اخترق PeopleDAO عبر Google Sheets ، وسرق من الأثير بقيمة 120.000 دولار

خسرت PeopleDAO ، وهي مجموعة تم تشكيلها لشراء نسخة من دستور الولايات المتحدة ، 76.5 ETH (120،000 دولار أمريكي) لاختراق الهندسة الاجتماعية في 6 آذار (مارس) الذي استهدف نموذج عائد المساهم الشهري للمشروع على جداول بيانات Google.

مزيج من الأخطاء أدى إلى السرقة ،حسب لفريق المشروع. أولاً ، شارك قائد المحاسبة خطأً رابطًا إلى نموذج الدفع مع إمكانية تعديل الوصول إلى قناة عامة على خادم Discord الخاص بالمشروع. تمكن المخترق من استخدام هذا الوصول للتعديل في النموذج لإدخال عنوانهم ودفع 76.5 ETH. ثم جعل المخترق هذا الصف غير مرئي في النموذج.

هذا الصف المخفي في النموذج أفلت من إشعار الفريق أثناء عمليات إعادة الفحص. كما لم يتم التقاطها من قبل الموقعين متعددي التوقيع الذين نفذوا عمليات النقل بعد إرسال البيانات من النموذج إلى أداة الإسقاط الجوي على Safe. على هذا النحو ، تلقت محفظة المهاجم 76.5 دفعة ETH. قام المتسلل بعد ذلك بتحويل الأثير إلى بورصتين مركزيتين - HitBTC و Binance - حيث ذهب 69.2 ETH (110،000 دولار أمريكي) إلى الأولى و 7.3 ETH إلى الثانية.

الناس تقول أنها تعمل مع blockchainخبراء الأمن مثل ZachXBT و SlowMist لتتبع المخترق. يقول الفريق إنه أبلغ أيضًا عن الأمر لوكالات إنفاذ القانون الأمريكية وكذلك التبادلات التي استخدمها المتسلل. عرض PeopleDAO مكافأة قبعة بيضاء بنسبة 10٪ للمتسلل في حالة إعادة الأموال. لم يستجب المخترق لهذا العرض حتى وقت الإبلاغ.

قال الفريق إنه يتخذ خطوات لتجنب حوادث مماثلة في المستقبل. "نحن نعمل على تحسين المحاسبة والتعليم متعدد المهام ، & quot؛ أخبر الفريق The Block. "نحن نتبنى أدوات مبنية على Safe التي تعمل على تحسين تجربة الموقع."

تقول PeopleDAO إنها تخطط لاستضافة جلسات توضيحية مع أعضاء الفريق حول كيفية استخدام هذه الأدوات لمنع تكرارها.