Tapioca DAO mencegah pencurian 1.000 ETH senilai $2,7 juta setelah eksploitasi yang menguras sebagian besar dananya

Tapioca DAO mengalami eksploitasi besar yang menyebabkan penurunan harga token TAP lebih dari 95%. Sekitar $4,5 juta dalam bentuk mata uang kripto dicuri, meskipun tim mengatakan sedang dalam proses memulihkan dana dengan bantuan dari perusahaan keamanan web3 Fuzzland dan lainnya.

"Semua pengguna Platform Tapioca DAO saat ini disarankan untuk mencabut persetujuan terhadap Kontrak kami sampai Kompromi terbaru telah diselesaikan," kata Yayasan Tapioca di X. "Silakan hubungi dukungan situs web jika ada masalah dalam mencabut persetujuan."

Menurut yayasan, penyerang dapat mengkompromikan kontrak vesting token yang memberinya akses untuk menjual 30 juta token TAP yang di-vesting — pada saat itu bernilai sekitar $1,40, sekarang bernilai kurang dari $0,04 — serta kontrak stablecoin USDO.

Secara total, penyerang membawa kabur sekitar $4.405.600, termasuk $2,8 juta USDC dan $1.575.606 dalam ETH yang dikuras dari pasangan likuiditas USDO/USDC. Dana yang dicuri ditukar menjadi ETH, kemudian USDT, dan kemudian dijembatani dari Arbitrum ke BNB Chain di mana, pada saat pers, mereka tetap ada.

Tapioca adalah protokol pasar uang terdesentralisasi berbasis LayerZero untuk meminjam mata uang kripto di berbagai blockchain. Ini menggunakan stablecoin yang disebut USDO dan Token Fungible Omnichain Tapioca (TOFTs) untuk memungkinkan pengguna memindahkan aset yang dibungkus antar jaringan.

Menurut Fuzzland, tampaknya penyerang memperoleh kunci pribadi melalui rekayasa sosial. Di Discord, salah satu pendiri Tapioca, Matt Marino, mengatakan anggota Discord 0xRektora dihubungi tentang seorang teman yang dipekerjakan, yang menipunya untuk menurunkan kewaspadaannya cukup untuk menghubungkan dompet perangkat keras yang digunakan penyerang untuk mendapatkan kepemilikan TAP.

"Korea Utara selalu menjadi pengumpul sampah di sini," kata Fuzzland, menggemakan ZachXBT bahwa hubungan dengan Kerajaan Pertapa belum terbukti dan situasinya "rumit."

Serangan tersebut "merupakan hasil dari penipuan pekerjaan palsu" di mana aktor Korea Utara menyamar sebagai subjek wawancara atau vendor untuk mendapatkan akses atau informasi dalam yang diperlukan untuk mencuri dana, kata ZachXBT. Ada banyak anekdot dan penyelidikan CoinDesk baru-baru ini yang menunjukkan jenis penipuan "wawancara menular" ini adalah masalah yang meluas dan berkembang di seluruh kripto.

Memulihkan dana?

"Kami telah berkoordinasi dan aktif dalam ruang perang dengan individu dan entitas yang diperlukan untuk melanjutkan ke depan, dan akan berkomunikasi tentang langkah-langkah lebih lanjut ketika situasi terkendali," tulis yayasan.

Tony, seorang insinyur keamanan di Fuzzland dan anggota tim tanggap darurat sukarela SEAL911, adalah salah satu anggota di ruang perang, yang bekerja untuk membantu mereka memulihkan sebagian dana yang tidak diperhatikan oleh peretas, katanya kepada The Block.

Menurut Marino di Discord, organisasi memindahkan 1.000 ETH senilai sekitar $2,7 juta dari brankas ke lokasi yang aman — multisig DAO. "1000 ETH adalah jaminan DAO dalam Big Bang Origins untuk mencetak USDO untuk USDO/USDC LP," tambahnya.

"Tim mencoba menyelamatkan aset-aset ini dengan terlebih dahulu menyetujui Multicall, yang mana siapa pun dapat mengambil aset-aset ini. Untungnya, tidak ada yang mengetahuinya dan mereka berhasil menyelamatkan aset-aset ini," kata salah satu pendiri Fuzzland, Chaofan Shou, kepada The Block.

Namun, tim tanggap belum dapat memulihkan aset yang dicuri. Perbendaharaan DAO saat ini berjumlah $4,2 juta, kata Marino.