Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 212Phishing / Ingeniería social

Ingeniería social por Discord a Tapioca DAO

Tapioca DAO perdió $4,65M tras un miembro de Discord ser manipulado para conectar una hardware wallet; el atacante se apoderó de TAP/USDO. Recuperaron $2,7M.

Fecha
Víctima
Tapioca DAO
Cadena(s)
Ethereum
Estado
Parcialmente recuperado
Atribución
Suspected Lazarus Group (DPRK)

El 18 de octubre de 2024, el protocolo nativo de LayerZero Tapioca DAO perdió aproximadamente $4,65 millones (605 ETH + 3,1M USDC) tras un ataque de ingeniería social contra un contribuyente principal. Los atacantes — cuyas TTPs sugerían fuertemente al Lazarus Group — engañaron a un miembro de Discord para que conectara una hardware wallet bajo un pretexto, y luego usaron el acceso para comprometer tanto la propiedad del contrato del token TAP como el contrato de la stablecoin USDO. El equipo posteriormente contra-explotó la dirección del atacante para recuperar $2,7M antes de que pudieran ser blanqueados.

Qué ocurrió

El vector de ataque comenzó en Discord. Un contribuyente de Tapioca DAO fue contactado por mensaje privado sobre "un amigo siendo contratado" — narrativa de pretexto diseñada para bajar su guardia. El intercambio escaló a una solicitud para conectar su hardware wallet para lo que parecía ser un flujo legítimo de onboarding.

Una vez que la hardware wallet fue conectada — y crucialmente, una vez que el contribuyente firmó una transacción que creía rutinaria — el atacante obtuvo la autoridad de la billetera del contribuyente sobre los contratos críticos de Tapioca.

Con este acceso, el atacante:

  1. Comprometió la propiedad del contrato de vesting del token TAP, otorgándose la capacidad de reclamar y vender 30 millones de tokens TAP vesteados que deberían haber estado bloqueados.
  2. Comprometió el contrato de la stablecoin USDO, añadiéndose como minter con acceso sin restricciones para acuñar USDO.
  3. Drenó el pool de liquidez USDO/USDC acuñando USDO falso e intercambiándolo por las reservas USDC del pool.
  4. Vendió los 30M de TAP vesteados a través de la liquidez DEX, hundiendo el precio del token TAP aproximadamente un 96%.

Total extraído: ~$4,65M en ETH y USDC, más el impacto dilutivo de las ventas de TAP sobre los poseedores.

Contra-exploit y consecuencias

En una respuesta inusual, el equipo de seguridad de Tapioca identificó una condición explotable en la propia billetera del atacante — probablemente una brecha en cómo el atacante había estructurado la ruta de blanqueo — y ejecutó un contra-exploit que recuperó 996 ETH (~$2,7M) de la dirección del atacante antes de que pudieran ser movidos a mezcladores.

Los ~$2M restantes fueron blanqueados con éxito mediante rutas estándar de Lazarus (Tornado Cash, puentes cross-chain, conversión a BTC).

Tapioca publicó un post-mortem detallado cubriendo la cadena de ataque y la operación de recuperación, y rotó todas las claves administrativas a una nueva multi-firma con firma exclusivamente por hardware wallet y verificación adicional fuera de banda.

Por qué importa

El incidente de Tapioca es un caso de estudio limpio de cómo la ingeniería social estilo Lazarus puede comprometer un protocolo entero a través de un solo endpoint de un miembro del equipo. La cadena de ataque ilustra:

  1. Discord es una superficie de ataque para los equipos de protocolos tanto como lo es para los usuarios retail. El phishing por mensaje directo a contribuyentes es una jugada estándar de Lazarus, y la cultura de equipos pequeños/siempre conectados de los protocolos cripto hace a los contribuyentes particularmente vulnerables a pretextos del tipo "estamos contratando a tu amigo".

  2. La firma con hardware wallet por sí sola no elimina el riesgo de ingeniería social — eleva la barrera pero no lo elimina. El ataque funcionó porque el contribuyente firmó una transacción que pensó que era legítima. La hardware wallet protegió contra el robo de claves pero no contra transacciones maliciosas autorizadas por la víctima.

  3. Los contra-exploits funcionan ocasionalmente y son cada vez más parte del manual defensivo para equipos de protocolos sofisticados. La recuperación de $2,7M de Tapioca es uno de un pequeño número de casos donde la capacidad ofensiva on-chain ha sido utilizada productivamente en la respuesta a incidentes.

El patrón — ingeniería social de Lazarus → compromiso de clave individual → amplia autoridad de protocolo — es esencialmente idéntico a lo que ocurrió en Radiant Capital a principios de 2024 y a una escala mucho mayor en Bybit en 2025. La lección recurrente: multi-firma con estricta separación de roles y verificación fuera de banda de cualquier operación privilegiada ya no es opcional para protocolos de cualquier escala significativa.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-tapioca-dao-hack-october-2024
  2. [02]dlnews.comhttps://www.dlnews.com/articles/defi/tapioca-dao-hacks-its-hacker-after-north-korean-attack/
  3. [03]mirror.xyzhttps://mirror.xyz/tapiocada0.eth/RVcRuKmJAavD05ObYsyYOHLDJ4gkEZKwyY_Y0Gx6gNc

Registros relacionados