La organización PeopleDAO perdió 76,5 ETH (120.000 USD) debido a un ataque de ingeniería social dirigido al formulario Google Sheets del proyecto para pagos de contribuciones mensuales. El equipo aceptó que varios errores contribuyeron al robo, incluyendo la publicación involuntaria de un enlace al formulario de pago en un canal público de Discord con acceso de edición. El hacker agregó al formulario un pago de 76,5 ETH y su propia dirección y ocultó esta fila del formulario. El equipo no detectó esta fila oculta durante su verificación cruzada, ni los firmantes de múltiples firmas que realizaron las transferencias después de la transmisión de datos del formulario a la herramienta Secure airdrop. Como resultado, el pago de 76,5 ETH se transfirió a la billetera del atacante, quien luego envió el éter a dos intercambios centralizados. PeopleDAO colaboró con profesionales en seguridad de blockchain para encontrar al hacker y ofreció una recompensa del 10% si devolvían el dinero, pero no hubo respuesta. El equipo está tomando precauciones para evitar que se repita un incidente similar en el futuro, incluyendo fortalecer la educación en multi-sig y contabilidad, y adoptar tecnologías basadas en Safe para mejorar la experiencia del firmante.
PeopleDAO, una organización establecida para adquirir una copia de la Constitución de los EE. UU., perdió 76,5 ETH (120 000 USD) el 6 de marzo de 2023 como resultado de un ataque de ingeniería social dirigido al formulario Google Sheets del proyecto para pagos de contribuciones mensuales.
El equipo aceptado que numerosos defectos contribuyeron al robo. En primer lugar, el responsable de contabilidad del proyecto publicó involuntariamente un enlace al formulario de pago en un canal público de Discord con acceso de edición. Se agregaron al formulario un pago de 76,5 ETH y la dirección del pirata informático utilizando este acceso de edición. El hacker hizo invisible esta fila en el formulario.
En segundo lugar, el equipo pasó por alto esta fila oculta en el formulario durante su verificación cruzada. Esto también fue pasado por alto por los firmantes de múltiples firmas que realizaron las transferencias luego de la transmisión de datos del formulario a la herramienta Protected airdrop. En consecuencia, el pago de 76,5 ETH se transfirió a la billetera del atacante. A partir de entonces, el hacker envió el éter a dos intercambios centralizados, HitBTC y Binance, con 69,2 ETH ($110 000) para el primero y 7,3 ETH para el segundo.
Para encontrar al hacker, PeopleDAO reveló su colaboración con profesionales de seguridad de blockchain, incluidos ZachXBT y niebla lenta. PeopleDAO también informó el incidente y los canales de comunicación del pirata informático a los funcionarios encargados de hacer cumplir la ley estadounidenses. Si el hacker devolvía el dinero, PeopleDAO les pagaría una recompensa de sombrero blanco del 10%. Al momento de informar, el hacker no había reaccionado a esta oferta.
Hablando con Block, el equipo afirmó que estaba tomando precauciones para evitar que ocurran cosas similares en el futuro. El equipo reiteró que fortalecerían su educación multi-sig y contable.
El equipo también reveló la adopción de tecnologías basadas en Risk-free que mejoran la experiencia del firmante. Para que esto sea perfecto, PeopleDAO planea organizar sesiones de demostración con los miembros del equipo, enseñándoles cómo usar estas herramientas para evitar ataques similares.
Lea también
PeopleDAO, una organización descentralizada autónoma que se dedica a ayudar a las personas con proyectos humanitarios, ha reportado una pérdida de 76.5 ETH debido a un hackeo.
Según el informe publicado en su sitio world wide web el 22 de octubre, una de las cuentas de la tesorería de PeopleDAO fue atacada por un hacker desconocido. El ataque se llevó a cabo utilizando un exploit en el contrato inteligente que permitió al atacante transferir los fondos a una dirección desconocida.
Después de descubrir el ataque, PeopleDAO inmediatamente tomó medidas para detener el hackeo y notificó a los proveedores de servicios de seguridad de blockchain relevantes.
La organización también ha publicado un informe detallado sobre el ataque en su página de GitHub, proporcionando información sobre el exploit utilizado y las medidas de seguridad adicionales que se están implementando.
La pérdida de fondos, que asciende a alrededor de 228,000 dólares en el momento de la redacción de este artículo, ha sido un gran golpe para PeopleDAO y para la comunidad de blockchain en common.
La organización ha declarado su intención de recuperar los fondos perdidos y ha pedido la ayuda de la comunidad para rastrear los fondos robados.
Es importante destacar que los ataques a contratos inteligentes se han vuelto cada vez más comunes en los últimos meses, lo que ha llevado a que muchas empresas y organizaciones tomen medidas adicionales para proteger sus fondos.
Esperamos que PeopleDAO pueda recuperarse de este incidente y seguir trabajando por la noble causa que promueve.