タピオカ財団、470万ドルの悪用を受けて攻撃者に100万ドルの報奨金を提示

by

暗号通貨分野で豊富な経験を持つアナリストとして、タピオカ DAO の状況は魅力的であると同時に憂慮すべきものであると言わざるを得ません。 DeFi プロトコルの急速な進化とソーシャル エンジニアリング攻撃に対する脆弱性は、この業界の西部開拓時代の性質をはっきりと思い出させます。

DeFiプロトコルのタピオカDAOに対する470万ドルのハッキング事件を受けて、開発者らは加害者が残金を返還することを選択した場合に100万ドルの報奨金を提示している。

10月20日、タピオカ財団はブロックチェーン通信を介して容疑者のウォレットにオファーを延長した。このオファーは、残りの資金をシステムに戻すことを決定した場合に、いかなる法的影響も受けずに報酬を請求する正当な機会を彼らに提供しました。

タピオカ財団、470万ドルの悪用を受けて攻撃者に100万ドルの報奨金を提示

この組織は、ハッカーが残りの 370 万ドルをシステムに復元することを条件に、100 万 USDT ドルの報酬を提供しています。この特典は 10 月 22 日午後 4 時 (UTC) まで有効です。

私がこれを書いている時点では、ハッカーはまだ報奨金の申し出を認めておらず、これに応じてプロトコルは一時的に活動を停止しました。ユーザーは、現時点ではタピオカ契約とのあらゆるやり取りを避けることをお勧めします。

どうしたの?

10月18日、匿名の共同作成者「Rektora」が明らかにソーシャルエンジニアリング詐欺に騙された後、DeFiプロトコルが標的となった。この種の攻撃は、被害者を操作して、機密の詳細を開示させたり、有害なソフトウェアをダウンロードさせたり、詐欺メール (フィッシング) をクリックさせたりします。

タピオカの分散型自律組織 (DAO) が、ソーシャル エンジニアリングを伴う高度な攻撃の犠牲になりました。この策略により、ハッカーは TAP トークン権利確定契約の所有権を掌握することができました。その結果、ハッカーは約 3,000 万枚の確定済み TAP トークンを要求して販売することができ、それによって DAO が TAP/ETH で保持している LP (流動性プール) に影響を与えました。攻撃者はさらに悪用しました…

—タピオカ財団 (@tapioca_dao) 2024 年 10 月 18 日

Tapioca 創設者の 1 人である Matt Marino 氏が述べたように、Rektora が無意識のうちに有害なソフトウェアをダウンロードしたため、攻撃者がプロトコル内の TAP トークンの管理コントラクトの所有権を制御できる状況が生じたようです。

この結果、ロックインされた 3,000 万個の TAP トークンの回収に成功しました。当初は 1 個あたり約 1.40 ドルの価値がありましたが、エクスプロイトにより現在はわずか 0.01 ドルの価値があります。さらに、加害者は USDO ステーブルコイン協定の支配権を掌握することにも成功しました。

全体として、犯人は約 440 万ドルを盗むことに成功し、そのうち 280 万ドルが USDC、さらに 157 万ドルが ETH でした。この金額は USDO/USDC 流動性プールから引き出されました。盗まれた資金はすぐにETHに交換され、続いてUSDTに交換され、最終的にArbitrumからBNBチェーンに移動され、現在もそこに保管されています。

10月19日に投稿されたプロジェクトのDiscordチャンネルの最新アップデートによると、マリオンは攻撃者へのハッキングに成功し、約1,000イーサを回収することができたと言われている。

以前、分散型金融融資プラットフォームである Euler Finance は、フラッシュ ローン事件で盗まれた 58,000 ETH 以上を回収することに成功しました。盗まれた資産を取り戻すために、プロトコルはブロックチェーン上で資金の返還を求めるメッセージをブロードキャストし、資金が返還されない場合には、犯人の特定につながる情報に対して100万ドルの報奨金を与えると警告した。

すべての特典オファーが盗まれた資産の返還につながるわけではありませんが、仮想通貨取引所 WazirX のケースを例に考えてみましょう。彼らは約2億3,400万ドル相当の各種暗号通貨を失ったことを受けて、1,150万ドル相当の報奨プログラムを開始した。

彼らの帰還に対して報奨金が与えられたにもかかわらず、盗まれた資金はまだ回収されていない。その代わりに、加害者は Tornado Cash などのサービスを利用して、不正に得た利益の相当部分を洗浄することに成功しました。

2024-10-21 13:42