Pas une semaine ne passe sans que le marché crypto ne soit victime d’attaques de pirates mal-intentionnés. Parmi les cas les plus récents, l’organisation autonome décentralisée PeopleDAO qui vient de perdre près de 120 000 dollars en ETH !
Une négligence à l’origine des 76,5 ETH dérobés !
Si parfois les histoires de hack sont spectaculaires, celle de PeopleDAO est finalement extrêmement banale. C’est en omettant de verrouiller un document Google Sheet disposant d’informations de paiement qu’un membre de l’équipe a ouvert en grand la porte au(x) pirate(s) la semaine dernière. Des pirates qui ne se sont alors pas fait prier pour s’emparer de 76,5 ETH, soit près de 120 000 dollars au moment des faits. Au cours actuel de l’Ethereum (1 740 $), la somme représente même plus de 130 000 dollars.
Selon l’équipe dirigeante, c’est une combinaison d’erreurs qui aurait conduit à cette situation. Car dans un premier temps, un responsable de la comptabilité avait partagé par erreur un lien vers le formulaire de paiement. Un formulaire qui était d’ailleurs configuré en édition, donnant un accès en écriture à tous les membres du serveur Discord suivant le projet. C’est par le biais d’un thread de 10 tweets que PeopleDAO a explicité la situation ce week-end via Twitter :
1/10
Bad news:
PeopleDAO Community Treasury on @safe has recently been exploited of 76 ETH (~$120,000) via social engineering during monthly reward payout on March 6th.
This expoloit is not related to $PEOPLE token contract.
Details below:— PeopleDAO (📜, 🤝) (@The_PeopleDAO) March 11, 2023
Le pirate a eu simplement à insérer l’adresse de son wallet crypto pour demander un paiement de 76,5 ETH. Une ligne qu’il a ensuite rendu invisible sur le formulaire ce qui a permis au pirate de passer sous le radar de l’équipe en charge de vérifier le formulaire. Cette ligne invisible n’a pas non plus été détectée par les signataires ayant exécuté l’ensemble des opérations décrites dans le formulaire.
L’investissement en crypto-monnaies est proposé par eToro (Europe) Ltd en tant que PSAN, enregistré auprès de l’AMF. Les crypto-monnaies sont très volatiles. Pas de protection des consommateurs.
PeopleDAO prêt à passer un deal avec le pirate !
Après avoir constaté que son méfait avait donné lieu au versement de la somme demandée, le pirate a transféré ses jetons ETH vers deux bourses : HitBTC et Binance. Sur la première bourse, il a transféré une grande partie du magot (69,2 ETH). Le reste, soit 7,3 ETH a été transféré sur l’exchange centralisé numéro 1 au monde.
Dans son thread, PeopleDAO a informé avoir rapporté la fraude au FTC ainsi qu’au FBI. L’organisation autonome assure également qu’elle travaille avec des experts blockchain pour retrouver l’identité du pirate. Malgré cela, la plateforme a également tenu à faire une proposition directe au hacker : 10 % du montant dérobé s’il s’engage à restituer les fonds. Si l’offre postée le 11 mars, valable pour 48 heures est semble t’il expiré, rien ne semble indiquer que le pirate ait accepté ou explicitement refusé le deal.
Évidemment, l’équipe a tenu à assurer qu’elle prenait toutes les mesures nécessaires pour qu’une telle mésaventure ne se produise plus. Afin de mieux sensibiliser ses membres, PeopleDAO se dit prêt à organiser des formations des équipes sur l’utilisation des outils.
Source : Compte Twitter PeopleDAO
Sur le même sujet :
- Arnaques crypto : 5 manières de détecter un scam
- Crypto : le volume d’arnaques a dépassé les 20 milliards de dollars en 2022
- Un hack sur la blockchain Hedera Hashgraph
Romain Boyer
