Betrügerisches Mitglied verursacht 120.000 Dollar Verlust für Kryptoprojekt

Ein Mitglied der dezentralen Kryptowährungsplattform PeopleDAO hat durch einen Trickbetrug Verluste von 120.000 Dollar verursacht. Das Mitglied hat sich betrügerisch in die Auszahlungstabelle eingetragen und die entsprechende Zeile versteckt. Dies war möglich da das Verstecken von Tabellenzeilen in Bearbeitungsprogrammen üblich ist. Die Folgen des Betrugs waren beträchtlich für das Kryptoprojekt.



PeopleDAO macht regelmäßig kleine Auszahlungen an Teilnehmer. Organisiert wird das über eine Tabelle die mit Google Sheets erstellt wird. Das Team kommuniziert unter anderem über eine Discord-Instanz. Dort hat einer der Verantwortlichen einen Hyperlink zu dem Google Sheet gepostet – allerdings irrtümlich einen Link der die Bearbeitung der Tabelle ohne Passwort erlaubte. Das hat ein Unbekannter genauso viel mit ausgenutzt und eine Zeile hinzugefügt, laut der weiterhin als 76,5 Ethereum an ein bestimmtes Wallet zu überweisen wären.


Diese Zeile hat er sogleich ausgeblendet, sodaß bei einem einfachen visuellen Check Zeile 81 nicht aufschien. Die Daten sind da » werden aber nur angezeigt « wenn der Betrachter das auswählt.


Die Überweisung erfolgt natürlich nicht automatisch. PeopleDAO hat neun Zeichnungsberechtigte von denen sechs zustimmen müssen. Keinem ist die "fehlende" Zeile oder die viel zu hohe Gesamtsumme aufgefallen, berichtet das Projekt selbst. So gingen die Kryptomünzen im Gesamtwert von zirka 120.000 US-Dollar auf die Reise.


Diese Lehren zieht PeopleDAO


PeopleDAO ist beim FBI der US-Handelsbehörde FTC und ebenfalls jenen beiden Kryptobörsen vorstellig geworden, auf die welche erschlichenen Kryptomünzen weitergeleitet wurden. Der Schlaumeier war vielleicht doch nicht so schlau: Sollten die Konten bei den Kryptobörsen korrekt auf seinen Namen registriert worden sein, sollte er zu finden sein. Wahrscheinlich ist die Person vom Erfolg ihres Scherzes selbst überrascht. Gleichzeitig stellt PeopleDAO dem irreführend als "Hacker" Bezeichneten eine Belohnung von zehn Prozent in Aussicht, sollte er die Überweisung freiwillig zurückschicken.


Und die Verantwortlichen ziehen drei ganz erstaunliche Lehren: Erstens wollen sie den Zugriff auf die zur Verwendung die Kontoführung genutzte Tabelle "strikt absichern" (anstatt vielleicht ein besser geeignetes System zu verwenden). Zweitens sollen die Zeichnungsberechtigten alle Details prüfen, bevor sie zeichnen (schlau!). Drittens wollen sie das User Interface optimieren, zu diesem Zweck es den freizugebenden Gesamtbetrag anzeigt (innovativ!).


PeopleDAO wurzelt in Missverständnis


PeopleDAO geht auf die ConstitutionDAO zurück. Dieses Projekt sammelte 2021 in Windesweile meh als 40 Millionen Dollar um damit einen der 13 erhaltenen Originaldrucke der US-Verfassung zu ersteigern. Damit war öffentlich bekannt, bis zu welchem Betrag ConstitutionDAO mitsteigern würde – die Initiatoren hatten die Mechanismen hinter Versteigerungen offenbar nicht erkundet. Am Ende ersteigerte jemand anderer das Dokument.


ConstitutionDAO wurde mit den eingezahlten Kryptomünzen jener Spender die keine Rückerstattung beantragten, zu PeopleDAO weiterentwickelt. Weil die Spenden mit Kryptowährung erfolgten, waren die Überweisungsgebühren sehr hoch, so dass sich die Rückerstattung oft nicht rechnete. Jetzt ist die DAO ein Inkubator der helfen möchte, weitere – hoffentlich erfolgreichere – DAO aufzubauen.






Kommentare


Anzeige