PeopleDAO взломан через Google Sheets, злоумышленник украл ETH на $120 000
Криптосообщество, созданное для покупки копии Конституции США, PeopleDAO потеряло 76,5 ETH (около $120 000) из-за взлома.
Как рассказала команда проекта, злоумышленники нацелились на форму ежемесячных выплат участникам проекта в Google Sheets. При этом к такой ситуации привела целая серия ошибок в системе безопасности PeopleDAO. Во-первых, бухгалтерия по ошибке поделилась ссылкой на форму выплаты с правами редактирования на публичный канал на Discord-сервере. Таким образом, злоумышленнику удалось использовать этот доступ для редактирования в форме, чтобы вставить свой адрес и платеж в размере 76,5 ETH. Затем хакер сделал эту строку невидимой в форме.
В результате команда проекта не заметила скрытую строку в форме во время повторных проверок. Участники сообщества с несколькими подписями также не заметили следов хакера после того, как данные из формы были отправлены в инструмент раздачи в Safe.
Таким образом хакер получил платеж в размере 76,5 ETH, а затем перевел эти средства на две централизованные биржи — HitBTC и Binance — 69,2 ETH и 7,3 ETH соответственно.
Сейчас команда проекта работает вместе с экспертами по безопасности блокчейнов, такими как ZachXBT и SlowMist, чтобы найти следы хакера. Также о взломе сообщили в правоохранительные органы США и биржи, которые использовал злоумышленник для перевода средств. В PeopleDAO даже предложили хакеру вознаграждение в размере 10%, если он вернет средства.
Теперь PeopleDAO заявляет, что планирует проводить демонстрационные сессии с членами команды о том, как использовать сервисы и инструменты для работу, чтобы не повторять ошибок.
Помимо PeopleDAO, с хакерской атакой недавно столкнулся DeFi-протокол по кредитованию Euler Finance, который лишился свыше $190 млн в криптовалюте — взломщик похитил десятки миллионов долларов в стейблкоине DAI, а также более 95 000 ether (ETH). Однако как именно злоумышленник смог провернуть атаку, неизвестно.
