Tapioca DAO'dan Saldırgana 1 Milyon Dolarlık Ödül Teklifi

DeFi protokolü Tapioca DAO, 4.7 milyon dolarlık bir saldırıya maruz kaldıktan sonra, saldırganın kalan fonları iade etmesi koşuluyla 1 milyon dolarlık bir ödül teklif etti.

Bu olay, merkeziyetsiz finans (DeFi) ekosisteminde bir kez daha büyük çaplı güvenlik açıklarını gündeme getirdi. Tapioca Vakfı, 20 Ekim’de saldırıyla ilişkili cüzdana zincir üstü bir mesaj göndererek saldırganın yasal sonuçlarla karşılaşmadan "cezasız" şekilde olaydan sıyrılma fırsatı sundu.

Vakıf, saldırganın geri kalan 3.7 milyon doları iade etmesi durumunda 1 milyon USDT ödül alacağını duyurdu ve bu teklifi kabul etmeleri için 22 Ekim saat 16:00 UTC’ye kadar süre tanıdı.

Saldırgan henüz ödüle yanıt vermedi ve protokol tüm operasyonlarını askıya alarak kullanıcıları herhangi bir Tapioca sözleşmesiyle etkileşime girmemeleri konusunda uyardı.

Bu büyük saldırı, 18 Ekim’de protokolün takma isimli kurucu ortağı "Rektora"nın sosyal mühendislik saldırısına uğraması sonucunda gerçekleşti. Sosyal mühendislik saldırıları, genellikle kurbanları yanlış yönlendirerek hassas bilgileri açığa çıkarmaya veya zararlı yazılımları indirmeye teşvik eder.

Matt Marino'nun yaptığı açıklamaya göre, Rektora’nın zararlı bir yazılım indirmesi, saldırganların protokolün yerel tokeni TAP’in hakediş sözleşmesi üzerinde kontrol kazanmasına neden oldu.

Bu kontrol, saldırganların 30 milyon TAP token'ını çekmelerine olanak sağladı. Olay sırasında token başına yaklaşık 1.40$ değerinde olan TAP token’ının fiyatı, bu saldırının ardından 0.01$’a kadar düştü. Ayrıca, saldırganlar USDO stablecoin sözleşmesini de ele geçirerek toplamda yaklaşık 4.4 milyon doları çaldı.

Saldırgan, USDO/USDC likidite havuzundan 2.8 milyon USDC ve 1.57 milyon ETH’yi ele geçirdi. Çalınan bu fonlar hızlıca ETH’ye, ardından USDT’ye çevrildi ve son olarak Arbitrum’dan BNB Zinciri’ne taşındı.

Saldırı sonrası gelişen olaylar da dikkat çekici. Marino, projeyle ilgili 19 Ekim'de Discord üzerinden yaptığı bir güncellemede, saldırganı "hackleyerek" 1.000 ETH geri kazanmayı başardığını iddia etti. Ancak bu olay, saldırganın geri kalan fonları iade etmeye teşvik edilip edilmeyeceği konusunda soru işaretleri yaratıyor.

DeFi dünyasında bu tür saldırılar yeni değil. Geçtiğimiz yıl, DeFi kredi protokolü Euler Finance, bir flash loan saldırısında çalınan 58.000 ETH’yi başarılı bir şekilde geri almayı başarmıştı.

Protokol, saldırı sonrası zincir üstü bir mesaj göndererek saldırganın fonları iade etmesini talep etmiş ve iade edilmemesi durumunda saldırganın kimliğini ortaya çıkaracak bilgi için 1 milyon dolarlık bir ödül teklif etmişti.

Ancak, tüm ödül teklifleri başarılı sonuç vermiyor. Örneğin, kripto borsası WazirX, geçen yıl 234 milyon dolarlık bir kayıp sonrası 11.5 milyon dolarlık bir ödül programı başlattı, ancak bugüne kadar çalınan fonlar geri alınamadı. Saldırganlar, bu fonları Tornado Cash gibi gizlilik odaklı platformlar üzerinden aklayarak izlerini kaybettirmeyi başardı.

Tapioca DAO'nun durumu, DeFi protokollerinin güvenliğine yönelik devam eden zorlukları bir kez daha gözler önüne serdi. Saldırganın teklifi kabul edip etmeyeceği ise belirsizliğini koruyor.