Созданная для покупки копии Конституции США PeopleDAO потеряла 76,5 ETH, около $120 000, по причине доступа хакера к незаблокированной форме выплат участникам сообщества.

К возможности кражи средств участников сообщества PeopleDAO привела совокупность ошибок, допущенных финансовой службой и валидаторами проекта. Бухгалтер PeopleDAO, формируя реестр выплат участникам сообщества в Google Sheets, по ошибке не закрыл платежный документ для редакции сторонними пользователями и разместил ссылку на форму выплаты с правами администрирования в публичном канале на Discord-сервере проекта.

Хакер использовал доступ для редактирования формы, чтобы вставить адрес своего криптокошелька и платеж в размере 76,5 ETH. Затем злоумышленник сделал данную строку платежной ведомости в Google-таблице скрытой.

Во время повторных проверок скрытая строка в форме ускользнула от внимания команды. Более того, она не была обнаружена валидаторами PeopleDAO, которые выполняли процедуры последующего контроля, визирования и передачи таблицы в инструмент раздачи Safe.

В итоге на кошелек злоумышленника поступил платеж в размере 76,5 эфиров. Впоследствии хакер перевел 69,2 ETH на биржу HitBTC и 7,3 ETH на Binance.

По сообщению PeopleDAO, команда проекта предложила хакеру вознаграждение в размере 10% за возврат средства. Помимо этого, команда обратились за помощью к экспертами по безопасности блокчейнов ZachXBT и SlowMist, чтобы найти следы хакера. Также о краже средств были уведомлены правоохранительные органы США и биржи, которые злоумышленник использовал для перевода средств.

В понедельник, 13 марта, специалисты по безопасности компании BlockSec сообщили
о хакерской атаке DeFi-платформы по кредитованию на блокчейне Эфириума Euler Finance, которая привела к потере более $200 млн в криптоактивах.