Tapioca DAO evita el robo de 1,000 ETH valorados en $2.7 millones tras un exploit que drena la mayoría de sus fondos

El DAO de Tapioca sufrió un gran exploit que llevó a una caída de más del 95% en el precio del token TAP. Se robaron criptomonedas por un valor de aproximadamente $4.5 millones, aunque el equipo dice que está en proceso de recuperar los fondos con la ayuda de la firma de seguridad web3 Fuzzland y otros.

"Se aconseja a todos los usuarios actuales de la plataforma Tapioca DAO que revoquen las aprobaciones a nuestros contratos hasta que se resuelva el compromiso reciente", dijo la Fundación Tapioca en X. "Por favor, comuníquese con el soporte del sitio web ante cualquier problema al revocar aprobaciones."

Según la fundación, el atacante pudo comprometer el contrato de adquisición del token, lo que le dio acceso para vender sus 30 millones de tokens TAP adquiridos —en ese momento valían alrededor de $1.40, ahora valen menos de $0.04— así como el contrato de la stablecoin USDO.

En total, el atacante se llevó alrededor de $4,405,600, incluyendo $2.8 millones en USDC y $1,575,606 en ETH drenados del par de liquidez USDO/USDC. Los fondos robados fueron intercambiados por ETH, luego USDT, y luego puenteados de Arbitrum a BNB Chain donde, al momento de la publicación, permanecen.

Tapioca es un protocolo de mercado monetario descentralizado basado en LayerZero para el préstamo de criptomonedas a través de múltiples blockchains. Utiliza una stablecoin llamada USDO y Tokens Fungibles Omnichain de Tapioca (TOFTs) para permitir a los usuarios mover activos envueltos entre redes.

Según Fuzzland, parece probable que el atacante obtuviera las claves privadas a través de ingeniería social. En Discord, el cofundador de Tapioca, Matt Marino, dijo que el miembro de Discord 0xRektora fue contactado sobre un amigo que estaba siendo contratado, lo que lo engañó para bajar la guardia lo suficiente como para conectar la billetera de hardware que el atacante usó para obtener la propiedad de TAP.

"Corea del Norte siempre es el recolector de basura aquí", dijo Fuzzland, haciendo eco de ZachXBT que la conexión con el Reino Ermitaño aún no ha sido probada y que la situación es "complicada".

Esos ataques "fueron el resultado de estafas de trabajos falsos" donde actores norcoreanos se hicieron pasar por sujetos de entrevistas o proveedores para obtener acceso interno o información necesaria para robar fondos, dijo ZachXBT. Ha habido una serie de anécdotas y una reciente investigación de CoinDesk que sugiere que este tipo de estafa de "entrevista contagiosa" es un problema generalizado y creciente en el ámbito de las criptomonedas.

¿Recuperando fondos?

"Hemos coordinado y estamos activos en una sala de guerra con las personas y entidades necesarias para avanzar, y estaremos comunicando los próximos pasos cuando la situación esté bajo control", escribió la fundación.

Tony, un ingeniero de seguridad en Fuzzland y miembro del equipo de respuesta de emergencia voluntaria SEAL911, fue uno de los miembros en la sala de guerra, que trabajó para ayudarles a recuperar una parte de los fondos que el hacker no notó, le dijo a The Block.

Según Marino en Discord, la organización movió 1,000 ETH por un valor de aproximadamente $2.7 millones de una bóveda a un lugar seguro —el multisig del DAO. "Los 1000 ETH eran colaterales del DAO dentro de Big Bang Origins para acuñar USDO para USDO/USDC LP", agregó.

"El equipo intentó rescatar estos activos primero aprobando el Multicall, que cualquiera puede retirar estos activos. Afortunadamente, nadie se dio cuenta y lograron rescatar estos activos", dijo el cofundador de Fuzzland, Chaofan Shou, a The Block.

Sin embargo, el equipo de respuesta aún no ha podido recuperar ninguno de los activos robados. Actualmente, el tesoro del DAO asciende a $4.2 millones, dijo Marino.