Opublikowali na Google Docs listę wypłat nagród. Zapomnieli tylko, że dokument ma prawo do edycji. Hacker wstrzyknął swój wiersz i wykradł $120000

W „branży crypto” nie takie numery widziano, ale zobaczmy na przypadek PeopleDAO. Jak czytamy:

Bad news: PeopleDAO Community Treasury on @safe has recently been exploited of 76 ETH (~$120,000) via social engineering during monthly reward payout on March 6th.

Organizacja publikuje informację o osobach wspierających (contributors) i wypłatach dla nich – w formie arkusza google sheet. Wszystko OK, do momentu kiedy admin przypadkowo nie ustawił prawa edycji dla wszystkich, którzy wejdą w linka:

Ktoś stwierdził, że doda do arkusza swoje konto do wypłaty nagrody. Ale żeby nie było tak łatwo całość namierzyć, wiersz został ukryty:

Skutecznie zmyliło to osoby sprawdzające dokument i całość została wyeksportowana do CSV i przesłana do płatności:

PeopleDAO zawiadomiło o akcji między innymi FBI, a przy okazji zaproponowało hackerowi 10% wartości skradzionych środków, jeśli zwróci je do 48h (czas ten obecnie już minął).

~ms