A Tapioca DAO, um protocolo de mercado monetário descentralizado, foi alvo de um ataque cibernético que resultou na perda de aproximadamente US$ 4,4 milhões em ativos digitais. O invasor conseguiu explorar uma vulnerabilidade em um dos contratos de vesting da DAO, obtendo acesso a 30 milhões de tokens TAP e ao contrato de stablecoin USDO.
Tapioca DAO has suffered a social engineering attack. This enabled the attacker to compromise the TAP token vesting contract’s ownership which allowed the attacker to claim and sell this 30M vested TAP, which impacted the TAP/ETH DAO owned LP. The attacker then also comprised the…
— Tapioca Foundation (@tapioca_dao) October 18, 2024
No entanto, a equipe de resposta a emergências da Tapioca conseguiu evitar que outros 1.000 ETH, equivalentes a cerca de US$ 2,7 milhões, fossem roubados, transferindo os fundos para uma localização segura.
‘Nós coordenamos e estamos ativos em uma sala de guerra com os indivíduos e entidades necessárias para prosseguir, e comunicaremos as próximas etapas quando a situação estiver sob controle’, escreveu a fundação.
Tapioca é um protocolo de mercado monetário descentralizado baseado em LayerZero para empréstimos de criptomoedas em várias blockchains.
- Leia também: Bitfinex e Plasma anunciam nova solução de escalonamento de Bitcoin para pagamentos, RWA e DeFi
Ataque e resposta emergencial
Segundo as investigações, o invasor usou uma estratégia de engenharia social para obter as chaves privadas da DAO, possivelmente se passando por um entrevistador ou prestador de serviços.
Tapioca hack is connected to a bunch of other recent incidents on-chain involving malware pic.twitter.com/z6xWwYN01u
— ZachXBT (@zachxbt) October 18, 2024
O ataque comprometeu o preço do token TAP, que sofreu uma desvalorização de mais de 95%, de US$ 1,40 para menos de US$ 0,04. A organização colaborou com a equipe de segurança emergencial SEAL911 e a empresa de segurança Fuzzland para mitigar o impacto do ataque e recuperar parte dos fundos.
Recuperação parcial dos ativos e próximas ações
A equipe conseguiu mover 1.000 ETH de um cofre para a carteira multisig da DAO, protegendo esses fundos de serem drenados. Esses ativos estavam sendo usados como garantia para a cunhagem de USDO na pool de liquidez USDO/USDC.
Até o momento, os fundos roubados ainda não foram recuperados, e a investigação continua para identificar a extensão do ataque e os passos necessários para garantir a segurança futura dos contratos e ativos da Tapioca DAO.
