Channel logo
MarginATM
Save
Copy link

Tapioca DAO “giao kèo” 1 triệu USD với hacker đã đánh cắp 4.7 triệu USD

Liệu hacker có chấp nhận giao kèo 1 triệu USD từ Tapioca DAO và không kèm theo rủi ro pháp lý để đổi lấy 4.7 triệu USD tiền đánh cắp?
Michael
Published Oct 21 2024
Updated Oct 22 2024
4 min read
tapioca giao kèo với hacker

Đổi 1 triệu USD lấy 3.7 triệu USD và cam kết pháp lý cho hacker

Ngày 18/10, nền tảng tài chính phi tập trung Tapioca DAO thông báo đã bị tấn công với thiệt hại lên đến 4.7 triệu USD. Sự việc được xác định là một cuộc tấn công "social engineering" (tấn công lợi dụng lòng tin), nơi kẻ tấn công đã khéo léo khai thác lỗ hổng từ con người để chiếm đoạt tài sản.

Tuy nhiên, thay vì tập trung vào việc truy tìm kẻ tấn công, Tapioca DAO lại lựa chọn một cách tiếp cận khác: đưa ra lời đề nghị khá hời để thuyết phục hacker trả lại số tiền đã đánh cắp.

Cụ thể, Quỹ Tapioca đã công khai đề xuất mức tiền 1 triệu USD cho kẻ tấn công với điều kiện người này hoàn trả 3.7 triệu USD còn lại. Lời đề xuất này được gửi trực tiếp tới ví tiền điện tử của hacker thông qua một tin nhắn on-chain vào ngày 20/10.

Tapioca nhấn mạnh rằng đây là một khoản tiền thưởng hậu hĩnh, vượt xa mức 10% thường thấy trong các vụ việc tương tự, đồng thời cam kết số tiền này hoàn toàn hợp pháp và không kèm theo bất kỳ ràng buộc nào.

tin nhắn on chain của tapioca với hacker
Tin nhắn on-chain từ Tapioca DAO gửi đến Hacker. Nguồn: BSC Scan
advertising

Diễn biến vụ tấn công Tapioca DAO

Vào ngày 18/10, Tapioca DAO thông báo trên X rằng họ đã bị tấn công "social engineering". Kẻ tấn công đã chiếm đoạt khoảng 591 ETH (khoảng 1.5 triệu USD) và 2.8 triệu USD, tổng giá trị ước tính rơi vào 4.7 triệu USD.

Matt Marino, đồng sáng lập Tapioca, tiết lộ trên Discord rằng lúc đó một đồng sáng lập khác của dự án là Rekto đã bị lừa đảo (phishing).

Rektor đã "tải xuống thứ gì đó trong một cuộc phỏng vấn", và phần mềm này đã âm thầm thay thế một giao dịch hợp lệ bằng một giao dịch độc hại, qua đó trao quyền kiểm soát các hợp đồng quan trọng cho kẻ tấn công.

Theo phân tích của Tapioca, hacker đã khai thác lỗ hổng trong hợp đồng vesting của token TAP (Tapioca DAO Token) và stablecoin USDO.

Bằng cách nào đó, kẻ tấn công đã giành được quyền kiểm soát hợp đồng này, cho phép chúng yêu cầu và bán số TAP đã được vesting. Cụ thể, sau khi chiếm quyền kiểm soát hợp đồng vesting vào ngày 18/10, kẻ tấn công đã nhanh chóng rút gần 30 triệu token TAP.

Số token này sau đó được đổi sang khoảng 591 ETH (~1.5 triệu USD), rồi tiếp tục chuyển đổi thành USDT và gửi đến BNB Chain. Theo lịch sử giao dịch, số tiền này hiện vẫn nằm im trên BNB Chain.

Không chỉ vậy, hacker còn tạo ra một lượng lớn USDO không giới hạn và rút cạn pool thanh khoản của cặp USDO/USDC.

Hậu quả của vụ tấn công là giá trị của token TAP gần như bị xóa sổ hoàn toàn. Từ mức giá khoảng 1.40 USD trước khi xảy ra vụ việc, TAP hiện chỉ còn giao dịch ở mức 2 cent, theo dữ liệu từ CoinGecko.

giá token tap
Giá token TAP tại thời điểm viết bài. Nguồn: CoinMarketCap

Trong một bài đăng Discord sau đó vào ngày 19/10, Marino cho biết họ đã hack lại quyền kiểm soát từ tay hacker và thu hồi được 1,000 ETH, hiện trị giá hơn 2.7 triệu USD, là tài sản thế chấp hỗ trợ stablecoin USDO cho một pool thanh khoản.

Đọc thêm: Founder Kalshi khẳng định thị trường dự đoán không hề bị thao túng

RELEVANT SERIES