PeopleDAO, en gruppe dannet for at købe en kopi af den amerikanske forfatning, har mistet 76.5 ETH ($120,000) på grund af et social engineering-hack den 6. marts, der målrettede projektets månedlige bidragyderudbetalingsformular på Google Sheets.
En kombination af fejl førte til tyveri, ifølge til projektgruppen. For det første delte regnskabsføreren fejlagtigt et link til udbetalingsformularen med redigeringsadgang til en offentlig kanal på projektets Discord-server. Hackeren var i stand til at bruge denne redigeringsadgang på formularen til at indsætte deres adresse og en 76.5 ETH-betaling. Hackeren gjorde derefter denne række usynlig på formularen.
Denne skjulte række på formularen undgik holdets varsel under gentjek. Det blev heller ikke opfanget af multi-signaturunderskriverne, der udførte overførslerne, efter at data fra formularen var blevet sendt til airdrop-værktøjet på Safe. Som sådan modtog angriberens tegnebog betalingen på 76.5 ETH. Hackeren overførte efterfølgende etheren til to centraliserede børser - HitBTC og Binance - med 69.2 ETH ($110,000) til førstnævnte og 7.3 ETH til sidstnævnte.
PeopleDAO siger, at det arbejder med blockchain sikkerhedseksperter som ZachXBT og SlowMist for at spore hackeren. Holdet siger, at det også rapporterede sagen til amerikanske retshåndhævende myndigheder samt de udvekslinger, som hackeren brugte. PeopleDAO tilbød en dusør på 10 % hvid hat til hackeren, hvis de skulle returnere pengene. Hackeren har ikke reageret på dette tilbud på tidspunktet for rapporteringen.
Holdet sagde, at det tager skridt til at undgå lignende uheld i fremtiden. "Vi forbedrer vores regnskabs- og multisig-uddannelse," fortalte holdet til The Block. "Vi omfavner værktøjer bygget på Safe, der forbedrer underskriveroplevelsen."
PeopleDAO siger, at det planlægger at være vært for demo-sessioner med teammedlemmer om, hvordan man bruger disse værktøjer til at forhindre en gentagelse.
© 2023 The Block Crypto, Inc. Alle rettigheder forbeholdes. Denne artikel er kun til orientering. Det tilbydes ikke eller er beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.
Kilde: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss