ABD Anayasası'nın bir kopyasını satın almak için kurulan bir grup olan PeopleDAO, 76.5 Mart'ta projenin Google E-Tablolar'daki aylık katılımcı ödeme formunu hedefleyen bir sosyal mühendislik hack'inde 120,000 ETH (6 $) kaybetti.
Hataların bir kombinasyonu hırsızlığa yol açtı, göre proje ekibine. İlk olarak, muhasebe lideri yanlışlıkla projenin Discord Sunucusundaki bir genel kanala düzenleme erişimi olan ödeme formuna bir bağlantı paylaştı. Bilgisayar korsanı, adreslerini ve 76.5 ETH ödemesini girmek için formdaki bu düzenleme erişimini kullanabildi. Bilgisayar korsanı daha sonra bu satırı formda görünmez yaptı.
Formdaki bu gizli satır, yeniden kontroller sırasında ekibin dikkatinden kaçtı. Formdaki veriler Safe'teki airdrop aracına gönderildikten sonra transferleri gerçekleştiren çoklu imza imzalayanlar tarafından da alınmadı. Hal böyle olunca saldırganın cüzdanı 76.5 ETH ödemesini almış oldu. Bilgisayar korsanı daha sonra eteri iki merkezi borsaya (HitBTC ve Binance) aktardı ve birincisine 69.2 ETH (110,000 $) ve ikincisine 7.3 ETH gitti.
İnsanlarDAO blockchain ile çalıştığını söylüyor ZachXBT gibi güvenlik uzmanları ve bilgisayar korsanını izlemek için SlowMist. Ekip, konuyu ABD kolluk kuvvetlerine ve bilgisayar korsanı tarafından kullanılan borsalara da bildirdiğini söyledi. PeopleDAO, parayı iade etmesi durumunda bilgisayar korsanına %10 beyaz şapka ödülü teklif etti. Bilgisayar korsanı, raporlama tarihi itibariyle bu teklife yanıt vermemiştir.
Ekip, gelecekte benzer aksiliklerden kaçınmak için adımlar attığını söyledi. The Block'a konuşan ekip, "Muhasebe ve multisig eğitimimizi geliştiriyoruz" dedi. "İmzalayan deneyimini iyileştiren, Güvenli üzerinde oluşturulmuş araçları benimsiyoruz."
PeopleDAO, tekrarlanmasını önlemek için bu araçların nasıl kullanılacağı hakkında ekip üyeleriyle demo oturumları düzenlemeyi planladığını söylüyor.
© 2023 The Block Crypto, Inc. Tüm Hakları Saklıdır. Bu makale yalnızca bilgilendirme amaçlıdır. Yasal, vergi, yatırım, finansal veya diğer tavsiyeler olarak sunulmaz veya kullanılması amaçlanmaz.
Kaynak: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss