PeopleDAO, un gruppo formato per acquistare una copia della Costituzione degli Stati Uniti, ha perso 76.5 ETH ($ 120,000) a causa di un attacco di ingegneria sociale il 6 marzo che ha preso di mira il modulo di pagamento mensile del contributore del progetto su Fogli Google.
Una combinazione di errori ha portato al furto, secondo al gruppo di progetto. Innanzitutto, il responsabile della contabilità ha condiviso per errore un collegamento al modulo di pagamento con accesso in modifica a un canale pubblico sul server Discord del progetto. L'hacker è stato in grado di utilizzare questo accesso di modifica sul modulo per inserire il proprio indirizzo e un pagamento di 76.5 ETH. L'hacker ha quindi reso questa riga invisibile sul modulo.
Questa riga nascosta sul modulo è sfuggita all'attenzione del team durante i ricontrolli. Inoltre, non è stato raccolto dai firmatari con più firme che hanno eseguito i trasferimenti dopo che i dati del modulo erano stati inviati allo strumento airdrop su Safe. Pertanto, il portafoglio dell'attaccante ha ricevuto il pagamento di 76.5 ETH. L'hacker ha successivamente trasferito l'ether a due exchange centralizzati - HitBTC e Binance - con 69.2 ETH ($ 110,000) andati al primo e 7.3 ETH al secondo.
PersoneDAO dice che funziona con blockchain esperti di sicurezza come ZachXBT e SlowMist per rintracciare l'hacker. Il team afferma di aver segnalato la questione anche alle forze dell'ordine statunitensi e agli scambi utilizzati dall'hacker. PeopleDAO ha offerto una taglia bianca del 10% all'hacker in caso di restituzione dei fondi. L'hacker non ha risposto a questa offerta al momento della segnalazione.
Il team ha affermato che sta adottando misure per evitare incidenti simili in futuro. "Stiamo migliorando la nostra formazione in materia di contabilità e multisig", ha dichiarato il team a The Block. "Stiamo adottando strumenti basati su Safe che migliorano l'esperienza dei firmatari".
PeopleDAO afferma che sta pianificando di ospitare sessioni demo con i membri del team su come utilizzare questi strumenti per prevenire il ripetersi.
© 2023 The Block Crypto, Inc. Tutti i diritti riservati. Questo articolo è fornito a solo scopo informativo. Non viene offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.
Fonte: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss