Lesezeit: 8 Minuten
Untersuchung der Social-Engineering-Angriffe auf DAO:
1. Was ist ein DAO?
Dao steht für dezentralisierte autonome Organisation. Okay… aber was bedeutet das? Lassen Sie es uns Wort für Wort aufschlüsseln. Dezentral bedeutet, dass keine einzelne Partei ihr Eigentümer ist und jeder ein Teil davon werden kann. Sich zum Wort autonom zu bewegen, bedeutet etwas, das mit weniger menschlichem Eingreifen funktioniert. Eine Organisation ist eine Gruppe von Menschen, die für ein Ziel oder eine Sache zusammenkommen.
Aber was hat das mit Blockchain zu tun? Da es in unserer heutigen Welt Unternehmen gibt, haben Unternehmen ein Produkt und Produkte haben Benutzer. Das Unternehmen wird anhand verschiedener Parameter bewertet, und verschiedene Vorstandsmitglieder entscheiden über die Zukunft des Unternehmens. DAO ist genau das. Die einzigen Unterschiede bestehen darin, dass sich alles auf einer Blockchain befindet, vollständig transparent ist und von keiner Regierung eines Landes kontrolliert werden kann. WER WILL DAS NICHT? DAOs bieten enorme Möglichkeiten, aber das ist ein anderes Thema für sich.
2. Cybersicherheit ist ein großer Pool
„Cyber Security“ Sie müssen diesen Begriff schon oft gehört haben, aber die meisten haben keine klare Definition. Bei Cybersicherheit geht es nicht nur um Passwörter oder Geld. Es ist eine ganze Welt für sich. Ohne angemessene Anleitung besteht immer ein hohes Risiko, dass eine unbekannte Schwachstelle ausgenutzt wird. Cybersicherheit reicht von einem zufälligen Gespräch mit einem Fremden im Internet bis hin zu all den ausgefallenen Filmszenen, die Sie sich ansehen. Social Engineering ist ein solcher Teil der Cybersicherheit. Lass es uns erkunden.
2.1 Was ist Social Engineering?
Social Engineering im Zusammenhang mit Cybersicherheit ist einfach die Kunst, Informationen zu sammeln oder das System oder die Struktur zu kompromittieren, indem Benutzer manipuliert und menschliche Fehler ausgenutzt werden, um an private Informationen oder Wertgegenstände zu gelangen. Klingt komplex? Lass mich dir helfen.
Sie müssen die Sicherheitsfragen gesehen haben, die einige Websites speichern, um Ihre Identität zu bestätigen, wenn Sie Passwörter vergessen. Stellen Sie sich jetzt ein Szenario vor, in dem Sie einen zufälligen Typen auf Discord treffen und ein bisschen plaudern, nur ein paar grundlegende Dinge wie woher Sie kommen und welches Buch Sie gerne lesen. Welches war das erste Buch, das Sie je gelesen haben? Jetzt so was. Dies ist eine Sicherheitsfrage auf vielen Websites „Wie heißt Ihr Lieblingsbuch?“ Er hat die Antwort bereits; er kann es verwenden, um Ihr Konto zu kompromittieren. Das ist nur eine einfache Art, Social Engineering zu erklären, der Umfang geht sehr weit von diesem einfachen Beispiel weg, aber die Kernkonzepte sind die gleichen.
2.2 Social Engineering im DAO
Wie kann dieses „Social Engineering“ oder „Social Attacks“ im Fall von DAO eingesetzt werden?, darum geht es in diesem Blog. Wir werden einige gängige Möglichkeiten untersuchen, wie böswillige Benutzer DAO brechen können, und erfahren, wie dies verhindert werden kann.
3. Schatzkammer-Exploits
Bevor wir die Exploits des Finanzministeriums verstehen, sollten wir wissen, wie DAO funktioniert, wie Entscheidungen getroffen werden, wer die Entscheidungen trifft usw.
Wie wir wissen, sind DAOs genau wie jede andere Organisation. Wie in der regulären Organisation entscheidet der Vorstand per Abstimmung. Bei DAOs stimmen einige Leute für eine bestimmte Aktion, und wenn die Mehrheit zustimmt, wird die Entscheidung ausgeführt.
Wie erfolgt die Abstimmung in DAOs?:-
Wie in normalen Organisationen liegt das Stimmrecht bei den Vorstandsmitgliedern im Verhältnis zu ihrem Anteil an Aktien und Vermögenswerten an der Organisation. DAOs verwenden einen ähnlichen Mechanismus, DAOs haben ein „Governance-Token“, das an Personen ausgegeben wird, die Teil der Organisation sein möchten, und die Personen, die viel „Governance-Token“ besitzen, haben mehr Kontrolle.
3.1 Was sind Soft-Treasury-Exploits?
Soft-Treasury-Exploits liegen vor, wenn ein Vorschlag zur Gewährung von Geldern an eine Brieftasche im Austausch für zu erledigende Arbeiten übergeben wird, die Arbeit jedoch nicht abgeschlossen wird und der Empfänger das Geld einfach behält. Lass es uns besser verstehen.
Stellen Sie sich nun ein Szenario vor: Eine reguläre Organisation namens Y muss einige Arbeiten erledigen, und einige Vorstandsmitglieder schlagen vor, eine Firma namens Y einzustellen, um die Arbeit zu erledigen, und jetzt nehmen die Vorstandsmitglieder die Abstimmung vor. Übersteigt die Abstimmung das Mehrheitsunternehmen, erhält Y das Projekt. Aber was ist, wenn Unternehmen Y einfach verschwindet, nachdem es die Mittel für das Projekt erhalten hat? Es wird eine Katastrophe.
Dies ist einer der Hauptsicherheitsprobleme in DAOs, Es gab viele Fälle, in denen die DAO-Community Entwickler, Ersteller von Inhalten usw. anstellt, um die Arbeit zu erledigen, aber später finden sie heraus, dass noch Fortschritte erzielt werden müssen und ihre Mittel aufgebraucht sind.
3.2 Was ist die Lösung?
In regulären Organisationen nehmen wir die Hilfe von Justizbehörden in Anspruch, um diese Art von Fehlverhalten zu verhindern. Die beiden Organisationen schließen einen Vertrag ab und müssen mit Strafen rechnen, wenn gegen ihr jeweiliges Ende verstoßen wird. Aber was in web3? Wie wir hier wissen, ist „Kodex das Gesetz“, also nutzen wir diese Tatsache. Anstatt die Gelder auf einmal zu geben, können wir entscheiden, sie im Laufe der Zeit zu streamen, und dies schafft auch Raum, um den Stream per Abstimmung zu stoppen, wenn eine Partei nicht liefert, und all dies kann mit Hilfe eines Smart Contracts dort erfolgen sind einige Protokolle, die nur für diesen Zweck erstellt wurden.
4. Geisterbilder
Photo by Priscilla Du Preez on Unsplash
Wie bereits erwähnt, hat jede Organisation Vorstandsmitglieder, von denen einige wichtiger sind als andere, deren Meinungen und Entscheidungen in den Sitzungen von entscheidender Bedeutung sind. Dies kann daran liegen, dass sie einen hohen Anteil halten oder der Organisation einen Mehrwert bringen. Aber stellen Sie sich für eine Sekunde vor, was passieren würde, wenn sie plötzlich verschwinden und einfach verschwinden würden. Stellen Sie sich vor, wie sich das auf die Organisation auswirken würde. Im realen Szenario kann die Person jedoch irgendwie kontaktiert werden, aber ist dies bei DAO der Fall? Lass es uns herausfinden.
Im Fall von DAOs ist die Situation, da sie regulären Organisationen sehr ähnlich ist, fast die gleiche, wenn ein wichtiger Benutzer geghostet wird. Je nach Art des bestehenden Governance-Systems kann es sogar dazu führen, dass die Gelder für Monate oder Jahre von anderen gesperrt werden. Kurz gesagt, es wird der DAO-Sicherheit sehr schaden, und das Schlimmste ist, dass Sie nicht einmal Kontakt aufnehmen können, wenn sich die Person entscheidet, weil alles in DAO virtuell ist.
Die Absicht hinter Ghosting kann variieren, es kann daran liegen, dass die Person böswillige Absichten hatte oder eine Gesundheitskrise oder ähnliches durchmachte, aber dies ist ein enormes Risiko, da die Menschen Millionen von Dollar in die Verwaltung stecken. Daher ist es besser, einen „Totmannschalter“ beizubehalten. Lassen Sie uns lernen, was dieser Schalter ist.
4.1 Was ist die Lösung?
Totmannschalter ist die Lösung, aber was ist das? und was hat es mit diesem finsteren namen auf sich? Es ist ein Mechanismus, der eingerichtet wurde, um mit Ihrem Vermögen umzugehen, falls Sie sterben oder ansprechbar werden. Das ist kalt. Es kann Ihnen immens helfen, und ich glaube, jeder in Krypto sollte das haben.
Im Grunde funktioniert es so, dass von Zeit zu Zeit eine E-Mail-Überprüfung an das Mitglied gesendet wird, um zu überprüfen, ob es reagiert; Wenn Sie antworten, ist alles in Ordnung, aber wenn Sie dies nicht tun, wird eine Kette von Ereignissen ausgelöst, bei der die entscheidenden Informationen an diejenigen gesendet werden, die Ihnen wichtig sind, wie Ihre privaten Schlüssel, Brieftaschenadressen usw. Sie können solche Dienste selbst finden online.
5. Imitationsangriff
Photo by Phil Shaw on Unsplash
Lassen Sie uns eine lustige Frage beantworten: Wie würden Sie eine Organisation zerstören? Es ist einfach, die leitenden Angestellten zu korrumpieren. Eine Organisation kann also nicht lange bestehen. Was würde passieren, wenn eine einzelne Person Leiter vieler Abteilungen wäre und korrupt würde? Es ist das Ende der Organisation.
Ein ähnlicher Angriff kann in DAO durchgeführt werden. Es ist gruselig. Wie wir wissen, arbeitet DAO nach der Community. Manche Leute schaffen sich einen guten Ruf in der Community. Manche Menschen werden mächtig und einflussreich, und andere verleihen ihnen ein Gefühl der Autorität. Dies kann in jeder Gemeinde gefunden werden. Diese Leute erhalten auch Privilegien in DAO, da sie aktiv sind, und ihre Handlungen scheinen DAO zu begünstigen. Diese Personen können in verschiedene höhere Ämter gewählt werden. Und all diese Community ist über verschiedene digitale soziale Gruppen aktiv, bei denen es sich um Anwendungen wie Discord, Telegram usw. handelt, was es nahezu unmöglich macht, diese Art von Angriff zu erkennen.
Was ist, wenn jemand mehrere Konten erstellt und mit verschiedenen Konten zur Community beiträgt? Wenn er gut darin ist, werden seine Konten zu glaubwürdigen Positionen aufsteigen. Obwohl die Community diese Konten als separate Menschen betrachtet, gehören sie nur einer Person. Nun, wenn die Konten zu glaubwürdigen Positionen aufsteigen, denken Sie darüber nach, wie viel Chaos sie über die DAO bringen können.
Wenn die Person genügend Positionen in DAO hält, kann sie die allgemeine Richtung beeinflussen. Beeinflussen Sie alle entscheidenden Entscheidungen. Alle diese Kontostimmen für eine Sache. Alle diese Konten sagen dasselbe und unterstützen dieselbe Agenda. Das ist wie die Übernahme der gesamten DAO. Der Angreifer kann das DAO sozial manipulieren, um mehr Geld in die Projekte seines Interesses oder böswilliger Projekte zu stecken und am Ende alle Gelder zu verbrauchen. Es ist in der Tat beängstigend.
5.1 Was ist die Lösung?
Diese Angriffe sind schwer abzuwehren, da sich der Angreifer mit anderen Community-Mitgliedern vermischt, und es wird schwierig, diese Art von Angriff vorherzusehen. Die Hauptlösung für diese Angriffe besteht darin, den Auswahlprozess zu erschweren. Um eine Autoritätsposition zu erreichen, müssen sie sich mehr Schwierigkeiten stellen und sich beweisen. Es wird auch empfohlen, sich auf den Aufbau einer größeren engagierten Community zu konzentrieren, um das Risiko solcher Angriffe zu verringern.
6. Wie können Sie die DAO-Sicherheit verbessern?
Eine mögliche Möglichkeit, soziale Angriffe zu bewältigen, besteht darin, sich weniger auf Menschen zu verlassen und alles autonom zu machen. Auf diese Weise gibt es keinen menschlichen Eingriff und keinen Raum für menschliche Fehler, aber dies ist nur manchmal möglich.
Die andere einfache Antwort ist, dass Sie ein Team von Experten brauchen. Es gibt zahlreiche Möglichkeiten, wie das Protokoll kompromittiert werden kann. Sie brauchen also Leute mit Erfahrung und Fachwissen, um das Protokoll abzusichern, die wissen, wie verschiedene Hacks durchgeführt werden und wie man sie angeht.
Wir bei QuillAudits haben ein Team von Experten, die immens zu unserer Vision beitragen, das web3-Ökosystem sicher zu machen, damit mehr Menschen Teil dieser Lösung werden können. Wir setzen uns dafür ein, es zu sichern. Besuchen Sie unsere Website und Holen Sie sich Ihr Web3-Projekt gesichert!
19 Views
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- Über Uns
- Nach
- Konto
- Trading Konten
- Action
- Aktionen
- aktiv
- Adressen
- beeinflussen
- Nach der
- Veranstaltungen
- Alle
- bereits
- Obwohl
- immer
- und
- beantworten
- erwarten
- jemand
- Anwendungen
- Kunst
- Vermögenswert
- Details
- anhängen
- Attacke
- Anschläge
- Wirtschaftsprüfung
- Verwaltung
- Autorität
- Autonom
- basierend
- basic
- Grundsätzlich gilt
- weil
- werden
- hinter
- Glauben
- Besser
- Big
- Bit
- Blockchain
- Blog
- Tafel
- buchen
- Break
- bringen
- Building
- österreichische Unternehmen
- tragen
- Häuser
- Verursachen
- Kette
- aus der Ferne überprüfen
- Überprüfung
- klar
- Menu
- COM
- Kommen
- begangen
- gemeinsam
- community
- Unternehmen
- Unternehmen
- Unternehmen
- abschließen
- Abgeschlossene Verkäufe
- uneingeschränkt
- Komplex
- Kompromiss
- Kompromittiert
- kompromittierend
- Konzepte
- Kontakt
- Inhalt
- Inhaltsentwickler
- Kontext
- Vertrag
- Verträge
- beitragen
- Beitrag
- Smartgeräte App
- Gespräch
- Kernbereich
- Counter
- Landes
- erstellen
- schafft
- Schöpfer
- Kommunikation
- Krise
- wichtig
- Krypto
- Strom
- Cyber-
- Internet-Sicherheit
- Internet-Sicherheit
- schädlich
- DAO
- DAOs
- Deal
- dezentral
- Entscheidung
- Entscheidungen
- gewidmet
- Übergeben
- Abteilungen
- zerstören
- Entwickler
- Sterben
- Unterschiede
- anders
- schwer
- Schwierigkeiten
- digital
- Richtung
- Katastrophe
- Zwietracht
- diskutiert
- Dollar
- Nicht
- nach unten
- Ökosystem
- gewählt
- Mitarbeiter
- Ingenieur
- Entwicklung
- genug
- Fehler
- etc
- Sogar
- Veranstaltungen
- ÜBERHAUPT
- Jedes
- jedermann
- genau
- Beispiel
- übersteigt
- Austausch-
- ERFAHRUNGEN
- Expertise
- Experten
- Erläuterung
- Exploited
- Abenteuer
- ERKUNDEN
- Gesicht
- scheitert
- Finden Sie
- Vorname
- Setzen Sie mit Achtsamkeit
- gefunden
- für
- Spaß
- funktioniert
- Finanzierung
- Mittel
- Zukunft
- Gewinnen
- Sammlung
- Allgemeines
- bekommen
- bekommen
- gegeben
- Unterstützung
- Go
- Kundenziele
- Goes
- gehen
- gut
- Governance
- der Regierung
- gewähren
- Gruppe an
- Gruppen
- Guide
- Kerl
- Hacks
- passieren
- hart
- ganzer
- Gesundheit
- gehört
- Hilfe
- hier
- GUTE
- höher
- Mitarbeiter
- Verleih
- hält
- Ultraschall
- Hilfe
- aber
- HTTPS
- riesig
- human
- Humans
- immens
- Impact der HXNUMXO Observatorien
- schlagkräftig
- wichtig
- unmöglich
- zu unterstützen,
- in
- Information
- beantragen müssen
- Absicht
- Absicht
- Interesse
- Internet
- Intervention
- Herausgegeben
- Probleme
- IT
- selbst
- Behalten
- Tasten
- Art
- Wissen
- größer
- Nachname
- Schicht
- LERNEN
- Rechtlich
- Los
- gemacht
- Main
- Mehrheit
- um
- Making
- manipulieren
- viele
- Mittel
- Mechanismus
- Triff
- Tagungen
- Mitglied
- Mitglieder
- Millionen
- Kommt demnächst...
- Geld
- Monat
- mehr
- vor allem warme
- Film
- ziehen um
- mehrere
- Name
- Namens
- Need
- Bedürfnisse
- und viele
- EINEM
- Online
- Meinungen
- Organisation
- Organisationen
- Andere
- Anders
- besitzen
- Eigentümer
- Parameter
- Teil
- besondere
- Party
- leitet
- Passwörter
- Personen
- person
- PHIL
- Ort
- Plato
- Datenintelligenz von Plato
- PlatoData
- Position
- für einige Positionen
- Möglichkeiten
- möglich
- Potenzial
- Werkzeuge
- größte treibende
- verhindern
- privat
- private Informationen
- Private Schlüssel
- Privilegien
- Prozessdefinierung
- Produkt
- Produkte
- Fortschritt
- Projekt
- Projekte
- ordnungsgemäße
- Angebot
- Protokoll
- Protokolle
- Belegen
- Zweck
- setzen
- Frage
- Fragen
- Quillhash
- zufällig
- erreichen
- Lesen Sie mehr
- realen Welt
- Empfang
- Veteran
- regulär
- antworten
- Ruf
- Auflösung
- diejenigen
- ansprechbar
- Rise
- Risiko
- Zimmer
- Safe
- gleich
- Szenario
- Szenen
- Umfang
- Zweite
- Verbindung
- Sicherung
- Sicherheitdienst
- sieht
- Auswahl
- Sendung
- Sinn
- getrennte
- Lösungen
- Teilen
- Shares
- Short
- sollte
- ähnlich
- Einfacher
- einfach
- Single
- Situation
- smart
- Smart Contracts
- So
- Social Media
- Soziale Technik
- sozial
- SOFT
- Lösung
- einige
- Jemand,
- etwas
- steht
- Anfang
- beginnt
- Einstellung
- Fremder
- Strom
- Struktur
- so
- Support
- Schwanken
- Schalter
- System
- Nehmen
- nimmt
- Einnahme
- Team
- Telegram
- AGB
- Das
- Die Projekte
- ihr
- sich
- Ding
- Durch
- Zeit
- zu
- gemeinsam
- Thema
- transparent
- Schatzkammer
- enorm
- ausgelöst
- verstehen
- -
- Mitglied
- Nutzer
- Wert
- geschätzt
- überprüfen
- Assistent
- Seh-
- Abstimmung
- Stimmen
- Abstimmungen (Votings):
- Verwundbarkeit
- Wallet
- Ansehen
- Wege
- Web3
- Web3-Ökosystem
- web3-Projekt
- Webseite
- Webseiten
- Was
- Was ist
- ob
- welche
- WHO
- ganze
- werden wir
- ohne
- Word
- Arbeiten
- Werk
- weltweit wie ausgehandelt und gekauft ausgeführt wird.
- Wurst
- würde
- Jahr
- Du
- Ihr
- sich selbst
- Zephyrnet