Một thành viên nhóm PeopleDAO đã thất bại trong việc khóa tài liệu thanh toán nhạy cảm, dẫn đến cuộc tấn công. Hacker đã nhận được đề xuất tiền thưởng 10% để trả lại số tiền đã hack cho dự án.
ConstitutionDAO (PEOPLE), dự án được thành lập để mua một trong 13 bản sao Hiến Pháp Hoa Kỳ, đã mất 76,5 ETH (~120.000 USD), đã bị hack vào ngày 6 tháng 3 nhằm vào biểu mẫu thanh toán cho người đóng góp hàng tháng của dự án trên Google Sheet.
Theo dự án, một loạt các sai lầm từ thành viên trong team đã dẫn đến hành vi trộm cắp. Đầu tiên, trưởng nhóm kế toán đã chia sẻ nhầm một liên kết đến biểu mẫu thanh toán với quyền truy cập chỉnh sửa vào một kênh công khai trên Máy chủ Discord của dự án.
Hacker đã sử dụng quyền truy cập chỉnh sửa này trên biểu mẫu để chèn địa chỉ của họ để nhận khoản thanh toán 76,5 ETH. Sau đó, người này đã ẩn những thông tin đó trên biểu mẫu khiến đội ngũ PeopleDAO không tìm ra được trong quá trình kiểm tra lại.
Tiếp đó, dữ liệu từ biểu mẫu được gửi đến công cụ airdrop trên Safe, hợp đồng thông minh sử dụng multisig (đa chữ ký). Những người ký để mở khoá giao dịch (multisig signers) đã không nhận ra sai số này vì phải thực hiện 80 giao dịch. Do đó, ví của kẻ tấn công đã nhận được 76.5 ETH.
Sau đó, Hacker đã chuyển ether sang hai sàn giao dịch tập trung — HitBTC và Binance — với giá trị 69,2 ETH ($110.000) và 7,3 ETH.
PeopleDAO cho biết họ đang hợp tác với các chuyên gia bảo mật blockchain như ZachXBT và SlowMist để theo dõi hacker. Nhóm cũng báo cáo vụ việc cho Cục điều tra liên bang Mỹ (FBI) và Uỷ ban Thương mại liên bang (FTC) cũng như các sàn giao dịch mà hacker này đã chuyển tiền.
PeopleDAO cũng đề nghị một khoản tiền thưởng 10% (tương đương 12,000 USD) cho tin tặc nếu họ trả lại số tiền bị đánh cắp. Tuy nhiên, đến thời điểm hiện tại, kẻ tấn công chưa phản hồi đề nghị này.
Dự án cho biết họ đang thực hiện các bước để tránh những rủi ro tương tự trong tương lai.
“Chúng tôi đang cải thiện hệ thống kế toán và đào tạo về việc sử dụng ví đa chữ ký. Đồng thời, PeopleDAO đang sử dụng các công cụ được xây dựng trên nền tảng Safe nhằm cải thiện trải nghiệm của người ký mở khoá giao dịch.”
PeopleDAO cho biết họ đang có kế hoạch tổ chức các buổi thảo luận với các thành viên trong nhóm về cách sử dụng các công cụ này nhằm ngăn chặn sự cố lặp lại trong tương lai.