Tapioca DAO - Rekt

Otro día, otro robo de clave privada, otro protocolo rekt.

Tapioca DAO en Arbitrum sufre una pérdida de aproximadamente $4.4 millones debido al compromiso de una clave privada.

Se han recuperado algunos fondos, aunque el alcance total del daño aún está por verse.

Parece que la receta del éxito de Tapioca no incluía una gestión de claves robusta.

El atacante, en el papel de chef maestro, ideó un plan que dejó las defensas de Tapioca tan flojas como fideos demasiado cocidos.

Mientras el protocolo se apresuraba a tranquilizar a sus usuarios, ya circulaban rumores en la cripto-esfera sobre un conocido grupo de hackers.

¿Tenía Tapioca un desarrollador norcoreano en sus filas o solo sufrió un mal caso de claves comprometidas?

Estos hackers están atacando desde todos los ángulos - ayer Radiant Capital recibió una dosis de malware RAT, y hoy la seguridad de Tapioca parece tan frágil como un soufflé mal hecho.

¿Estamos presenciando la evolución de una guerra financiera en el espacio DeFi, o simplemente la misma receta de codicia e incompetencia, ahora con un toque de hackeo patrocinado por el estado?

Mientras el mundo cripto dormía, 0xTeun dio la alarma: Tapioca estaba bajo ataque.

Parece que nuestro ingenioso hacker logró explotar la función de Rescate de Emergencia en uno de los contratos de vesting desplegados por el Deployer de Tapioca.

Otro día, otra vulnerabilidad expuesta.

El atacante no perdió tiempo y explotó la vulnerabilidad para retirar alrededor de 30 millones de tokens TAP.

Con la habilidad de un trader experimentado, intercambió este botín por 591 ETH, haciendo que el valor de TAP cayera un 97%.

Pero, ¿por qué detenerse ahí? Nuestro amigo hacker aún tenía más planes.

Realizó múltiples llamadas a otras direcciones, incluyendo el contrato de la stablecoin $USDO, y se mintió a sí mismo la asombrosa cantidad de cinco quintillones de $USDO.

Porque, ¿por qué conformarse con millones cuando puedes tener quintillones?

Tras una persecución de alto voltaje, nuestros detectives de blockchain rastrearon los fondos robados mientras eran llevados al BNB Chain.

Al momento de la publicación, la dirección sospechosa mantiene aproximadamente $4.4 millones en stablecoins como BSC-USD y USDC.

Tapioca DAO finalmente rompió el silencio - seis horas después del ataque.

Su respuesta oficial? Un clásico "no es un bug, es una feature."

Según Tapioca, este no fue cualquier hackeo; fue un "ataque de ingeniería social."

Aparentemente, el atacante logró comprometer la propiedad del contrato de vesting de TAP, permitiéndole reclamar y vender una impresionante suma de 30M TAP.

Pero espera, ¡hay más! La propiedad del contrato de la stablecoin USDO también fue comprometida, permitiendo al atacante añadir un minter para mint infinito de USDO y drenar el par de liquidez USDO/USDC.

El informe de daños de Tapioca? Un total de 591 ETH y 2.8 millones de USDC robados. Al menos están de acuerdo con los detectives de blockchain en este punto.

El ataque se centró en el contrato de vesting de Tapioca, una pieza de código que supuestamente debía mantener los tokens bien resguardados.

Contrato de Vesting TAP:
0x2997C5ddD3070A46E9938261ce0A16a237121cb0

Explotador:
0x70285a11489bed93686410EBC727057CAfb8129D

Transacción de Ataque 1:
0x8cf8def40fa2beab66f46863478bea71ad8f4512003caf2fa639cc5a00550753

Transacción de Ataque 2:
0x1abb8cf0b0af2ce19a30ce5103d51269d4600d9aeba045260feb588db89d76a4

Transacción de Ataque 3:
0x174c3deaf563be1bb6d873ba279421e8588acc888ef672bafd5efe7441aae74f

Pero nuestro hacker no estaba satisfecho con un solo golpe. Para el postre, apuntó al contrato de la stablecoin de Tapioca, convirtiendo a USDO en su impresora de dinero personal.

Contrato de Stablecoin USDO:
0xEB99062643cA5Ab880c077288345E0B14B297432

Exploit de Mint Infinito de USDO:
0x0bca43cfb5b14ea039f2b329cb6074383d54ed8240963014ccb6400befa5a4e3

Los fondos robados fueron llevados de Arbitrum a BSC:
0x69d91e56ca80f2a4d7b808b59053ea5c5505ffe2

Pero aún hay más! Nuestro detective on-chain favorito, ZachXBT, ha compartido observaciones interesantes.

Según Zach, esta tormenta en Tapioca podría estar conectada a una serie de hackeos recientes dirigidos a proyectos como Nexera, Concentric, Masa, SpaceCatch y otros.

El ingrediente común en el libro de recetas del hacker:

Malware, posiblemente distribuido a través de anuncios de trabajo falsos.

En el mundo de DeFi, "¡Estamos contratando!" podría significar "¡Nos estamos hackeando!"

Aquí es donde la trama se pone realmente interesante: Zach insinúa una posible conexión con el villano eterno del mundo cripto: los hackers patrocinados por el estado norcoreano.

Pero justo cuando pensabas que esta historia no podía volverse más loca, Tapioca nos ofrece un giro digno de una película de M. Night Shyamalan.

En un giro inesperado, han logrado revertir el ataque al hacker.

Tapioca anunció en su Discord: "¡Hemos hackeado al hacker! Recuperamos 1000 ETH que ahora están seguros en la multisig del DAO. Los 1000 ETH eran colateral del DAO dentro de Big Bang Origins para mint de USDO en el par USDO/USDC."

Con esta recuperación, el tesoro de Tapioca ahora asciende a $4.2 millones.

El equipo promete más detalles en la próxima autopsia del incidente, agradeciendo a Seal911 y EnigmaDarkLabs por su ayuda en esta contraoperación.

Mientras Tapioca continúa trabajando para resolver la situación, esta historia aún no ha terminado y promete más sorpresas en su post mortem.

Y como en cualquier desastre cripto que se precie, los estafadores no tardaron en aparecer, suplantando a Tapioca DAO y lanzando links maliciosos como señuelos.

La advertencia de Hacken a los usuarios: No caigan en la trampa.

¿Alguien cayó en la trampa? ¿Fue un miembro del equipo de Tapioca quien mordió el anzuelo de un phishing?

¿Nuestro hacker maestro sirvió una "oportunidad de empleo" especialmente diseñada que era demasiado tentadora para resistir?

Tras el desliz de $4.4 millones de Tapioca, nos queda ese sabor familiar de incompetencia, con un toque de intriga norcoreana.

Es otro capítulo en el manual de "Cómo No Hacer DeFi", donde tu protocolo está a una clave comprometida de convertirse en el próximo hilo de advertencia en Twitter.

El juego de seguridad ha evolucionado, pasando de cazar bugs en contratos inteligentes a una retorcida versión de "¿Quién es el espía?"

Mientras mejoramos en auditar nuestro código, parece que olvidamos hacer un escaneo de virus a nuestros desarrolladores.

Los actores maliciosos ya no solo están en nuestros programas; ahora están escribiéndolos.

Están en nuestras extensiones de VS Code, en nuestras solicitudes de empleo, y probablemente en ese extraño servidor de Discord al que te uniste la semana pasada.

A este ritmo, cada proyecto Web3 tendrá su propio hacker norcoreano para el 2025.

Olvídense de "traer a tu perro al trabajo" - ahora es "trae a tu ciberdelincuente patrocinado por el estado al trabajo".

En esta fiesta de payasos cripto, donde tu próximo colega podría estar programando para Kim Jong-un los fines de semana.

¿Es este el futuro ciberpunk que nos prometieron, o simplemente una elaborada estafa de phishing en la que todos estamos cayendo?

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.