Læsetid: 8 minutter
Udforsker de sociale ingeniørmæssige angreb på DAO:
1. Hvad er en DAO?
Dao står for Decentralized Autonomous Organisation. Okay... men hvad betyder det? Lad os bryde det ned ord for ord. Decentraliseret betyder, at ingen enkelt part er dens ejer, og enhver kan blive en del af den. At flytte til ordet autonom betyder noget, der fungerer med mindre menneskelig indgriben. En organisation er en gruppe mennesker, der samles om et mål eller en sag.
Men hvad har det med blockchain at gøre? Da der er virksomheder i vores nuværende verden, har virksomheder et produkt, og produkter har brugere. Virksomheden værdiansættes ud fra forskellige parametre, og forskellige bestyrelsesmedlemmer bestemmer virksomhedens fremtid. DAO er præcis det. De eneste forskelle er, at det hele er på en blockchain, fuldstændig gennemsigtigt, og intet lands regering kan kontrollere det. HVEM VIL IKKE DET? DAO'er rummer enorme muligheder, men det er et andet emne i sig selv.
2. Cybersikkerhed er en stor pulje
"Cybersikkerhed" du må have hørt dette udtryk meget, men de fleste har ikke en klar definition. Cybersikkerhed handler ikke kun om adgangskoder eller penge. Det er en hel verden i sig selv. Uden ordentlig vejledning har du altid en høj risiko for at få en ukendt sårbarhed udnyttet. Cybersikkerhed spænder fra en tilfældig samtale med en fremmed på internettet til alle de fancy filmscener, du ser. Social Engineering er en sådan del af cybersikkerhed. Lad os udforske det.
2.1 Hvad er social engineering?
Social Engineering i forbindelse med cybersikkerhed er simpelthen kunsten at indsamle information eller kompromittere systemet eller strukturen ved at manipulere brugere og udnytte menneskelige fejl til at få privat information eller værdigenstande. Lyder det komplekst? Lad mig hjælpe dig.
Du skal have set de sikkerhedsspørgsmål, som nogle websteder opbevarer for at bekræfte, at det er dig, hvis du glemmer adgangskoder. Forestil dig nu et scenarie, hvor du møder en tilfældig fyr i uenighed og har en lille snak, bare nogle grundlæggende ting som hvor du er fra, og hvilken bog du kan lide at læse. Hvilken bog var den første du læste? Sådan noget nu. Dette er et sikkerhedsspørgsmål på mange websteder "Hvad er navnet på din yndlingsbog?" Han har allerede svaret; han kan bruge det til at kompromittere din konto. Det er bare en simpel måde at forklare social engineering på, rækkevidden går meget langt fra dette simple eksempel, men kernebegreberne er de samme.
2.2 Social Engineering i DAO
Hvordan kan denne "Social Engineering" eller "Social Attacks" bruges i tilfælde af DAO?, Denne blog handler om det. Vi vil undersøge nogle almindelige måder, hvorpå ondsindede brugere kan bryde DAO og lære, hvordan det kan forhindres.
3. Treasury udnyttelse
Før vi forstår finansministeriets udnyttelser, bør vi vide, hvordan DAO fungerer, hvordan beslutninger tages, hvem der træffer beslutningerne osv.
Som vi ved, er DAO'er præcis som enhver anden organisation. Som ved almindelig organisering beslutter medlemsbestyrelsen ved afstemning. I DAO'er stemmer nogle mennesker for en bestemt handling, og hvis flertallet er enig, gennemføres beslutningen.
Hvordan foregår afstemning i DAO'er?:-
Som i almindelige organisationer ligger stemmekraften hos bestyrelsesmedlemmer i forhold til, hvor meget de ejer organisationen i form af aktier og aktiver. DAO'er bruger en lignende mekanisme, DAO'er har et "Governance-token" udstedt til folk, der ønsker at være en del af organisationen, og de mennesker, der har meget "Governance Token" er mere i kontrol.
3.1 Hvad er soft treasury exploits?
Soft treasury exploits er, når et forslag går igennem om at bevilge penge til en tegnebog i bytte for noget arbejde, der skal udføres, men arbejdet ikke bliver afsluttet, og modtageren beholder simpelthen pengene. Lad os forstå det bedre.
Forestil dig nu et scenarie: En eller anden almindelig organisation ved navn Y har brug for noget arbejde, og nogle bestyrelsesmedlemmer foreslår at hyre et firma ved navn Y til at udføre arbejdet, og nu tager bestyrelsesmedlemmerne afstemningen. Hvis afstemningen overstiger majoritetsvirksomheden, får Y projektet. Men hvad nu hvis virksomhed Y bare forsvinder efter at have modtaget midlerne til projektet? Det bliver en katastrofe.
Dette er en af de vigtigste sikkerhedsproblemer i DAO'er, Der har været mange tilfælde, hvor DAO-fællesskabet hyrer udviklere, indholdsskabere osv. for at få arbejdet gjort, men senere finder de ud af, at der endnu ikke er gjort fremskridt, og deres midler er væk.
3.2 Hvad er løsningen?
I almindelige organisationer tager vi hjælp fra juridiske myndigheder for at forhindre denne form for forseelse. De to organisationer opretter en kontrakt og står over for bøder, hvis deres respektive ende bliver overtrådt. Men hvad i web3? Som vi ved her, "Code er loven", så vi bruger det faktum. I stedet for at give midlerne på én gang, kan vi beslutte at streame dem over tid, og det skaber også plads til at stoppe streamen ved afstemning, hvis et parti ikke leverer, og alt dette kan gøres ved hjælp af en Smart Contracts der er nogle protokoller lavet netop til dette formål.
4. Ghosting
Photo by Priscilla Du Preez on Unsplash
Som nævnt har enhver organisation bestyrelsesmedlemmer, nogle vigtigere end andre, hvis meninger og beslutninger er afgørende på møderne. Det kan være, fordi de har en høj andel eller tilfører værdi til organisationen. Men forestil dig et øjeblik, hvad der ville ske, hvis de pludselig forsvandt og bare forsvandt. Forestil dig, hvordan det ville påvirke organisationen. Men i den virkelige verden kan personen kontaktes på en eller anden måde, men er det tilfældet i DAO? Lad os finde ud af det.
I tilfælde af DAO'er, da det minder meget om almindelige organisationer, er situationen næsten den samme, hvis en vigtig bruger er spøget. Det kan endda ende med at låse midlerne i måneder eller år for andre baseret på den type styringssystem, der er på plads. Det vil kort sagt være meget skadeligt for DAO Security, og det værste er, at man ikke engang kan tage kontakt, hvis personen bestemmer sig, fordi det hele er virtuelt i DAO.
Hensigten bag ghosting kan variere, det kan være fordi personen havde ondsindede hensigter eller gik igennem en helbredskrise eller noget, men dette er en enorm risiko, da folk sætter millioner af dollars i regeringsførelse. Derfor er det bedre at beholde en "dødmandskontakt", lad os lære, hvad denne kontakt er.
4.1 Hvad er løsningen?
Deadman's switch er løsningen, men hvad er det? og hvad er der med dette skumle navn? Det er en mekanisme, der er indført for at håndtere dit aktiv, hvis du dør eller bliver lydhør. Det er koldt. Det kan hjælpe dig enormt, og jeg mener, at alle i krypto burde have dette.
Så dybest set, hvordan det fungerer, er, at der en gang imellem sendes et e-mailtjek til medlemmet, der tjekker, om han/hun er lydhør; hvis du svarer, er det i orden, men hvis du ikke gør det, udløses en kæde af begivenheder, som involverer at sende den afgørende information til dem, du holder af, såsom dine private nøgler, tegnebogsadresser osv. Du kan selv finde sådanne tjenester. online.
5. Efterligningsangreb
Photo by Phil Shaw on Unsplash
Lad os besvare et sjovt spørgsmål: Hvordan ville du ødelægge en organisation? Det er enkelt, korrumpere de overordnede medarbejdere. En organisation kan altså ikke holde til meget. Hvad ville der ske, hvis en enkelt person var leder af mange afdelinger, og han blev korrupt? Det er enden på organisationen.
Et lignende angreb kan udføres i DAO. Det er skræmmende. DAO arbejder som bekendt efter fællesskabet. Nogle mennesker skaber et godt omdømme i samfundet. Nogle mennesker bliver magtfulde og virkningsfulde, og andre tillægger dem en følelse af autoritet. Dette kan findes i ethvert fællesskab. Disse mennesker får også privilegier i DAO, da de er aktive, og deres handlinger synes at favorisere DAO. Disse personer kan vælges til forskellige højere stillinger. Og alt dette fællesskab er aktivt over forskellige digitale sociale grupper, som er applikationer som discord, telegram osv., hvilket gør det tæt på umuligt at opdage denne type angreb.
Hvad hvis nogen opretter flere konti og begynder at bidrage til fællesskabet med forskellige konti? Hvis han er god til det, vil hans regnskaber begynde at stige til troværdighedspositioner. Selvom samfundet ser disse konti som separate mennesker, tilhører de kun én person. Nu, hvis regnskabet stiger til troværdighedspositioner, så tænk på, hvor meget kaos de kan bringe over DAO.
Hvis personen har nok stillinger i DAO, kan han/hun svinge den generelle retning. Påvirker alle de afgørende beslutninger. Alle disse kontoer stemmer for én ting. Alle disse beretninger siger det samme og understøtter den samme dagsorden. Det er som at overtage hele DAO. Angriberen kan socialt konstruere DAO til at lægge mere midler i projekterne af hans interesse eller ondsindede projekt og ende med at dræne alle midlerne. Det er virkelig skræmmende.
5.1 Hvad er løsningen?
Disse angreb er svære at imødegå, fordi angriberen blander sig med andre fællesskabsmedlemmer, og det bliver svært at forudse denne form for angreb. Den vigtigste løsning på disse angreb er at gøre udvælgelsesprocessen svær. For at nå en autoritetsposition bliver de nødt til at stå over for flere vanskeligheder og bevise sig selv. Det anbefales også at fokusere på at opbygge et større dedikeret fællesskab for at reducere risikoen for sådanne angreb.
6. Hvordan kan du forbedre DAO-sikkerheden?
En potentiel måde at tackle sociale angreb på er at stole mindre på mennesker og gøre det hele selvstændigt. På denne måde vil der ikke være nogen menneskelig indgriben og ingen plads til menneskelige fejl, men det er kun nogle gange muligt.
Det andet enkle svar er, at du har brug for et team af eksperter. Der er adskillige måder, hvorpå protokollen kan kompromitteres. Du har således brug for folk med erfaring og ekspertise til at sikre protokollen, som ved, hvordan forskellige hacks udføres, og hvordan de tackles.
Vi hos QuillAudits har et team af eksperter, som bidrager enormt til vores vision om at gøre web3-økosystemet sikkert, så flere mennesker kan blive en del af denne løsning. Vi er forpligtet til at sikre det. Besøg vores hjemmeside og få dit Web3-projekt sikret!
19 Views
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- Om
- Ifølge
- Konto
- Konti
- Handling
- aktioner
- aktiv
- adresser
- påvirke
- Efter
- dagsorden
- Alle
- allerede
- Skønt
- altid
- ,
- besvare
- foregribe
- nogen
- applikationer
- Kunst
- aktiv
- Aktiver
- vedhæfte
- angribe
- Angreb
- revision
- Myndigheder
- myndighed
- autonom
- baseret
- grundlæggende
- I bund og grund
- fordi
- bliver
- bag
- Tro
- Bedre
- Big
- Bit
- blockchain
- Blog
- board
- bog
- Pause
- bringe
- Bygning
- hvilken
- bære
- tilfælde
- Årsag
- kæde
- kontrollere
- kontrol
- klar
- Luk
- KOM
- kommer
- engageret
- Fælles
- samfund
- Virksomheder
- selskab
- Selskabs
- fuldføre
- Afsluttet
- fuldstændig
- komplekse
- kompromis
- Kompromitteret
- at gå på kompromis
- begreber
- kontakt
- indhold
- indhold skabere
- sammenhæng
- kontrakt
- kontrakter
- bidrage
- bidrager
- kontrol
- Samtale
- Core
- Counter
- lands
- skabe
- skaber
- skabere
- Troværdighed
- krise
- afgørende
- krypto
- Nuværende
- Cyber
- cybersikkerhed
- Cybersecurity
- beskadige
- DAO
- DAOs
- deal
- decentral
- beslutning
- afgørelser
- dedikeret
- levere
- afdelinger
- ødelægge
- udviklere
- Die
- forskelle
- forskellige
- svært
- vanskeligheder
- digital
- retning
- katastrofe
- disharmoni
- drøftet
- dollars
- Dont
- ned
- økosystem
- valgt
- medarbejdere
- ingeniør
- Engineering
- nok
- fejl
- etc.
- Endog
- begivenheder
- NOGENSINDE
- Hver
- alle
- præcist nok
- eksempel
- overstiger
- udveksling
- erfaring
- ekspertise
- eksperter
- forklarer
- Exploited
- exploits
- udforske
- Ansigtet
- mislykkes
- Finde
- Fornavn
- Fokus
- fundet
- fra
- sjovt
- fungerer
- finansiering
- fonde
- fremtiden
- Gevinst
- indsamling
- Generelt
- få
- få
- given
- Give
- Go
- mål
- Goes
- gå
- godt
- regeringsførelse
- Regering
- indrømme
- gruppe
- Gruppens
- vejlede
- Guy
- hacks
- ske
- Hård Ost
- hoved
- Helse
- hørt
- hjælpe
- link.
- Høj
- højere
- ansættelser
- Ansættelse
- hold
- besidder
- Hvordan
- How To
- Men
- HTTPS
- kæmpe
- menneskelig
- Mennesker
- uhyre
- KIMOs Succeshistorier
- effektfuld
- vigtigt
- umuligt
- Forbedre
- in
- oplysninger
- i stedet
- hensigt
- Intention
- interesse
- Internet
- indgriben
- Udstedt
- spørgsmål
- IT
- selv
- Holde
- nøgler
- Venlig
- Kend
- større
- Efternavn
- lag
- LÆR
- Politikker
- Lot
- lavet
- Main
- Flertal
- lave
- Making
- manipulere
- mange
- midler
- mekanisme
- Mød
- møder
- medlem
- Medlemmer
- millioner
- mangler
- penge
- måned
- mere
- mest
- film
- flytning
- flere
- navn
- Som hedder
- Behov
- behov
- talrige
- ONE
- online
- Udtalelser
- organisation
- organisatorisk
- Andet
- Andre
- egen
- ejer
- parametre
- del
- særlig
- part
- gennemløb
- Nulstilling/ændring af adgangskoder
- Mennesker
- person,
- PHIL
- Place
- plato
- Platon Data Intelligence
- PlatoData
- position
- positioner
- muligheder
- mulig
- potentiale
- magt
- vigtigste
- forhindre
- private
- privat information
- Private nøgler
- privilegier
- behandle
- Produkt
- Produkter
- Progress
- projekt
- projekter
- passende
- forslag
- protokol
- protokoller
- Bevise
- formål
- sætte
- spørgsmål
- Spørgsmål
- Quillhash
- tilfældig
- nå
- Læs
- virkelige verden
- modtagende
- reducere
- fast
- svar
- omdømme
- Løsning
- dem
- lydhør
- Rise
- Risiko
- Værelse
- sikker
- samme
- scenarie
- scener
- rækkevidde
- Anden
- sikker
- fastgørelse
- sikkerhed
- Sees
- valg
- afsendelse
- forstand
- adskille
- Tjenester
- Del
- Aktier
- Kort
- bør
- lignende
- Simpelt
- ganske enkelt
- enkelt
- Situationen
- Smart
- Smarte kontrakter
- So
- Social
- Samfundsteknologi
- socialt
- Soft
- løsninger
- nogle
- Nogen
- noget
- står
- starte
- starter
- standsning
- fremmed
- strøm
- struktur
- sådan
- support
- Sway
- Kontakt
- systemet
- Tag
- tager
- tager
- hold
- Telegram
- vilkår
- Projekterne
- deres
- selv
- ting
- Gennem
- tid
- til
- sammen
- emne
- gennemsigtig
- statskassen
- enorm
- udløst
- forstå
- brug
- Bruger
- brugere
- værdi
- værdiansættes
- verificere
- Virtual
- vision
- Stem
- stemmer
- Afstemningen
- sårbarhed
- tegnebog
- Ur
- måder
- Web3
- Web3 økosystem
- web3 projekt
- Hjemmeside
- websites
- Hvad
- Hvad er
- hvorvidt
- som
- WHO
- Hele
- vilje
- uden
- ord
- Arbejde
- virker
- world
- Værst
- ville
- år
- Du
- Din
- dig selv
- zephyrnet