PeopleDAO, un grup format pentru a cumpăra o copie a Constituției SUA, a pierdut 76.5 ETH (120,000 USD) din cauza unui hack de inginerie socială pe 6 martie care a vizat formularul lunar de plată a contribuitorului de pe Google Sheets.
O combinație de erori a dus la furt, conform către echipa de proiect. În primul rând, liderul contabil a partajat în mod eronat un link către formularul de plată cu acces de editare la un canal public de pe serverul Discord al proiectului. Hackerul a putut folosi acest acces de editare pe formular pentru a-și introduce adresa și o plată de 76.5 ETH. Hackerul a făcut apoi acest rând invizibil pe formular.
Acest rând ascuns de pe formular a scăpat de atenția echipei în timpul verificărilor. De asemenea, nu a fost preluat de semnatarii cu semnături multiple care au executat transferurile după ce datele din formular au fost trimise la instrumentul de lansare aeriană de pe Safe. Ca atare, portofelul atacatorului a primit plata de 76.5 ETH. Ulterior, hackerul a transferat eterul la două schimburi centralizate – HitBTC și Binance – cu 69.2 ETH (110,000 USD) către primul și 7.3 ETH către cel din urmă.
OameniDAO spune că funcționează cu blockchain experți în securitate precum ZachXBT și SlowMist pentru a urmări hackerul. Echipa spune că a raportat, de asemenea, problema agențiilor de aplicare a legii din SUA, precum și schimburile folosite de hacker. PeopleDAO a oferit hackerului o recompensă de 10% pălărie albă în cazul în care returnează fondurile. Hackerul nu a răspuns la această ofertă în momentul raportării.
Echipa a spus că ia măsuri pentru a evita accidente similare în viitor. „Ne îmbunătățim educația contabilă și multisig”, a declarat echipa pentru The Block. „Adoptăm instrumente construite pe Safe care îmbunătățesc experiența semnatarului.”
PeopleDAO spune că intenționează să găzduiască sesiuni demonstrative cu membrii echipei despre cum să folosească aceste instrumente pentru a preveni repetarea.
© 2023 The Block Crypto, Inc. Toate drepturile rezervate. Acest articol este furnizat doar în scop informativ. Nu este oferit sau intenționat să fie utilizat ca avize legale, fiscale, de investiții, financiare sau de altă natură.
Sursa: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss