A PeopleDAO, az Egyesült Államok alkotmányának egy példányának megvásárlására létrehozott csoport 76.5 ETH-t (120,000 6 USD) veszített egy szociális tervezés miatt március XNUMX-án, amely a projekt havi közreműködői kifizetési űrlapját célozta a Google Táblázatokon.
A hibák kombinációja vezetett a lopáshoz, szerint a projektcsapatnak. Először is, a könyvelési vezető tévedésből megosztott egy linket a kifizetési űrlaphoz, amely szerkesztési hozzáféréssel rendelkezik a projekt Discord szerverén található nyilvános csatornához. A hacker ezt a szerkesztési hozzáférést használhatta az űrlapon, hogy beírja a címét és egy 76.5 ETH fizetést. A hacker ezután ezt a sort láthatatlanná tette az űrlapon.
Ez a rejtett sor az űrlapon elkerülte a csapat figyelmét az újraellenőrzések során. A több aláírást aláírók sem vették fel, akik az átvitelt végrehajtották, miután az űrlap adatait elküldték a Safe airdrop eszközére. Így a támadó pénztárcája megkapta a 76.5 ETH kifizetést. A hacker ezt követően átvitte az étert két központosított tőzsdére – a HitBTC-re és a Binance-re –, ahol 69.2 ETH (110,000 7.3 USD) jutott az előbbihez, és XNUMX ETH az utóbbihoz.
PeopleDAO azt mondja, hogy blokklánccal működik biztonsági szakértők, mint a ZachXBT és a SlowMist a hacker nyomon követéséhez. A csapat azt állítja, hogy jelentették az ügyet az amerikai bűnüldöző szerveknek, valamint a hacker által használt adatcseréket is. A PeopleDAO 10%-os fehér kalap jutalmat ajánlott fel a hackernek, ha visszaküldi a pénzt. A hacker a bejelentés időpontjáig nem válaszolt erre az ajánlatra.
A csapat azt mondta, lépéseket tesz annak érdekében, hogy a jövőben elkerülje a hasonló szerencsétlenségeket. „Javítjuk számviteli és multisig oktatásunkat” – mondta a csapat a The Blocknak. „A Safe-re épített eszközöket alkalmazunk, amelyek javítják az aláírói élményt.”
A PeopleDAO azt állítja, hogy tervezi, hogy a csapat tagjaival bemutató munkameneteket tartsanak fenn arról, hogyan használhatják ezeket az eszközöket az ismétlődő előfordulások megelőzésére.
© 2023 The Block Crypto, Inc. Minden jog fenntartva. Ez a cikk csak tájékoztató jellegű. Nem kínálják, vagy nem szándékoznak felhasználni jogi, adóügyi, befektetési, pénzügyi vagy egyéb tanácsadásként.
Forrás: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss