PeopleDAO ซึ่งเป็นกลุ่มที่จัดตั้งขึ้นเพื่อซื้อสำเนารัฐธรรมนูญของสหรัฐฯ ได้สูญเสียเงิน 76.5 ETH ($120,000) ให้กับการแฮ็กทางวิศวกรรมสังคมเมื่อวันที่ 6 มีนาคม ซึ่งกำหนดเป้าหมายไปที่แบบฟอร์มการจ่ายเงินรายเดือนของผู้สนับสนุนโครงการใน Google ชีต
การรวมกันของข้อผิดพลาดที่นำไปสู่การโจรกรรม ตาม ให้กับทีมงานโครงการ ประการแรก หัวหน้าฝ่ายบัญชีได้แชร์ลิงก์ไปยังแบบฟอร์มการจ่ายเงินด้วยสิทธิ์แก้ไขไปยังช่องสาธารณะบนเซิร์ฟเวอร์ Discord ของโครงการโดยไม่ตั้งใจ แฮ็กเกอร์สามารถใช้สิทธิ์แก้ไขนี้ในแบบฟอร์มเพื่อใส่ที่อยู่และชำระเงิน 76.5 ETH แฮ็กเกอร์ทำให้มองไม่เห็นแถวนี้ในแบบฟอร์ม
แถวที่ซ่อนอยู่ในแบบฟอร์มนี้รอดพ้นจากการแจ้งของทีมระหว่างการตรวจสอบซ้ำ นอกจากนี้ยังไม่ถูกหยิบขึ้นมาโดยผู้ลงนามหลายลายเซ็นที่ดำเนินการถ่ายโอนหลังจากข้อมูลจากแบบฟอร์มถูกส่งไปยังเครื่องมือ airdrop บน Safe ด้วยเหตุนี้ กระเป๋าเงินของผู้โจมตีจึงได้รับเงิน 76.5 ETH แฮ็กเกอร์ได้โอนอีเธอร์ไปยังการแลกเปลี่ยนแบบรวมศูนย์สองแห่ง — HitBTC และ Binance — โดยที่ 69.2 ETH ($110,000) ไปที่อันแรกและ 7.3 ETH ไปที่อันหลัง
คนDAO บอกว่ามันทำงานร่วมกับบล็อกเชน ผู้เชี่ยวชาญด้านความปลอดภัยอย่าง ZachXBT และ SlowMist เพื่อติดตามแฮ็กเกอร์ ทีมงานกล่าวว่าได้รายงานเรื่องนี้ไปยังหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ เช่นเดียวกับการแลกเปลี่ยนที่แฮ็กเกอร์ใช้ PeopleDAO เสนอเงินรางวัล 10% ให้กับแฮ็กเกอร์หากพวกเขาคืนเงิน แฮ็กเกอร์ไม่ตอบสนองต่อข้อเสนอนี้ ณ เวลาที่รายงาน
ทีมกล่าวว่ากำลังดำเนินการเพื่อหลีกเลี่ยงอุบัติเหตุที่คล้ายกันในอนาคต “เรากำลังปรับปรุงการบัญชีและการศึกษาแบบ multisig” ทีมงานบอกกับ The Block “เรากำลังรวบรวมเครื่องมือที่สร้างขึ้นบน Safe เพื่อปรับปรุงประสบการณ์ของผู้ลงนาม”
PeopleDAO กล่าวว่ากำลังวางแผนที่จะโฮสต์เซสชันการสาธิตกับสมาชิกในทีมเกี่ยวกับวิธีใช้เครื่องมือเหล่านี้เพื่อป้องกันไม่ให้เกิดขึ้นซ้ำ
© 2023 The Block Crypto, Inc. สงวนลิขสิทธิ์ บทความนี้จัดทำขึ้นเพื่อให้ข้อมูลเท่านั้น ไม่มีการเสนอหรือมีจุดประสงค์เพื่อใช้เป็นคำแนะนำทางกฎหมายภาษีการลงทุนการเงินหรือคำแนะนำอื่น ๆ
ที่มา: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss