米国憲法のコピーを購入するために結成されたグループである PeopleDAO は、76.5 月 120,000 日にソーシャル エンジニアリング ハッキングにより 6 ETH (XNUMX ドル) を失った。
エラーの組み合わせが盗難につながり、 従った プロジェクトチームに。 まず、経理担当者が、プロジェクトの Discord サーバーのパブリック チャンネルへの編集アクセス権を持つ支払いフォームへのリンクを誤って共有してしまいました。 ハッカーは、フォームでこの編集アクセスを使用して、アドレスと 76.5 ETH の支払いを挿入することができました。 次にハッカーは、フォーム上でこの行を非表示にしました。
フォームのこの非表示の行は、再チェック中にチームの通知を逃れました。 また、フォームからのデータが Safe のエアドロップ ツールに送信された後に転送を実行したマルチ署名署名者によっても検出されませんでした。 そのため、攻撃者のウォレットは 76.5 ETH の支払いを受け取りました。 その後、ハッカーはイーサを 69.2 つの中央集権型取引所である HitBTC と Binance に送金し、110,000 ETH ($7.3) を前者に、XNUMX ETH を後者に送金しました。
人DAO ブロックチェーンと連携しているという ZachXBT のようなセキュリティ専門家 ハッカーを追跡するSlowMist。 チームは、ハッカーが使用する取引所だけでなく、米国の法執行機関にもこの問題を報告したと述べています。 PeopleDAO は、ハッカーが資金を返還した場合に 10% のホワイト ハット バウンティをハッカーに提供しました。 報告の時点で、ハッカーはこの申し出に応じていません。
チームは、将来同様の事故を避けるための措置を講じていると述べた. 「私たちは会計とマルチシグ教育を改善しています」とチームは The Block に語った。 「署名者のエクスペリエンスを向上させる Safe 上に構築されたツールを採用しています。」
PeopleDAO は、これらのツールを使用して再発を防ぐ方法について、チーム メンバーとのデモ セッションを主催する予定であると述べています。
©2023 The Block Crypto、Inc. All Rights Reserved。 この記事は情報提供のみを目的としています。 法律、税務、投資、財務、その他のアドバイスとしての使用を目的としたものではありません。
ソース: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss