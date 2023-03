PeopleDAO, een organisatie die naar eigen zeggen maatschappelijk welzijn en web3 wil bevorderen, is voor 120.000 dollar bestolen omdat iemand een Google Docs-spreadsheet kon aanpassen, zo heeft het zelf bekendgemaakt. PeopleDAO omschrijft zich als een MetaDAO die andere DAO's ondersteunt. DAO staat voor 'decentrale autonome organisatie' en is een organisatie zonder centraal leiderschap.

"Hoe het werkt is dat een DAO gebruikers stemrecht geeft door tokens uit te delen. Door op voorstellen van de DAO te stemmen kunnen dan beslissingen worden genomen. Vaak gaat dat nu nog over het verdelen van geld of het bepalen in welke richting het protocol van de DAO gebouwd moet worden", zo liet Mathijs van Esch van blockchain-investeringsfonds Maven 11 eerder tegenover RTL Nieuws weten. Bij PeopleDAO worden transacties via een gecentraliseerd Google Docs-formulier verzamelt. Deze transacties worden vervolgens uitgevoerd als vijf van negen personen hier voor stemmen.

PeopleDAO is de opvolger van de ConstitutionDAO, een organisatie die in 2021 nog probeerde om de Amerikaanse Grondwet te kopen. Het heeft als doel gesteld om andere DAO's te ondersteunen die zich bezighouden met het bevorderen van maatschappelijk welzijn en web3. Daarbij keert het elke maand beloningen uit aan mensen die in de betreffende maand de grootste bijdrage aan het project hebben geleverd.

Hiervoor maakt PeopleDAO gebruik van een Google Docs-spreadsheet met personen die in aanmerking komen voor een betaling. Deze spreadsheet moet zoals gezegd door meerdere personen worden goedgekeurd, waarna de betaling plaatsvindt. Onlangs plaatste de hoofdboekhouder van PeopleDAO een spreadsheet met gegadigden, maar die bleek aanpasbaar en niet read-only te zijn. Daardoor was het mogelijk voor onbevoegden om de spreadsheet aan te passen.

Een aanvaller plaatste zijn eigen walletadres in de spreadsheet en maakte dit veld vervolgens verborgen. Geen van de personen die de spreadsheet moesten controleren en goedkeuren zagen het verborgen veld en gaven het akkoord. Vervolgens werd de spreadsheet naar een tool geüpload die automatisch de betalingen uitvoert, waardoor er 120.000 dollar aan ether naar het walletadres van de aanvaller ging, aldus de uitleg van PeopleDAO. De organisatie is bereid de aanvaller 12.000 dollar te betalen als die het gestolen geld binnen twee dagen teruggeeft.