Vdor v PeopleDAO prek Google Preglednic, ukraden ether v vrednosti 120,000 $

PeopleDAO, skupina, ustanovljena za nakup izvoda ameriške ustave, je 76.5. marca izgubila 120,000 ETH (6 USD) zaradi vdora v socialni inženiring, ki je bil namenjen mesečnemu obrazcu za izplačilo prispevkov v Google Preglednicah.

Do kraje je pripeljala kombinacija napak, po projektni skupini. Prvič, vodja računovodstva je pomotoma delil povezavo do obrazca za izplačilo z dostopom za urejanje do javnega kanala na strežniku Discord projekta. Heker je lahko uporabil ta dostop za urejanje obrazca, da je vnesel svoj naslov in plačilo 76.5 ETH. Heker je nato naredil to vrstico nevidno na obrazcu.

Ta skrita vrstica na obrazcu je ekipi med ponovnimi preverjanji ušla. Prav tako ga niso prevzeli podpisniki z več podpisi, ki so izvedli prenose po tem, ko so bili podatki iz obrazca poslani orodju airdrop na Safe. Kot taka je napadalčeva denarnica prejela plačilo 76.5 ETH. Heker je nato eter prenesel na dve centralizirani borzi – HitBTC in Binance – pri čemer je 69.2 ETH (110,000 USD) šlo prvi in 7.3 ETH drugi.

LjudjeDAO pravi, da deluje z blockchainom varnostni strokovnjaki, kot je ZachXBT in SlowMist za sledenje hekerju. Ekipa pravi, da je zadevo prijavila tudi ameriškim organom kazenskega pregona ter izmenjave, ki jih uporablja heker. PeopleDAO je hekerju ponudil 10-odstotno nagrado za beli klobuk, če vrne sredstva. Heker se do trenutka poročanja na to ponudbo ni odzval.

Ekipa je dejala, da sprejema ukrepe, da bi se izognila podobnim nesrečam v prihodnosti. »Izboljšujemo naše računovodstvo in izobraževanje o več podpisih,« je ekipa povedala za The Block. »Sprejemamo orodja, zgrajena na Safe, ki izboljšujejo izkušnjo podpisnikov.«

PeopleDAO pravi, da namerava gostiti predstavitvene seje s člani ekipe o tem, kako uporabiti ta orodja za preprečevanje ponovnega pojava.

Vir: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss