PeopleDAO, en grupp som bildades för att köpa en kopia av den amerikanska konstitutionen, har förlorat 76.5 ETH (120,000 6 USD) på ett socialt ingenjörshack den XNUMX mars som riktade in sig på projektets månatliga utbetalningsformulär för bidragsgivare på Google Sheets.
En kombination av fel ledde till stölden, enligt till projektgruppen. Först delade redovisningsledaren av misstag en länk till utbetalningsformuläret med redigeringsåtkomst till en offentlig kanal på projektets Discord-server. Hackaren kunde använda denna redigeringsåtkomst på formuläret för att infoga sin adress och en 76.5 ETH-betalning. Hackaren gjorde sedan denna rad osynlig på formuläret.
Den här dolda raden på formuläret undgick lagets kännedom under omkontrollerna. Det plockades inte heller upp av multisignaturundertecknarna som utförde överföringarna efter att data från formuläret hade skickats till airdrop-verktyget på Safe. Som sådan fick angriparens plånbok betalningen på 76.5 ETH. Hackaren överförde sedan etern till två centraliserade börser - HitBTC och Binance - med 69.2 ETH (110,000 7.3 $) till den förra och XNUMX ETH till den senare.
PeopleDAO säger att det fungerar med blockchain säkerhetsexperter som ZachXBT och SlowMist för att spåra hackaren. Teamet säger att det också rapporterade ärendet till amerikanska brottsbekämpande myndigheter samt de utbyten som hackaren använde. PeopleDAO erbjöd en 10% vit hatt-premie till hackern om de skulle returnera pengarna. Hackaren har inte svarat på detta erbjudande vid tidpunkten för rapporteringen.
Teamet sa att de vidtar åtgärder för att undvika liknande missöden i framtiden. "Vi förbättrar vår redovisning och multisig-utbildning," sa teamet till The Block. "Vi tar till oss verktyg byggda på Safe som förbättrar signerarens upplevelse."
PeopleDAO säger att de planerar att vara värd för demo-sessioner med teammedlemmar om hur man använder dessa verktyg för att förhindra en upprepad händelse.
© 2023 The Block Crypto, Inc. Alla rättigheter förbehållna. Den här artikeln är endast avsedd för informationsändamål. Det erbjuds inte eller är avsett att användas som juridisk, skatt, investering, finansiell eller annan rådgivning.
Källa: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss