 10, Tapioca Foundation đã gửi một tin nhắn trực tuyến đến ví được liên kết với kẻ tấn công, cung cấp cho họ cơ hội hợp pháp "thoát khỏi" với khoản tiền thưởng mà không phải chịu bất kỳ hậu quả pháp lý nào nếu họ chọn trả lại số tiền còn lại cho giao thức.
Tin nhắn trên chuỗi được gửi đến kẻ tấn công. Nguồn: Arbiscan
Quỹ này đã đưa ra lời đề nghị 1 triệu đô la Mỹ nếu kẻ tấn công trả lại 3,7 triệu đô la còn lại cho giao thức và đã cho thời hạn đến ngày 22 tháng 10, 4 giờ chiều UTC để chấp nhận lời đề nghị.
Tại thời điểm viết bài, tin tặc vẫn chưa phản hồi về khoản tiền thưởng, trong khi giao thức đã tạm dừng hoạt động và kêu gọi người dùng không tương tác với bất kỳ hợp đồng Tapioca nào.
Bạn cũng có thể thích: Hậu quả cho thấy việc tiêm phần mềm độc hại lén lút dẫn đến việc khai thác Radiant Capital trị giá 50 triệu đô la
Chuyện gì đã xảy ra thế?
Giao thức DeFi đã bị nhắm mục tiêu vào ngày 18 tháng 10 sau khi người đồng sáng lập ẩn danh "Rektora" trở thành nạn nhân của một cuộc tấn công kỹ thuật xã hội bị cáo buộc. Các cuộc tấn công như vậy dựa vào việc lừa nạn nhân tiết lộ thông tin nhạy cảm hoặc đánh lừa họ tải xuống phần mềm độc hại hoặc nhấp vào liên kết lừa đảo.
Tapioca DAO đã phải chịu một cuộc tấn công kỹ thuật xã hội. Điều này cho phép kẻ tấn công xâm phạm quyền sở hữu hợp đồng trao quyền sở hữu token TAP, cho phép kẻ tấn công yêu cầu và bán 30 triệu TAP đã trao quyền sở hữu này, ảnh hưởng đến LP sở hữu TAP/ETH DAO. Kẻ tấn công sau đó cũng bao gồm…
— Tapioca Foundation (@tapioca_dao) ngày 18 tháng 10 năm 2024
Theo nhà đồng sáng lập Tapioca, Matt Marino, Rektora đã bị lừa tải xuống một số phần mềm độc hại cho phép kẻ tấn công xâm phạm quyền sở hữu hợp đồng chuyển nhượng cho mã thông báo TAP gốc của giao thức.
Điều này cho phép họ rút 30 triệu token TAP đã được trao quyền—trị giá khoảng 1,40 đô la vào thời điểm đó nhưng hiện được định giá là 0,01 đô la sau khi khai thác. Ngoài ra, những kẻ tấn công cũng giành được quyền kiểm soát hợp đồng stablecoin USDO.
Tổng cộng, kẻ tấn công đã lấy đi khoảng 4,4 triệu đô la, bao gồm 2,8 triệu đô la USDC và 1,57 triệu đô la ETH, được rút khỏi nhóm thanh khoản USDO/USDC. Số tiền bị đánh cắp đã nhanh chóng được hoán đổi thành ETH, sau đó là USDT và cuối cùng được chuyển từ Arbitrum sang BNB Chain, nơi chúng hiện đang ở.
Marion bị cáo buộc đã "hack" kẻ tấn công và khôi phục được 1.000 ETH, theo bản cập nhật ngày 19 tháng 10 trên Discord của dự án.
Năm ngoái, giao thức cho vay DeFi Euler Finance đã khôi phục thành công hơn 58.000 ETH bị đánh cắp trong một cuộc tấn công cho vay flash. Vào thời điểm đó, giao thức đã gửi một tin nhắn trên chuỗi yêu cầu trả lại tiền và đe dọa sẽ cung cấp phần thưởng 1 triệu đô la cho thông tin dẫn đến việc xác định danh tính của kẻ tấn công nếu số tiền không được trả lại.
Tuy nhiên, không phải tất cả các khoản tiền thưởng đều dẫn đến việc thu hồi được số tiền bị đánh cắp. Ví dụ, sàn giao dịch tiền điện tử WazirX đã tung ra chương trình tiền thưởng trị giá 11,5 triệu đô la sau khi mất hơn 234 triệu đô la tiền điện tử.
Bất chấp phần thưởng được đưa ra, số tiền bị đánh cắp vẫn chưa được thu hồi, vì kẻ tấn công đã rửa một lượng lớn tiền cướp được thông qua các nền tảng như Tornado Cash.
Đọc thêm: Sai lầm của công ty bảo mật Web3 khiến nạn nhân bị mất 50 triệu đô la tiền ví
