PeopleDAO diretas melalui Google Sheets, ether senilai $120.000 dicuri

PeopleDAO, grup yang dibentuk untuk membeli salinan Konstitusi AS, telah kehilangan 76,5 ETH ($120.000) akibat peretasan rekayasa sosial pada 6 Maret yang menargetkan formulir pembayaran kontributor bulanan proyek di Google Sheets.

Kombinasi kesalahan menyebabkan pencurian,menurut kepada tim proyek. Pertama, pemimpin akuntansi secara keliru membagikan tautan ke formulir pembayaran dengan akses edit ke saluran publik di Server Perselisihan proyek. Peretas dapat menggunakan akses edit ini pada formulir untuk memasukkan alamat mereka dan pembayaran 76,5 ETH. Peretas kemudian membuat baris ini tidak terlihat di formulir.

Baris tersembunyi pada formulir ini lolos dari pemberitahuan tim selama pemeriksaan ulang. Itu juga tidak diambil oleh penanda tangan multi-tanda tangan yang melakukan transfer setelah data dari formulir dikirim ke alat airdrop di Safe. Dengan demikian, dompet penyerang menerima pembayaran 76,5 ETH. Peretas kemudian mentransfer ether ke dua bursa terpusat — HitBTC dan Binance — dengan 69,2 ETH ($110.000) untuk yang pertama dan 7,3 ETH untuk yang terakhir.

PeopleDAO mengatakan itu bekerja dengan blockchainpakar keamanan seperti ZachXBT dan SlowMist untuk melacak peretas. Tim mengatakan juga melaporkan masalah tersebut ke lembaga penegak hukum AS serta pertukaran yang digunakan oleh peretas. PeopleDAO menawarkan hadiah topi putih 10% kepada peretas jika mereka mengembalikan dananya. Peretas belum menanggapi tawaran ini pada saat pelaporan.

Tim mengatakan sedang mengambil langkah-langkah untuk menghindari kecelakaan serupa di masa mendatang. “Kami meningkatkan pendidikan akuntansi dan multisig kami," kata tim kepada The Block. “Kami merangkul alat yang dibuat di Safe yang meningkatkan pengalaman penanda tangan.”

PeopleDAO mengatakan berencana untuk menyelenggarakan sesi demo dengan anggota tim tentang cara menggunakan alat ini untuk mencegah kejadian berulang.