PeopleDAO bị hack thông qua Google Sheets
ConstitutionDAO là một tổ chức tự trị phi tập trung được thành lập nhằm mục đích mua lại một trong 13 bản sao Hiến Pháp của Mỹ với PEOPLE là token của dự án.
Tổ chức đã mất 76.5 ETH vào ngày 6/3 do một cuộc tấn công phi kỹ thuật (social engineering) nhắm vào biểu mẫu trả thưởng hàng tháng trên Google Sheets của họ.
1/10
— PeopleDAO (📜, 🤝) (@The_PeopleDAO) March 11, 2023
Bad news:
PeopleDAO Community Treasury on @safe has recently been exploited of 76 ETH (~$120,000) via social engineering during monthly reward payout on March 6th.
This expoloit is not related to $PEOPLE token contract.
Details below:
Theo đó, trưởng nhóm kế toán đã chia sẻ nhầm liên kết biểu mẫu trả thưởng có quyền chỉnh sửa trên kênh Discord của dự án. Kẻ tấn công đã lợi dụng quyền chỉnh sửa này trên biểu mẫu để chèn địa chỉ ví và tự điền khoản thưởng 76.5 ETH cho mình. Sau đó, người này đã ẩn những thông tin đó trên biểu mẫu khiến đội ngũ PeopleDAO không tìm ra được trong quá trình kiểm tra lại.
Tiếp đó, dữ liệu từ biểu mẫu được gửi đến công cụ airdrop trên Safe, hợp đồng thông minh sử dụng multisig (đa chữ ký). Những người ký để mở khoá giao dịch (multisig signers) đã không nhận ra sai số này vì phải thực hiện 80 giao dịch. Do đó, ví của kẻ tấn công đã nhận được 76.5 ETH.
Kẻ tấn công đã chuyển 69.2 ETH (trị giá 110,000 USD) đến sàn giao dịch HitBTC và 7.3 ETH sang Binance.
6/10
— PeopleDAO (📜, 🤝) (@The_PeopleDAO) March 11, 2023
Working with @SlowMist_Team and @zachxbt , we find the exploited fund was then deposited into two exchanges, HitBTC @hitbtc and Binance @binance @cz_binance . We contacted them immediately after the loss. pic.twitter.com/az9cDtfrcM
PeopleDAO đang hợp tác với các chuyên gia an ninh blockchain như ZachXBT và SlowMist để theo dõi động thái của tin tặc. Tổ chức cũng báo cáo vụ việc cho Cục điều tra liên bang Mỹ (FBI) và Uỷ ban Thương mại liên bang (FTC) cũng như các sàn giao dịch mà tin tặc đã chuyển tiền.
Bên cạnh đó, PeopleDAO đề nghị một khoản tiền thưởng 10% (tương đương 12,000 USD) cho tin tặc nếu họ trả lại số tiền bị đánh cắp. Tuy nhiên, đến thời điểm hiện tại, kẻ tấn công chưa phản hồi đề nghị này.
Tổ chức cho biết đang đưa ra các biện pháp để tránh những sự cố tương tự trong tương lai:
"Chúng tôi đang cải thiện hệ thống kế toán và đào tạo về việc sử dụng ví đa chữ ký. Đồng thời, PeopleDAO đang sử dụng các công cụ được xây dựng trên nền tảng Safe nhằm cải thiện trải nghiệm của người ký mở khoá giao dịch."
Ngoài ra, PeopleDAO đang lên kế hoạch tổ chức các buổi thảo luận với các thành viên trong cộng đồng về cách sử dụng các công cụ này để tránh xảy ra các sự cố tương tự trong tương lai.