6 марта сообщество PeopleDAO, созданное с целью приобретения редкого экземпляра Конституции США, подверглось хакерской атаке. Ущерб составил 76,5 ETH ($120 000).
1/10
Bad news:
PeopleDAO Community Treasury on @safe has recently been exploited of 76 ETH (~$120,000) via social engineering during monthly reward payout on March 6th.
This expoloit is not related to $PEOPLE token contract.
Details below:
— PeopleDAO (📜, 🤝) (@The_PeopleDAO) March 11, 2023
Как стало известно, бухгалтерия PeopleDAO по ошибке выложила ссылку на Google-таблицу с формой ежемесячных выплат на публичном Discord-канале. У документа были открыты права редактирования. Неизвестный вписал в него адрес своего кошелька и сумму платежа в размере 76,5 ETH, после чего сделал эту строку невидимой.
«Тимлиды не обнаружили скрытую строку при перепроверке. Затем файл с данными из таблицы был отправлен в инструмент CSV Airdrop на платформе Safe для распределения вознаграждения. Валидаторы также не заметили злонамеренный перевод», — объяснили в команде PeopleDAO.
5/10
Because there are 80 transfers in the tx, 6 out of 9 multisig signers did not notice the malicious transfer, signed and executed the tx, sending 76 ETH to the hacker's address.
Txhash: https://t.co/NUGnRDS5xd
Hacker address: 0x80f751a95f678255cae9a280d4f25e5b926eae366 pic.twitter.com/OM3XGp4b5W
— PeopleDAO (📜, 🤝) (@The_PeopleDAO) March 11, 2023
В дальнейшем хакер перевел 69,2 ETH на биржу HitBTC и 7,3 ETH — на Binance. Обе торговые платформы наряду с правоохранительными органами уведомлены об инциденте.
PeopleDAO также проводит внутреннее расследование с экспертами по блокчейн-безопасности ZachXBT и SlowMist. Сообщество предложило хакеру вознаграждение за возврат средств в размере 10% от похищенной суммы. На момент написания он не ответил на предложение.
Отдельно команда займется совершенствованием бухгалтерского учета и обучением валидаторов работе с мультиподписями.
