Главред
6 февраля общество PeopleDAO, созданное с целью приобретения редкостного экз Конституции США, подверглось онлайновой атаке. Ущерб составил 76,5 ETH ($120 000).
1/10
Bad news:
PeopleDAO Community Treasury on @safe has recently been exploited of 76 ETH (~$120,000) via social engineering during monthly reward payout on March 6th.
This expoloit is not related to $PEOPLE token contract.
Details below:— PeopleDAO (📜, 🤝) (@The_PeopleDAO) March 11, 2023
Как стало известно, отчётность PeopleDAO по ошибке выложила каторгу на Google-таблицу с формой годовых субсидий на прилюдном Discord-канале. У бланка существовали открыты права редактирования. Неизвестный вписал в него адресс своего кошелька и сумму платежа в размере 76,5 ETH, после чего сделал ту строку невидимой.
«Тимлиды не обнаружили скрытую строфу при перепроверке. Затем файлик с данными из таблицы был отправлен в инструмент CSV Airdrop на платформе Safe для перераспределения вознаграждения. Валидаторы также не обнаружили намеренный перевод», — разъяснили в команде PeopleDAO.
5/10
Because there are 80 transfers in the tx, 6 out of 9 multisig signers did not notice the malicious transfer, signed and executed the tx, sending 76 ETH to the hacker’s address.
Txhash: https://t.co/NUGnRDS5xd
Hacker address: 0x80f751a95f678255cae9a280d4f25e5b926eae366 pic.twitter.com/OM3XGp4b5W— PeopleDAO (📜, 🤝) (@The_PeopleDAO) March 11, 2023
В последующем взломщик перешёл 69,2 ETH на биржу HitBTC и 7,3 ETH — на Binance. Обе оптовые платформы наряду с надзорными органами извещены об инциденте.
PeopleDAO также проходит наружное следствие с специалистами по блокчейн-безопасности ZachXBT и SlowMist. Сообщество предложило хакеру вознаграждение за возврат средств в размере 10% от украденной суммы. На миг авторства он не ответил на предложение.
Отдельно команда займется самосовершенствованием учётного учета и обучением валидаторов работе с мультиподписями.
Оставить комментарий