PeopleDAO, grupa utworzona w celu zakupu kopii Konstytucji Stanów Zjednoczonych, straciła 76.5 ETH (120,000 6 USD) w wyniku włamania do inżynierii społecznej XNUMX marca, którego celem był miesięczny formularz wypłaty dla współpracowników projektu w Arkuszach Google.
Splot błędów doprowadził do kradzieży według do zespołu projektowego. Po pierwsze, kierownik ds. księgowości przez pomyłkę udostępnił link do formularza wypłaty z dostępem do edycji na kanale publicznym na serwerze Discord projektu. Haker mógł użyć tego dostępu do edycji w formularzu, aby wstawić swój adres i płatność 76.5 ETH. Następnie haker uczynił ten wiersz niewidocznym w formularzu.
Ten ukryty wiersz w formularzu umknął uwadze zespołu podczas ponownej kontroli. Nie została również odebrana przez sygnatariuszy multipodpisów, którzy wykonywali przelewy po przesłaniu danych z formularza do narzędzia airdrop na Safe. W związku z tym portfel atakującego otrzymał płatność 76.5 ETH. Następnie haker przeniósł eter na dwie scentralizowane giełdy — HitBTC i Binance — z 69.2 ETH (110,000 7.3 USD) na pierwszą i XNUMX ETH na drugą.
LudzieDAO mówi, że działa z blockchainem ekspertów bezpieczeństwa, takich jak ZachXBT i SlowMist do śledzenia hakera. Zespół twierdzi, że zgłosił sprawę również amerykańskim organom ścigania, a także giełdom używanym przez hakera. PeopleDAO zaoferowało hakerowi 10% nagrody w postaci białego kapelusza, jeśli zwróci środki. Haker nie odpowiedział na tę ofertę w momencie zgłoszenia.
Zespół powiedział, że podejmuje kroki, aby uniknąć podobnych wpadek w przyszłości. „Poprawiamy naszą edukację w zakresie księgowości i multisig” – powiedział zespół The Block. „Przyjmujemy narzędzia oparte na Safe, które poprawiają komfort osoby podpisującej”.
PeopleDAO mówi, że planuje organizować sesje demonstracyjne z członkami zespołu na temat korzystania z tych narzędzi, aby zapobiec ponownemu wystąpieniu.
© 2023 The Block Crypto, Inc. Wszelkie prawa zastrzeżone. Ten artykuł służy wyłącznie celom informacyjnym. Nie jest oferowany ani przeznaczony do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss