Что произошло? Децентрализованная автономная организация PeopleDAO, созданная для покупки копии Конституции США, потеряла 76,5 ETH в результате ошибки сотрудников. Так, главный бухгалтер случайно отправил ссылку на Google Таблицу с ежемесячными выплатами участникам в открытый канал на Discord-сервере проекта. Поскольку ссылка предоставляла право редактирования документа, злоумышленник вставил в него свой адрес и сумму платежа, после чего сделал строку невидимой. Инцидент произошел 6 марта, представители PeopleDAO сообщили о нем спустя 5 дней в Twitter проекта.
Источник: Twitter.com
Что такое Децентрализованные автономные организации (DAO). Объясняем простыми словами
Разбираемся в разновидностях новой формы управления и возможностях для заработка
Читать дальше
Что еще известно о взломе? По словам представителей проекта, к краже привела комбинация ошибок. После того, как злоумышленник ввел свои данные в таблицу, команда не заметила скрытую строку во время повторных проверок. Помимо этого, ее не заметили участники с правом подписи транзакций. В результате данные из формы были отправлены в инструмент для рассылки SafePal, а злоумышленник получил 76,5 ETH на свой кошелек (около $120 000 на тот момент). Впоследствии он перевел ETH на биржи HitBTC (69,2 ETH) и Binance (7,3 ETH).
В PeopleDAO сообщили, что работают с экспертами по безопасности блокчейна, такими как ZachXBT и SlowMist, чтобы отследить хакера. Команда также уведомила об инциденте правоохранительные органы США и биржи, которые использовал злоумышленник. PeopleDAO предложила ему вознаграждение в размере 10% при условии возврата остальной суммы, однако пока пользователь не ответил на предложение.
В октябре прошлого года платформа Mango Markets потеряла 114 млн долларов в результате эксплойта. Позже один из его участников, Авраам Айзенберг, заявил, что использовал законную высокодоходную торговую стратегию, однако по предложению сообщества платформы согласился вернуть 67 млн долларов. По условиям сделки проект не стал инициировать уголовное расследование.