К возможности кражи средств участников сообщества PeopleDAO привела совокупность ошибок, допущенных финансовой службой и валидаторами проекта. Бухгалтер PeopleDAO, формируя реестр выплат участникам сообщества в Google Sheets, по ошибке не закрыл платежный документ для редакции сторонними пользователями и разместил ссылку на форму выплаты с правами администрирования в публичном канале на Discord-сервере проекта.
Хакер использовал доступ для редактирования формы, чтобы вставить адрес своего криптокошелька и платеж в размере 76,5 ETH. Затем злоумышленник сделал данную строку платежной ведомости в Google-таблице скрытой.
Во время повторных проверок скрытая строка в форме ускользнула от внимания команды. Более того, она не была обнаружена валидаторами PeopleDAO, которые выполняли процедуры последующего контроля, визирования и передачи таблицы в инструмент раздачи Safe.
В итоге на кошелек злоумышленника поступил платеж в размере 76,5 эфиров. Впоследствии хакер перевел 69,2 ETH на биржу HitBTC и 7,3 ETH на Binance.
По сообщению PeopleDAO, команда проекта предложила хакеру вознаграждение в размере 10% за возврат средства. Помимо этого, команда обратились за помощью к экспертами по безопасности блокчейнов ZachXBT и SlowMist, чтобы найти следы хакера. Также о краже средств были уведомлены правоохранительные органы США и биржи, которые злоумышленник использовал для перевода средств.
В понедельник, 13 марта, специалисты по безопасности компании BlockSec
о хакерской атаке DeFi-платформы по кредитованию на блокчейне Эфириума Euler Finance, которая привела к потере более $200 млн в криптоактивах.
Источник: