خسرت PeopleDAO ، وهي مجموعة تم تشكيلها لشراء نسخة من دستور الولايات المتحدة ، 76.5 ETH (120,000،6 دولار أمريكي) بسبب اختراق الهندسة الاجتماعية في XNUMX آذار (مارس) الذي استهدف نموذج الدفع الشهري للمساهم في المشروع على جداول بيانات Google.
مزيج من الأخطاء أدى إلى السرقة ، بالنسبة الى لفريق المشروع. أولاً ، شارك قائد المحاسبة خطأً رابطًا إلى نموذج الدفع مع إمكانية تعديل الوصول إلى قناة عامة على خادم Discord الخاص بالمشروع. تمكن المخترق من استخدام هذا الوصول للتعديل في النموذج لإدخال عنوانهم ودفع 76.5 ETH. ثم جعل المخترق هذا الصف غير مرئي في النموذج.
هذا الصف المخفي في النموذج أفلت من إشعار الفريق أثناء عمليات إعادة الفحص. كما لم يتم التقاطها من قبل الموقعين متعددي التوقيع الذين نفذوا عمليات النقل بعد إرسال البيانات من النموذج إلى أداة الإسقاط الجوي على Safe. على هذا النحو ، تلقت محفظة المهاجم 76.5 دفعة ETH. قام المتسلل بعد ذلك بتحويل الأثير إلى بورصتين مركزيتين - HitBTC و Binance - حيث ذهب 69.2 ETH (110,000،7.3 دولار أمريكي) إلى الأولى و XNUMX ETH إلى الثانية.
الناس تقول أنها تعمل مع blockchain خبراء الأمن مثل ZachXBT و SlowMist لتتبع المخترق. يقول الفريق أيضًا إنه أبلغ عن الأمر إلى وكالات إنفاذ القانون الأمريكية وكذلك التبادلات التي استخدمها المتسلل. عرض PeopleDAO مكافأة قبعة بيضاء بنسبة 10٪ للمتسلل في حالة إعادة الأموال. لم يستجب المخترق لهذا العرض حتى وقت الإبلاغ.
قال الفريق إنه يتخذ خطوات لتجنب حوادث مماثلة في المستقبل. قال الفريق لصحيفة The Block: "نحن نعمل على تحسين المحاسبة والتعليم متعدد المهام". "نحن نتبنى أدوات مبنية على Safe التي تعمل على تحسين تجربة الموقع."
تقول PeopleDAO إنها تخطط لاستضافة جلسات توضيحية مع أعضاء الفريق حول كيفية استخدام هذه الأدوات لمنع تكرارها.
© 2023 The Block Crypto، Inc. جميع الحقوق محفوظة. يتم توفير هذه المقالة لأغراض إعلامية فقط. لا يُعرض أو يُقصد استخدامه كمشورة قانونية أو ضريبية أو استثمارية أو مالية أو غيرها.
المصدر: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets؟utm_source=rss&utm_medium=rss