Hack crypto : il partage un mauvais lien et encaisse 76 ETH
Une petite erreur qui coûte cher – Si vous suivez de près les cryptomonnaies, vous connaissez malheureusement trop bien ce qui va suivre. Un nouveau protocole DeFi a été la proie d’un hack. C’est précisément PeopleDAO qui a été victime d’un détournement de 76 ETH.
PeopleDAO détroussé de 120 000 dollars
PeopleDAO est une organisation autonome décentralisée évoluant sur la blockchain Ethereum. Ce groupe s’est formé avec comme objectif de racheter une copie de la constitution des États-Unis.
Le 11 mars, les équipes de PeopleDAO ont annoncé une triste nouvelle. En effet, la trésorerie du protocole a été exploitée et 76 ETH, soit 120 000 dollars, ont été dérobés.
PeopleDAO a directement souhaité rassurer les détenteurs de jetons PEOPLE. Le protocole a déclaré que l’attaque n’était pas liée au contrat du jeton.
Une attaque par ingénierie sociale permise par une mauvaise manipulation
Contrairement à la plupart des hacks DeFi, PeopleDAO n’a pas été exploité suite à une faille dans un de ses smart contracts. En fait, le protocole utilise chaque mois une feuille de calcul Google Sheet pour collecter les informations concernant les récompenses mensuelles de ses contributeurs.
« Le responsable de la comptabilité a partagé par erreur un lien avec un accès d’édition dans un canal public de Discord. Le hacker a obtenu le rôle d’éditeur via le lien. »
Déclaration de PeopleDAO
Après avoir accédé à la feuille de calcul, l’attaqueur a profité de son droit de modification pour ajouter un paiement de 76 ETH à sa propre adresse. Il a, par la suite, rendu la ligne invisible afin que la modification ne soit pas détectée.
« La modification étant cachée, les chefs d’équipe ne l’ont pas identifié lors de la revérification. Le fichier csv contenant les données d’insertion a ensuite été téléchargé et soumis à l’outil CSV Airdrop dans Safe pour distribuer la récompense. »
Déclaration de PeopleDAO
Cette modification n’a pas non plus été détectée au moment de la signature de la transaction par 6 des 9 signataires de la multsig. Résultat : la trésorerie a effectué le transfert de 76 ETH sur l’adresse de l’attaquant.
PeopleDAO à la poursuite de son hacker
Désormais, PeopleDAO travaille conjointement avec SlowMist et le crypto-enquêteur ZachXBT afin de retrouver la trace des fonds. Selon les premières analyses, les fonds ont été transférés sur les plateformes Binance et HitBTC. De surcroît, ils ont déclaré la fraude auprès du FBI et la Feredal Trade Commission (FTC).
En parallèle, PeopleDAO a offert une récompense de 10 % du montant, soit 7,6 ETH, au hacker s’il restituait les fonds. Cependant, il semblerait que ce dernier n’ait pas pris contact dans les 48 h imparties.
Ce n’est malheureusement pas le seul hack de ce début de semaine. En effet, le protocole Euler Finance a été la cible d’un hack d’envergure, qui a entraîné la perte de plus de 190 millions de dollars.
Les catastrophes et les hacks, ça n’arrive pas qu’aux autres ! Il vaut mieux ne jamais confier la sécurité de vos cryptomonnaies à un tiers. Pour dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).