PeopleDAO 是一個為購買美國憲法副本而成立的組織,在 76.5 月 120,000 日的一次社會工程黑客攻擊中損失了 6 ETH(XNUMX 美元),攻擊目標是該項目在 Google 表格上的月度貢獻者支付表。
錯誤的組合導致盜竊, 根據 給項目組。 首先,會計負責人錯誤地共享了支付表的鏈接,該鏈接具有項目 Discord 服務器上公共頻道的編輯權限。 黑客能夠使用此表單上的編輯權限插入他們的地址和 76.5 ETH 付款。 黑客然後使該行在表單上不可見。
表格上的這個隱藏行在重新檢查期間沒有引起團隊的注意。 在表單中的數據被發送到 Safe 上的空投工具後,執行傳輸的多重簽名簽名者也沒有接收到它。 因此,攻擊者的錢包收到了 76.5 ETH 付款。 黑客隨後將以太幣轉移到兩個中心化交易所——HitBTC 和幣安——前者有 69.2 ETH(110,000 美元),後者有 7.3 ETH。
人民道 說它正在與區塊鏈合作 ZachXBT 等安全專家 和慢霧追踪黑客。 該團隊表示,它還向美國執法機構以及黑客使用的交易所報告了此事。 如果黑客返還資金,PeopleDAO 會向黑客提供 10% 的白帽賞金。 截至發稿時,黑客尚未對此提議作出回應。
該團隊表示正在採取措施避免未來發生類似的事故。 “我們正在改進我們的會計和多重簽名教育,”該團隊告訴 The Block。 “我們正在採用基於 Safe 構建的工具,以改善簽名者的體驗。”
PeopleDAO 表示,它計劃與團隊成員舉辦演示會議,討論如何使用這些工具來防止再次發生。
©2023 The Block Crypto,Inc.保留所有權利。 本文僅供參考。 不提供或不打算將其用作法律,稅務,投資,財務或其他建議。
資料來源:https://www.theblock.co/post/219214/peopendao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss