Tapioca Foundation setzt Angreifer nach 4,7-Millionen-Dollar-Exploit ein Kopfgeld in Höhe von 1 Mio. US-Dollar aus

Als Analyst mit umfangreicher Erfahrung im Kryptobereich muss ich sagen, dass die Situation mit Tapioca DAO gleichzeitig faszinierend und besorgniserregend ist. Die rasante Entwicklung der DeFi-Protokolle und ihre Anfälligkeit für Social-Engineering-Angriffe sind eine deutliche Erinnerung an den Wild-West-Charakter dieser Branche.

Nach dem Hackerangriff auf das DeFi-Protokoll Tapioca DAO im Wert von 4,7 Millionen US-Dollar bieten die Entwickler dem Täter eine Belohnung von 1 Million US-Dollar an, wenn er sich dafür entscheidet, die verbleibenden Gelder zurückzugeben.

Am 20. Oktober erweiterte die Tapioca Foundation ein Angebot über Blockchain-Kommunikation auf die Brieftasche des Verdächtigen. Dieses Angebot bot ihnen eine legitime Möglichkeit, die Belohnung frei von jeglichen rechtlichen Konsequenzen einzufordern, falls sie sich dazu entschließen sollten, die verbleibenden Mittel wieder in das System zurückzuführen.

Die Organisation stellt eine Belohnung von einer Million USDT-Dollar bereit, unter der Bedingung, dass der Hacker die restlichen 3,7 Millionen wieder in das System einspielt. Dieses Angebot gilt bis zum 22. Oktober, 16:00 Uhr UTC.

Während ich dies schreibe, hat der Hacker das Kopfgeldangebot noch nicht zur Kenntnis genommen und als Reaktion darauf hat das Protokoll seine Aktivitäten vorübergehend eingestellt. Benutzern wird empfohlen, vorerst alle Interaktionen mit Tapioka-Verträgen zu vermeiden.

Was ist passiert?

Am 18. Oktober wurde das DeFi-Protokoll zum Ziel, nachdem sein anonymer Mitschöpfer „Rektora“ offenbar bei einem Social-Engineering-Betrug ausgetrickst wurde. Bei dieser Art von Angriffen werden Opfer dazu verleitet, vertrauliche Daten preiszugeben, schädliche Software herunterzuladen oder auf betrügerische E-Mails zu klicken (Phishing).

Die dezentrale autonome Organisation (DAO) von Tapioca ist Opfer eines raffinierten Angriffs mit Social Engineering geworden. Dieser Trick ermöglichte es dem Hacker, die Kontrolle über den Besitz des TAP-Token-Vesting-Vertrags zu erlangen. Dadurch konnte der Hacker etwa 30 Millionen unverfallbare TAP-Token beanspruchen und verkaufen, was sich auf den LP (Liquidity Pool) auswirkte, den das DAO in TAP/ETH hält. Der Angreifer nutzte weiter aus…

– Tapioca Foundation (@tapioca_dao), 18. Oktober 2024

Wie Matt Marino, einer der Gründer von Tapioca, erklärte, scheint es, dass Rektora unwissentlich schädliche Software heruntergeladen hat, was dazu geführt hat, dass Angreifer die Kontrolle über die Eigentumsrechte für den maßgeblichen Vertrag des TAP-Tokens innerhalb des Protokolls übernehmen könnten.

Als Ergebnis konnten sie erfolgreich 30 Millionen gesperrte TAP-Token zurückholen, die anfangs jeweils etwa 1,40 US-Dollar wert waren, aufgrund des Exploits nun aber nur noch 0,01 US-Dollar wert sind. Darüber hinaus gelang es den Tätern auch, die Kontrolle über die USDO-Stablecoin-Vereinbarung zu übernehmen.

Insgesamt hat der Täter rund 4,4 Millionen Dollar erfolgreich gestohlen, davon 2,8 Millionen USDC und weitere 1,57 Millionen ETH. Dieser Betrag wurde aus dem USDO/USDC-Liquiditätspool abgezogen. Die gestohlenen Gelder wurden umgehend in ETH und anschließend in USDT eingetauscht und schließlich von Arbitrum zur BNB-Kette verschoben, wo sie sich noch heute befinden.

Laut einem aktuellen Update auf dem Discord-Kanal des Projekts, das am 19. Oktober veröffentlicht wurde, soll es Marion gelungen sein, sich erfolgreich in den Angreifer zu hacken und etwa 1.000 Ether zurückzugewinnen.

Zuvor gelang es Euler Finance, einer dezentralen Finanzierungsplattform, mehr als 58.000 ETH zurückzugewinnen, die bei einem Blitzkreditvorfall gestohlen worden waren. Um die gestohlenen Vermögenswerte zurückzufordern, sendete das Protokoll eine Nachricht auf der Blockchain, in der um die Rückgabe der Gelder gebeten wurde, und warnte davor, dass es einen Anreiz in Höhe von 1 Million US-Dollar für alle Informationen bieten würde, die zur Identifizierung des Täters führen, wenn die Gelder nicht zurückgegeben würden.

Während nicht jedes Belohnungsangebot zur Rückgabe gestohlener Vermögenswerte führt, nehmen wir zum Beispiel den Fall der Krypto-Börse WazirX. Sie starteten ein Belohnungsprogramm im Wert von 11,5 Millionen US-Dollar, nachdem sie verschiedene Kryptowährungen im Wert von rund 234 Millionen US-Dollar verloren hatten.

Obwohl für ihre Rückkehr eine Belohnung ausgezahlt wurde, konnten die gestohlenen Gelder noch nicht zurückerlangt werden; Stattdessen haben die Täter einen erheblichen Teil der unrechtmäßig erworbenen Gewinne mithilfe von Diensten wie Tornado Cash erfolgreich gewaschen.

Weiterlesen

2024-10-21 13:42