PeopleDAO, קבוצה שהוקמה כדי לקנות עותק של החוקה האמריקנית, הפסידה 76.5 ETH ($120,000) בעקבות פריצה של הנדסה חברתית ב-6 במרץ, שמטרתה את טופס התשלום החודשי של התורמים ב-Google Sheets.
שילוב של טעויות הוביל לגניבה, פי לצוות הפרויקט. ראשית, מוביל החשבונאות שיתף בטעות קישור לטופס התשלום עם גישת עריכה לערוץ ציבורי בשרת הדיסקורד של הפרויקט. ההאקר הצליח להשתמש בגישת העריכה הזו בטופס כדי להכניס את הכתובת שלו ותשלום של 76.5 ETH. לאחר מכן, ההאקר הפך את השורה הזו לבלתי נראית בטופס.
שורה נסתרת זו בטופס חמקה מעיני הצוות במהלך בדיקות חוזרות. זה גם לא נאסף על ידי החותמים מרובי החתימות שביצעו את ההעברות לאחר שהנתונים מהטופס נשלחו לכלי Airdrop ב-Safe. ככזה, ארנקו של התוקף קיבל את התשלום של 76.5 ETH. ההאקר העביר לאחר מכן את האתר לשתי בורסות מרכזיות - HitBTC ו-Binance - כאשר 69.2 ETH ($110,000) יעברו לראשונה ו-7.3 ETH לשנייה.
PeopleDAO אומר שהוא עובד עם בלוקצ'יין מומחי אבטחה כמו ZachXBT ו-SlowMist כדי לעקוב אחר ההאקר. הצוות אומר שהוא גם דיווח על הנושא לסוכנויות אכיפת החוק בארה"ב, כמו גם על החילופים שבהם השתמש ההאקר. PeopleDAO הציע פרס של 10% כובע לבן להאקר אם יחזיר את הכספים. ההאקר לא הגיב להצעה זו נכון למועד הדיווח.
הצוות אמר שהוא נוקט בצעדים כדי למנוע תקלות דומות בעתיד. "אנחנו משפרים את החשבונאות והחינוך שלנו מולטי-סיג", אמר הצוות ל-The Block. "אנחנו מאמצים כלים הבנויים על Safe המשפרים את חוויית החותמים."
PeopleDAO אומרת שהיא מתכננת לארח הפעלות הדגמה עם חברי צוות לגבי אופן השימוש בכלים אלה כדי למנוע התרחשות חוזרת.
© 2023 The Crypto Block, Inc. כל הזכויות שמורות. מאמר זה מסופק למטרות מידע בלבד. הוא לא מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.
מקור: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss