PeopleDAO, skupina vytvořená za účelem zakoupení kopie americké ústavy, přišla 76.5. března o 120,000 ETH (6 XNUMX $) v důsledku hacku sociálního inženýrství, který se zaměřil na měsíční výplatní formulář pro přispěvatele projektu na Tabulkách Google.
Kombinace chyb vedla ke krádeži, podle projektovému týmu. Za prvé, vedoucí účetnictví omylem sdílel odkaz na výplatní formulář s přístupem pro úpravy na veřejný kanál na serveru Discord projektu. Hacker mohl použít tento přístup k úpravám ve formuláři k vložení své adresy a platby 76.5 ETH. Hacker pak tento řádek ve formuláři zneviditelnil.
Tento skrytý řádek ve formuláři unikl pozornosti týmu během opakovaných kontrol. Nebylo také vyzvednuto signatáři s více podpisy, kteří provedli převody poté, co byla data z formuláře odeslána do nástroje airdrop na Safe. Útočníkova peněženka jako taková obdržela platbu 76.5 ETH. Hacker následně převedl ether na dvě centralizované burzy – HitBTC a Binance – s 69.2 ETH (110,000 7.3 $) na první a XNUMX ETH na druhou.
LidéDAO říká, že pracuje s blockchainem bezpečnostní experti jako ZachXBT a SlowMist ke sledování hackera. Tým říká, že také nahlásil záležitost americkým donucovacím orgánům, stejně jako burzy používané hackerem. PeopleDAO nabídlo 10% odměnu v bílém klobouku hackerovi, pokud vrátí peníze. Hacker na tuto nabídku v době nahlášení nereagoval.
Tým uvedl, že podniká kroky, aby se podobným nehodám v budoucnu vyhnul. "Zlepšujeme naše účetnictví a multisig vzdělávání," řekl tým The Block. „Přijímáme nástroje postavené na Safe, které zlepšují prostředí podpisu.“
PeopleDAO říká, že plánuje uspořádat demo sezení se členy týmu o tom, jak používat tyto nástroje, aby se zabránilo opakování.
© 2023 The Block Crypto, Inc. Všechna práva vyhrazena. Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.
Zdroj: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss