Проект PeopleDAO потерял 76,5 ETH ($120 000) из-за взлома, нацеленного на форму ежемесячных выплат участникам в Google Sheets.
По словам команды проекта, к краже привела совокупность ошибок. Во-первых, бухгалтерия по ошибке поделилась ссылкой на форму выплаты с правами редактирования в публичном канале на Discord-сервере проекта. Хакер смог использовать этот доступ для редактирования в форме, чтобы вставить свой адрес и платеж в размере 76,5 ETH. Затем хакер сделал эту строку невидимой в форме и она ускользнула от внимания команды во время повторных проверок.
Подлог не был обнаружен при выполнении перевода и на кошелек злоумышленника поступил платеж в размере 76,5 ETH. Впоследствии хакер перевел монеты на две централизованные биржи HitBTC и Binance: 69,2 ETH и 7,3 ETH соответственно.
PeopleDAO заявил, что работает с экспертами в области блокчейн-безопасности, чтобы отследить хакера. Команда также сообщила об инциденте американским правоохранительным органам и биржам, которые использовал хакер. PeopleDAO предложил хакеру вознаграждение в размере 10%, если тот вернет средства.
Команда заявила, что предпринимает шаги, чтобы избежать подобных происшествий в будущем:
«Мы совершенствуем наш подход к бухгалтерскому учету и обучаем ответственных за мультиподписи. Мы используем инструменты на базе Safe, которые улучшают опыт при подписании транзакций».
Источник
Уникальность
