PeopleDAO, grupa, kas izveidota, lai iegādātos ASV konstitūcijas eksemplāru, ir zaudējusi 76.5 ETH (120,000 6 ASV dolāru) sociālās inženierijas uzlaušanas rezultātā, kas XNUMX. martā bija vērsta uz projekta ikmēneša līdzstrādnieku izmaksu veidlapu pakalpojumā Google izklājlapas.
Kļūdu kombinācija noveda pie zādzības, atbilstoši projekta komandai. Pirmkārt, uzskaites vadītājs kļūdaini kopīgoja saiti uz izmaksas veidlapu ar rediģēšanas piekļuvi publiskam kanālam projekta Discord serverī. Hakeris varēja izmantot šo rediģēšanas piekļuvi veidlapā, lai ievietotu savu adresi un 76.5 ETH maksājumu. Pēc tam hakeris padarīja šo rindu neredzamu veidlapā.
Šo slēpto rindu veidlapā komanda nepamanīja atkārtotās pārbaudēs. To neuztvēra arī vairāku parakstu parakstītāji, kuri veica pārsūtīšanu pēc tam, kad dati no veidlapas tika nosūtīti uz Safe airdrop rīku. Tādējādi uzbrucēja maks saņēma 76.5 ETH maksājumu. Hakeris pēc tam pārsūtīja ēteri uz divām centralizētām biržām — HitBTC un Binance — ar 69.2 ETH (110,000 7.3 USD) pirmajai un XNUMX ETH otrajai.
CilvēkiDAO saka, ka strādā ar blokķēdi drošības eksperti, piemēram, ZachXBT un SlowMist, lai izsekotu hakeri. Komanda saka, ka tā arī ziņoja par šo lietu ASV tiesībaizsardzības iestādēm, kā arī hakera izmantotajām apmaiņas ierīcēm. PeopleDAO piedāvāja 10% baltās cepures atlīdzību hakeram, ja viņi atgrieztu līdzekļus. Hakeris uz šo piedāvājumu ziņošanas brīdī nav atbildējis.
Komanda paziņoja, ka tā veic pasākumus, lai izvairītos no līdzīgām neveiksmēm nākotnē. "Mēs uzlabojam savu grāmatvedības un multisig izglītību," komanda teica The Block. "Mēs izmantojam rīkus, kas veidoti uz Safe, kas uzlabo parakstītāju pieredzi."
PeopleDAO saka, ka plāno rīkot demonstrācijas sesijas ar komandas locekļiem par to, kā izmantot šos rīkus, lai novērstu atkārtošanos.
© 2023 The Block Crypto, Inc. Visas tiesības aizsargātas. Šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts izmantot kā juridiskas, nodokļu, investīciju, finanšu vai citas konsultācijas.
Avots: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss