PeopleDAO, um grupo formado para comprar uma cópia da Constituição dos EUA, perdeu 76.5 ETH (US$ 120,000) para um hack de engenharia social em 6 de março que visava o formulário de pagamento mensal do colaborador do projeto no Planilhas Google.
Uma combinação de erros levou ao roubo, segundo à equipe do projeto. Primeiro, o líder da contabilidade compartilhou por engano um link para o formulário de pagamento com acesso de edição a um canal público no Discord Server do projeto. O hacker conseguiu usar esse acesso de edição no formulário para inserir seu endereço e um pagamento de 76.5 ETH. O hacker tornou essa linha invisível no formulário.
Essa linha oculta no formulário passou despercebida pela equipe durante as verificações. Ele também não foi detectado pelos assinantes de assinatura múltipla que executaram as transferências depois que os dados do formulário foram enviados para a ferramenta de lançamento aéreo no Safe. Como tal, a carteira do invasor recebeu o pagamento de 76.5 ETH. O hacker posteriormente transferiu o ether para duas exchanges centralizadas – HitBTC e Binance – com 69.2 ETH (US$ 110,000) indo para a primeira e 7.3 ETH para a segunda.
PessoasDAO diz que está trabalhando com blockchain especialistas em segurança como ZachXBT e SlowMist para rastrear o hacker. A equipe diz que também relatou o assunto às agências policiais dos EUA, bem como às trocas usadas pelo hacker. A PeopleDAO ofereceu uma recompensa de 10% pelo chapéu branco ao hacker, caso ele devolvesse os fundos. O hacker não respondeu a esta oferta até o momento da reportagem.
A equipe disse que está tomando medidas para evitar contratempos semelhantes no futuro. “Estamos melhorando nossa educação em contabilidade e multisig”, disse a equipe ao The Block. “Estamos adotando ferramentas criadas no Safe que melhoram a experiência do signatário.”
PeopleDAO diz que planeja hospedar sessões de demonstração com membros da equipe sobre como usar essas ferramentas para evitar uma ocorrência repetida.
© 2023 The Block Crypto, Inc. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou deve ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fonte: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss