Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 212Phishing / Ingénierie sociale

Ingénierie sociale Discord Tapioca DAO

Tapioca DAO a perdu 4,65 M$ après qu'un membre Discord a été manipulé pour connecter un hardware wallet ; l'attaquant a saisi TAP/USDO. 2,7 M$ récupérés.

Date
Victime
Tapioca DAO
Chaîne(s)
Ethereum
Statut
Partiellement récupéré
Attribution
Suspected Lazarus Group (DPRK)

Le 18 octobre 2024, le protocole natif LayerZero Tapioca DAO a perdu environ 4,65 millions de dollars (605 ETH + 3,1 M USDC) après une attaque par ingénierie sociale visant un contributeur core. Les attaquants — dont les TTP suggéraient fortement le groupe Lazarus — ont trompé un membre Discord pour qu'il connecte un hardware wallet sous prétexte, puis ont utilisé l'accès pour compromettre à la fois la propriété du contrat de jeton TAP et le contrat du stablecoin USDO. L'équipe a ensuite contre-exploité l'adresse de l'attaquant pour récupérer 2,7 M$ avant qu'ils ne puissent être blanchis.

Ce qui s'est passé

Le vecteur d'attaque a commencé sur Discord. Un contributeur de Tapioca DAO a été contacté en message privé au sujet d'un « ami en cours d'embauche » — un storytelling de prétexte conçu pour baisser sa garde. L'échange a escaladé jusqu'à une demande de connecter son hardware wallet pour ce qui semblait être un flux d'onboarding légitime.

Une fois le hardware wallet connecté — et crucialement, une fois que le contributeur a signé une transaction qu'il croyait routinière — l'attaquant a obtenu l'autorité du portefeuille du contributeur sur les contrats critiques de Tapioca.

Avec cet accès, l'attaquant a :

  1. Compromis la propriété du contrat de vesting du jeton TAP, leur donnant la capacité de réclamer et vendre 30 millions de jetons TAP vested qui auraient dû être verrouillés.
  2. Compromis le contrat du stablecoin USDO, s'ajoutant comme minter avec accès illimité pour minter du USDO.
  3. Drainé le pool de liquidité USDO/USDC en mintant du faux USDO et l'échangeant contre les réserves USDC du pool.
  4. Vendu les 30M de TAP vested via la liquidité DEX, faisant chuter le prix du jeton TAP d'environ 96 %.

Total extrait : ~4,65 M$ en ETH et USDC, plus l'impact dilutif des ventes de TAP sur les détenteurs.

Contre-exploit et conséquences

Dans une réponse inhabituelle, l'équipe sécurité de Tapioca a identifié une condition exploitable dans le propre portefeuille de l'attaquant — probablement un écart dans la manière dont l'attaquant avait structuré le chemin de blanchiment — et a exécuté un contre-exploit qui a récupéré 996 ETH (~2,7 M$) depuis l'adresse de l'attaquant avant qu'elle ne puisse être déplacée vers des mixeurs.

Les ~2 M$ restants ont été blanchis avec succès via les routes Lazarus standard (Tornado Cash, ponts cross-chain, conversion en BTC).

Tapioca a publié un post-mortem détaillé couvrant la chaîne d'attaque et l'opération de récupération, et a fait tourner toutes les clés administratives vers une nouvelle multi-sig avec signature uniquement par hardware wallet et vérification hors bande supplémentaire.

Pourquoi c'est important

L'incident Tapioca est une étude de cas claire pour comment l'ingénierie sociale style Lazarus peut compromettre un protocole entier via un seul endpoint de membre d'équipe. La chaîne d'attaque illustre :

  1. Discord est une surface d'attaque pour les équipes de protocoles autant que pour les utilisateurs retail. Le phishing en message direct des contributeurs est une tactique standard de Lazarus, et la culture petite équipe / toujours en ligne des protocoles crypto rend les contributeurs particulièrement vulnérables aux prétextes « nous embauchons votre ami ».

  2. La signature par hardware wallet seule n'élimine pas le risque d'ingénierie sociale — elle relève la barre mais ne l'élimine pas. L'attaque a fonctionné parce que le contributeur a signé une transaction qu'il pensait légitime. Le hardware wallet protégeait contre le vol de clé mais pas contre des transactions malveillantes autorisées par la victime.

  3. Les contre-exploits fonctionnent occasionnellement et font de plus en plus partie du playbook défensif pour les équipes de protocoles sophistiquées. La récupération de 2,7 M$ de Tapioca est un des rares cas où la capacité offensive on-chain a été utilisée productivement en réponse à incident.

Le pattern — ingénierie sociale Lazarus → compromission de clé individuelle → large autorité protocolaire — est essentiellement identique à ce qui s'est joué chez Radiant Capital plus tôt en 2024 et à une bien plus grande échelle chez Bybit en 2025. La leçon récurrente : multi-sig avec séparation stricte des rôles et vérification hors bande de toute opération privilégiée n'est plus optionnelle pour les protocoles à toute échelle significative.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-tapioca-dao-hack-october-2024
  2. [02]dlnews.comhttps://www.dlnews.com/articles/defi/tapioca-dao-hacks-its-hacker-after-north-korean-attack/
  3. [03]mirror.xyzhttps://mirror.xyz/tapiocada0.eth/RVcRuKmJAavD05ObYsyYOHLDJ4gkEZKwyY_Y0Gx6gNc

Dépôts liés