PeopleDAO, eine Gruppe, die gegründet wurde, um eine Kopie der US-Verfassung zu kaufen, hat am 76.5. März 120,000 ETH (6 US-Dollar) durch einen Social-Engineering-Hack verloren, der auf das monatliche Auszahlungsformular des Projekts in Google Sheets abzielte.
Eine Kombination von Fehlern führte zum Diebstahl, gemäß zum Projektteam. Erstens hat der Leiter der Buchhaltung versehentlich einen Link zum Auszahlungsformular mit Bearbeitungszugriff auf einen öffentlichen Kanal auf dem Discord-Server des Projekts geteilt. Der Hacker konnte diesen Bearbeitungszugriff auf dem Formular nutzen, um seine Adresse und eine 76.5-ETH-Zahlung einzugeben. Der Hacker hat diese Zeile dann auf dem Formular unsichtbar gemacht.
Diese verborgene Zeile auf dem Formular entging der Aufmerksamkeit des Teams bei erneuten Überprüfungen. Es wurde auch nicht von den Multi-Signatur-Unterzeichnern abgeholt, die die Übertragungen ausführten, nachdem Daten aus dem Formular an das Airdrop-Tool auf Safe gesendet worden waren. Als solches erhielt die Brieftasche des Angreifers die Zahlung von 76.5 ETH. Anschließend übertrug der Hacker den Ether an zwei zentrale Börsen – HitBTC und Binance – wobei 69.2 ETH (110,000 $) an erstere und 7.3 ETH an letztere gingen.
MenschenDAO sagt, es funktioniert mit Blockchain Sicherheitsexperten wie ZachXBT und SlowMist, um den Hacker zu verfolgen. Das Team sagte, es habe die Angelegenheit auch den US-Strafverfolgungsbehörden sowie den vom Hacker verwendeten Börsen gemeldet. PeopleDAO bot dem Hacker eine 10-prozentige White-Hat-Prämie an, falls er das Geld zurückgeben sollte. Auf dieses Angebot hat der Hacker zum Zeitpunkt der Meldung nicht reagiert.
Das Team sagte, es unternehme Schritte, um ähnliche Pannen in Zukunft zu vermeiden. „Wir verbessern unsere Buchhaltungs- und Multisig-Schulung“, sagte das Team gegenüber The Block. „Wir nutzen Tools, die auf Safe basieren und die Erfahrung der Unterzeichner verbessern.“
PeopleDAO plant, Demo-Sitzungen mit Teammitgliedern zu veranstalten, in denen erläutert wird, wie diese Tools verwendet werden können, um ein wiederholtes Auftreten zu verhindern.
© 2023 The Block Crypto, Inc. Alle Rechte vorbehalten. Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder verwendet.
Quelle: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss