Mae PeopleDAO, grŵp a ffurfiwyd i brynu copi o Gyfansoddiad yr UD, wedi colli 76.5 ETH ($ 120,000) i hac peirianneg gymdeithasol ar Fawrth 6 a dargedodd ffurflen talu cyfrannwr misol y prosiect ar Google Sheets.
Arweiniodd cyfuniad o wallau at y lladrad, yn ôl i dîm y prosiect. Yn gyntaf, rhannodd yr arweinydd cyfrifyddu ddolen ar gam i'r ffurflen dalu gyda mynediad golygu i sianel gyhoeddus ar Weinydd Discord y prosiect. Roedd yr haciwr yn gallu defnyddio'r mynediad golygu hwn ar y ffurflen i fewnosod eu cyfeiriad a thaliad 76.5 ETH. Yna gwnaeth yr haciwr y rhes hon yn anweledig ar y ffurflen.
Llwyddodd y rhes gudd hon ar y ffurflen i ddianc rhag sylw'r tîm yn ystod ailwiriadau. Ni chafodd ei nodi ychwaith gan y llofnodwyr aml-lofnod a gyflawnodd y trosglwyddiadau ar ôl i ddata o'r ffurflen gael ei anfon i'r offeryn airdrop ar Safe. O'r herwydd, derbyniodd waled yr ymosodwr y taliad 76.5 ETH. Yna trosglwyddodd yr haciwr yr ether i ddau gyfnewidfa ganolog - HitBTC a Binance - gyda 69.2 ETH ($ 110,000) yn mynd i'r cyntaf a 7.3 ETH i'r olaf.
PoblDAO yn dweud ei fod yn gweithio gyda blockchain arbenigwyr diogelwch fel ZachXBT a SlowMist i olrhain yr haciwr. Dywed y tîm ei fod hefyd wedi riportio'r mater i asiantaethau gorfodi'r gyfraith yr Unol Daleithiau yn ogystal â'r cyfnewidfeydd a ddefnyddir gan yr haciwr. Cynigiodd PeopleDAO bounty het wen o 10% i'r haciwr pe bai'n dychwelyd yr arian. Nid yw'r haciwr wedi ymateb i'r cynnig hwn ers yr amser adrodd.
Dywedodd y tîm eu bod yn cymryd camau i osgoi damweiniau tebyg yn y dyfodol. “Rydyn ni’n gwella ein haddysg cyfrifyddu ac amlsig,” meddai’r tîm wrth The Block. “Rydym yn cofleidio offer sydd wedi’u hadeiladu ar Safe sy’n gwella profiad arwyddwyr.”
Dywed PeopleDAO ei fod yn bwriadu cynnal sesiynau demo gydag aelodau'r tîm ar sut i ddefnyddio'r offer hyn i atal ail-ddigwyddiad.
© 2023 The Block Crypto, Inc. Cedwir pob hawl. Darperir yr erthygl hon at ddibenion gwybodaeth yn unig. Ni chynigir na bwriedir ei ddefnyddio fel cyngor cyfreithiol, treth, buddsoddiad, ariannol neu gyngor arall.
Ffynhonnell: https://www.theblock.co/post/219214/peopledao-hacked-via-google-sheets?utm_source=rss&utm_medium=rss