Tiempo de lectura: 8 minutos
Explorando los ataques de ingeniería social en DAO:
1. ¿Qué es una DAO?
Dao significa Organización Autónoma Descentralizada. Está bien... pero ¿qué significa eso? Vamos a desglosarlo palabra por palabra. Descentralizado significa que ningún partido es su propietario y cualquiera puede formar parte de él. Pasar a la palabra autónomo significa algo que funciona con menos intervención humana. Una organización es un grupo de personas que se unen por una meta o causa.
Pero, ¿qué tiene que ver con blockchain? Como hay empresas en nuestro mundo actual, las empresas tienen un producto y los productos tienen usuarios. La empresa se valora en función de diferentes parámetros, y diferentes miembros de la junta deciden el futuro de la empresa. DAO es exactamente eso. Las únicas diferencias son que todo está en una cadena de bloques, completamente transparente, y el gobierno de ningún país puede controlarlo. ¿QUIÉN NO QUIERE ESO? Los DAO tienen enormes posibilidades, pero ese es un tema diferente en sí mismo.
2. La ciberseguridad es un gran grupo
“Seguridad cibernética” debes haber escuchado mucho este término, pero la mayoría no tiene una definición clara. La seguridad cibernética no se trata solo de contraseñas o dinero. Es todo un mundo completo en sí mismo. Sin la orientación adecuada, siempre corre un alto riesgo de que se explote una vulnerabilidad desconocida. La seguridad cibernética abarca desde una conversación aleatoria con un extraño en Internet hasta todas esas escenas de películas elegantes que ves. La ingeniería social es una de esas partes de la seguridad cibernética. Vamos a explorarlo.
2.1 ¿Qué es la ingeniería social?
La ingeniería social en el contexto de la seguridad cibernética es simplemente el arte de recopilar información o comprometer el sistema o la estructura manipulando a los usuarios y explotando el error humano para obtener información privada u objetos de valor. ¿Suena complejo? Deja que te ayude.
Debes haber visto las preguntas de seguridad que guardan algunos sitios web para verificar que eres tú si olvidas las contraseñas. Ahora imagina un escenario en el que conoces a un chico al azar en Discord y tienes un poco de charla, solo algunas cosas básicas como de dónde eres y qué libro te gusta leer. ¿Cuál fue el primer libro que leíste? Cosas así, ahora. Esta es una pregunta de seguridad en muchos sitios web "¿Cuál es el nombre de tu libro favorito?" Él ya tiene la respuesta; él puede usarlo para comprometer su cuenta. Esa es solo una forma simple de explicar la ingeniería social, el alcance va muy lejos de este simple ejemplo, pero los conceptos centrales son los mismos.
2.2 Ingeniería Social en DAO
¿Cómo se puede usar esta “Ingeniería Social” o “Ataques Sociales” en el caso de DAO?, Este blog trata de eso. Exploraremos algunas formas comunes en que los usuarios maliciosos pueden romper DAO y aprenderemos cómo se puede prevenir.
3. Explotaciones del Tesoro
Antes de comprender los exploits del Tesoro, debemos saber cómo funciona DAO, cómo se toman las decisiones, quién toma las decisiones, etc.
Como sabemos, las DAO son exactamente como cualquier otra organización. Como en la organización regular, la junta de miembros decide por votación. En las DAO, algunas personas votan por una acción en particular y, si la mayoría está de acuerdo, la decisión se lleva a cabo.
¿Cómo ocurre la votación en los DAO?:-
Como en las organizaciones regulares, el poder de voto reside en los miembros de la junta en proporción a cuánto poseen la organización en términos de acciones y activos. Los DAO usan un mecanismo similar, los DAO tienen un "token de gobierno" emitido a las personas que quieren ser parte de la organización, y las personas que tienen mucho "token de gobierno" tienen más control.
3.1 ¿Qué son los exploits de tesorería blanda?
Las hazañas blandas de tesorería son cuando se aprueba una propuesta para otorgar fondos a una billetera a cambio de que se realice algún trabajo, pero el trabajo no se completa y el receptor simplemente se queda con el dinero. Entendámoslo mejor.
Ahora, imagine un escenario, alguna organización regular llamada Y necesita que se haga algún trabajo, y algunos miembros de la junta sugieren contratar a una empresa llamada Y para hacer el trabajo, y ahora los miembros de la junta votan. Si el voto supera a la empresa mayoritaria, Y se le otorga el proyecto. Pero, ¿y si la empresa Y simplemente desaparece después de recibir los fondos para el proyecto? Será un desastre.
Este es uno de los principales problemas de seguridad en DAO, Ha habido muchos casos en los que la comunidad de DAO contrata a desarrolladores, creadores de contenido, etc., para hacer el trabajo, pero luego descubren que aún no se ha avanzado y sus fondos se han ido.
3.2 ¿Cuál es la solución?
En las organizaciones regulares, para prevenir este tipo de conductas indebidas, contamos con la ayuda de las autoridades legales. Las dos organizaciones crean un contrato y se enfrentan a sanciones si se viola su respectivo extremo. Pero, ¿qué en web3? Como sabemos aquí, "El código es la ley", así que usamos ese hecho. En lugar de dar los fondos de una sola vez, podemos decidir transmitirlos con el tiempo, y esto también crea espacio para detener la transmisión por votación si alguna de las partes no cumple con la entrega, y todo esto se puede hacer con la ayuda de un contrato inteligente allí. son algunos protocolos hechos solo para este propósito.
4. Fantasma
Foto por Priscilla du Preez on Unsplash
Como se discutió, cada organización tiene miembros de la junta, algunos más importantes que otros, cuyas opiniones y decisiones son cruciales en las reuniones. Puede ser porque tienen una participación alta o aportan valor a la organización. Pero imagina por un segundo lo que sucedería si de repente desaparecieran y simplemente desaparecieran. Imagine cómo afectaría a la organización. Sin embargo, en el escenario del mundo real, la persona puede ser contactada de alguna manera, pero ¿es así en DAO? Vamos a averiguar.
En el caso de las DAO, al ser muy parecidas a las organizaciones regulares, la situación es casi la misma si se hace ghosting a algún usuario importante. Incluso puede terminar bloqueando los fondos durante meses o años de otros en función del tipo de sistema de gobierno implementado. En definitiva, será muy perjudicial para DAO Security, y lo peor es que ni siquiera podrás contactar si la persona decide porque todo es virtual en DAO.
La intención detrás del fantasma puede variar, puede deberse a que la persona tuvo una intención maliciosa o atravesó una crisis de salud o algo así, pero este es un gran riesgo ya que las personas invierten millones de dólares en gobernanza. Por lo tanto, es mejor mantener un "interruptor de hombre muerto". Aprendamos qué es este interruptor.
4.1 ¿Cuál es la solución?
El interruptor de hombre muerto es la solución, pero ¿qué es eso? ¿Y qué pasa con este siniestro nombre? Es un mecanismo que se implementa para tratar con su activo en caso de que muera o responda. Eso es frío. Puede ayudarlo inmensamente, y creo que todos en criptografía deberían tener esto.
Entonces, básicamente, cómo funciona es que, de vez en cuando, se envía un correo electrónico al miembro para verificar si responde; si responde, está bien, pero si no lo hace, se desencadena una cadena de eventos que involucra el envío de información crucial a sus seres queridos, como sus claves privadas, direcciones de billetera, etc. Puede encontrar tales servicios por sí mismo. en línea.
5. Ataque de suplantación de identidad
Foto por phil shaw on Unsplash
Respondamos a una pregunta divertida: ¿Cómo destruirías una organización? Es simple, corromper a los jefes de los empleados. Entonces, una organización no puede durar mucho. ¿Qué pasaría si una sola persona fuera jefe de muchos departamentos y se corrompiera? Es el fin de la organización.
Un ataque similar se puede llevar a cabo en DAO. Da miedo. Como sabemos, DAO funciona de acuerdo a la comunidad. Algunas personas crean una buena reputación en la comunidad. Algunas personas se vuelven poderosas e impactantes, y otras les atribuyen un sentido de autoridad. Esto se puede encontrar en cualquier comunidad. Estas personas también tienen privilegios en DAO ya que están activas y sus acciones parecen favorecer a DAO. Estas personas pueden ser elegidas para diferentes cargos superiores. Y toda esta comunidad está activa en diferentes grupos sociales digitales, que son aplicaciones como discord, telegram, etc., por lo que es casi imposible detectar este tipo de ataque.
¿Qué sucede si alguien crea varias cuentas y comienza a contribuir a la comunidad con diferentes cuentas? Si es bueno en eso, sus cuentas comenzarán a ascender a posiciones de credibilidad. Aunque la comunidad ve esas cuentas como seres humanos separados, pertenecen a una sola persona. Ahora bien, si las cuentas ascienden a posiciones de credibilidad, piense en cuántos estragos pueden causarle a la DAO.
Si la persona ocupa suficientes puestos en DAO, puede influir en la dirección general. Afecta a toda la decisión crucial. Todos estos votos de cuenta para una cosa. Todas esas cuentas dicen lo mismo y apoyan la misma agenda. Esto es como hacerse cargo de todo el DAO. El atacante puede diseñar socialmente el DAO para poner más fondos en los proyectos de su interés o proyecto malicioso y terminar agotando todos los fondos. De hecho, da miedo.
5.1 ¿Cuál es la solución?
Estos ataques son difíciles de contrarrestar porque el atacante se mezcla con otros miembros de la comunidad y es difícil anticipar este tipo de ataque. La principal solución para estos ataques es dificultar el proceso de selección. Para llegar a una posición de autoridad, deberán enfrentar más dificultades y demostrar su valía. También se recomienda enfocarse en construir una comunidad dedicada más grande para reducir el riesgo de tales ataques.
6. ¿Cómo se puede mejorar la seguridad de DAO?
Una forma potencial de abordar los ataques sociales es depender menos de los humanos y hacerlo todo autónomo. De esta manera, no habrá intervención humana ni espacio para el error humano, pero esto solo es posible algunas veces.
La otra respuesta simple es que necesita un equipo de expertos. Hay numerosas formas en que el protocolo puede verse comprometido. Por lo tanto, se necesita gente con experiencia y conocimientos para asegurar el protocolo, que sepa cómo se llevan a cabo los diferentes ataques y cómo abordarlos.
En QuillAudits contamos con un equipo de expertos que contribuyen enormemente a nuestra visión de hacer que el ecosistema web3 sea seguro para que más personas puedan formar parte de esta resolución. Nos comprometemos a asegurarlo. Visite nuestro sitio web y obtenga su proyecto Web3 seguro!
19 Vistas
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- Nuestra Empresa
- Conforme
- Mi Cuenta
- Cuentas
- la columna Acción
- acciones
- lector activo
- direcciones
- afectar
- Después
- agenda
- Todos
- ya haya utilizado
- Aunque
- hacerlo
- y
- https://www.youtube.com/watch?v=xB-eutXNUMXJtA&feature=youtu.be
- anticiparse a
- nadie
- aplicaciones
- Arte
- activo
- Activos
- adjuntar
- atacar
- ataques
- auditoría
- Autoridades
- autoridad
- autónomo
- basado
- básica
- Básicamente
- porque
- a las que has recomendado
- detrás de
- CREEMOS
- mejores
- Big
- Poco
- blockchain
- Blog
- tablero
- primer libro
- Descanso
- llevar
- Construir la
- servicios sociales
- llevar
- case
- Causa
- cadena
- comprobar
- comprobación
- limpiar
- Cerrar
- COM
- viniendo
- comprometido
- Algunos
- vibrante e inclusiva
- Empresas
- compañía
- De la empresa
- completar
- Completado
- completamente
- integraciones
- compromiso
- Comprometida
- comprometer
- conceptos
- contacte
- contenido
- creadores de contenido
- contexto
- contrato
- contratos
- contribuir
- contribuyendo
- control
- Conversación
- Core
- Para contrarrestar
- País del
- Para crear
- crea
- creadores
- Credibilidad
- humanitaria
- crucial
- cripto
- Current
- ciber
- seguridad cibernética
- La Ciberseguridad
- perjudicial
- DAO
- DAOs
- acuerdo
- descentralizado
- Koops
- decisiones
- a dedicados
- entregamos
- departamentos
- destruir
- desarrolladores
- El
- diferencias
- una experiencia diferente
- difícil
- dificultades
- digital
- dirección
- desastre
- discord
- discutido
- dólares
- No
- DE INSCRIPCIÓN
- ecosistema
- elegidos
- personas
- ingeniero
- Ingeniería
- suficientes
- error
- etc.
- Incluso
- Eventos
- NUNCA
- Cada
- todos
- exactamente
- ejemplo
- excede
- Intercambio
- experience
- Experiencia
- expertos
- explicando
- Explotado
- exploits
- explorar
- Cara
- falla
- Encuentre
- Nombre
- Focus
- encontrado
- Desde
- diversión
- funcionamiento
- universidad
- fondos
- futuras
- Obtén
- reunión
- General
- obtener
- conseguir
- dado
- Diezmos y Ofrendas
- Go
- objetivo
- Va
- va
- candidato
- gobierno
- Gobierno
- conceder
- Grupo procesos
- Grupo
- guía
- Chico
- hacks
- suceder
- Difícil
- cabeza
- Salud
- oído
- ayuda
- esta página
- Alta
- más alto
- contrataciones
- Contratación
- mantener
- mantiene
- Cómo
- Como Hacer
- Sin embargo
- HTTPS
- enorme
- humana
- Humanos
- inmensamente
- Impacto
- impactante
- importante
- imposible
- mejorar
- in
- información
- intención
- Intención
- intereses
- Internet
- intervención
- Emitido
- cuestiones
- IT
- sí mismo
- Guardar
- claves
- Tipo
- Saber
- mayores
- Apellidos
- .
- APRENDE:
- Legal
- Lote
- hecho
- Inicio
- Mayoría
- para lograr
- Realizar
- manipulando
- muchos
- significa
- mecanismo
- Conoce a
- reuniones
- miembro
- Miembros
- millones
- que falta
- dinero
- meses
- más,
- MEJOR DE TU
- película
- emocionante
- múltiples
- nombre
- Llamado
- ¿ Necesita ayuda
- numeroso
- ONE
- en línea
- Opiniones
- organización
- Organización
- Otro
- Otros
- EL DESARROLLADOR
- propietario
- parámetros
- parte
- particular
- fiesta
- pasa
- contraseñas
- Personas
- persona
- PHIL
- Colocar
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- posición
- abiertas
- POSIBILIDADES
- posible
- posible
- industria
- poderoso
- evitar
- privada
- información privada
- Llaves privadas
- privilegios
- Producto
- Productos
- Progreso
- proyecto
- proyecta
- apropiado
- propuesta
- protocolo
- protocolos
- Demostrar.
- propósito
- poner
- pregunta
- Preguntas
- hachís
- azar
- en comunicarse
- Leer
- mundo real
- aprovecha
- reducir
- regular
- responder
- reputación
- Resolución
- aquellos
- sensible
- Subir
- Riesgo
- Conferencia
- ambiente seguro
- mismo
- guión
- Escenas
- alcance
- Segundo
- seguro
- asegurar
- EN LINEA
- ve
- selección
- enviando
- sentido
- separado
- Servicios
- Compartir
- Acciones
- En Corto
- tienes
- similares
- sencillos
- simplemente
- soltero
- situación
- inteligente
- Contratos Inteligentes
- So
- Social
- Ingeniería social
- socialmente
- Soft
- a medida
- algo
- Alguien
- algo
- es la
- comienzo
- comienza
- parada
- extranjero
- stream
- estructura
- tal
- SOPORTE
- Influencia
- Switch
- te
- ¡Prepárate!
- toma
- toma
- equipo
- Telegram
- términos
- La
- Los proyectos
- su
- sí mismos
- cosa
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- equipo
- a
- juntos
- tema
- transparente
- tesorería
- tremendo
- desencadenados
- entender
- utilizan el
- Usuario
- usuarios
- propuesta de
- valorado
- verificar
- Virtual
- visión
- Votar
- votos
- Votar
- vulnerabilidad
- Billetera
- Ver ahora
- formas
- Web3
- Ecosistema Web3
- proyecto web3
- Página web
- sitios web
- ¿
- Que es
- sean
- que
- QUIENES
- todo
- seguirá
- sin
- Palabra
- Actividades:
- funciona
- mundo
- Peor
- se
- años
- Usted
- tú
- a ti mismo
- zephyrnet