PeopleDAO, một nhóm được thành lập để mua một bản sao của Hiến pháp Hoa Kỳ, đã mất 76,5 ETH (120.000 đô la) cho một vụ hack kỹ thuật xã hội vào ngày 6 tháng 3 nhằm vào biểu mẫu thanh toán cho người đóng góp hàng tháng của dự án trên Google Trang tính.
Một sự kết hợp của các lỗi dẫn đến hành vi trộm cắp,theo cho nhóm dự án. Đầu tiên, trưởng nhóm kế toán đã chia sẻ nhầm một liên kết đến biểu mẫu thanh toán với quyền truy cập chỉnh sửa vào một kênh công khai trên Máy chủ Discord của dự án. Tin tặc đã có thể sử dụng quyền truy cập chỉnh sửa này trên biểu mẫu để chèn địa chỉ của họ và khoản thanh toán 76,5 ETH. Sau đó, tin tặc đã ẩn hàng này trên biểu mẫu.
Hàng ẩn này trên biểu mẫu đã thoát khỏi thông báo của nhóm trong quá trình kiểm tra lại. Nó cũng không được chọn bởi những người ký đa chữ ký, những người đã thực hiện chuyển khoản sau khi dữ liệu từ biểu mẫu đã được gửi đến công cụ airdrop trên Safe. Như vậy, ví của kẻ tấn công đã nhận được khoản thanh toán 76,5 ETH. Sau đó, tin tặc đã chuyển ether sang hai sàn giao dịch tập trung — HitBTC và Binance — với 69,2 ETH ($110.000) cho sàn trước và 7,3 ETH cho sàn sau.
dânDAO nói rằng nó đang hoạt động với blockchaincác chuyên gia bảo mật như ZachXBT và SlowMist để theo dõi tin tặc. Nhóm cho biết họ cũng đã báo cáo vấn đề với các cơ quan thực thi pháp luật của Hoa Kỳ cũng như các sàn giao dịch mà tin tặc sử dụng. PeopleDAO đã cung cấp tiền thưởng mũ trắng 10% cho hacker nếu họ trả lại tiền. Tin tặc đã không trả lời đề nghị này tại thời điểm báo cáo.
Nhóm cho biết họ đang thực hiện các bước để tránh những rủi ro tương tự trong tương lai. “Chúng tôi đang cải thiện kế toán và giáo dục đa chữ ký của mình,” nhóm đã nói với The Block. “Chúng tôi đang sử dụng các công cụ được xây dựng trên Safe để cải thiện trải nghiệm của người ký.”
PeopleDAO cho biết họ đang có kế hoạch tổ chức các phiên demo với các thành viên trong nhóm về cách sử dụng các công cụ này để ngăn chặn sự cố lặp lại.