Lugemise aeg: 8 protokoll
DAO vastu suunatud sotsiaalse manipuleerimise rünnakute uurimine:
1. Mis on DAO?
Dao tähistab detsentraliseeritud autonoomset organisatsiooni. Olgu… aga mida see tähendab? Jagame selle sõna-sõnalt lahti. Detsentraliseeritud tähendab, et ükski osapool ei ole selle omanik ja igaüks võib saada selle osaks. Sõna autonoomne juurde liikumine tähendab midagi, mis toimib vähema inimliku sekkumisega. Organisatsioon on rühm inimesi, kes tulevad kokku eesmärgi või eesmärgi nimel.
Aga mis on sellel pistmist plokiahelaga? Nagu meie praeguses maailmas on ettevõtteid, on ettevõtetel toode ja toodetel kasutajad. Ettevõtet hinnatakse erinevate parameetrite alusel ning ettevõtte tuleviku üle otsustavad erinevad juhatuse liikmed. DAO on täpselt see. Ainsad erinevused seisnevad selles, et see kõik on plokiahelas, täiesti läbipaistev ja ühegi riigi valitsus ei saa seda kontrollida. KES SEDA EI TAHA? DAO-d pakuvad tohutuid võimalusi, kuid see on omaette teema.
2. Küberturvalisus on suur bassein
"Küberturvalisus" olete seda terminit kindlasti palju kuulnud, kuid enamikul pole selget määratlust. Küberturvalisus ei seisne ainult paroolides või rahas. See on omaette terviklik maailm. Ilma nõuetekohase juhendamiseta on teil alati suur oht saada ära tundmatu haavatavus. Küberturvalisus ulatub juhuslikust vestlusest võõra inimesega Internetis kuni kõigi nende väljamõeldud filmistseenideni, mida vaatate. Sotsiaalne insener on üks selline osa küberturvalisusest. Uurime seda.
2.1 Mis on sotsiaalne manipuleerimine?
Sotsiaalne insener küberturvalisuse kontekstis on lihtsalt teabe kogumise või süsteemi või struktuuri kompromiteerimise kunst, manipuleerides kasutajatega ja kasutades ära inimlikke eksimusi privaatse teabe või väärisesemete hankimiseks. Kõlab keeruliselt? Las ma aitan sind.
Olete kindlasti näinud turvaküsimusi, mida mõned veebisaidid hoiavad, et paroolide unustamise korral teie isikut kinnitada. Kujutage nüüd ette stsenaariumi, kus kohtute juhusliku tüübiga lahkhelides ja vestlete veidi, vaid mõned põhilised asjad, näiteks kust te pärit olete ja millist raamatut teile lugeda meeldib. Mis oli esimene raamat, mida sa kunagi lugesid? Sellised asjad nüüd. See on turvaküsimus paljudel veebisaitidel "Mis on teie lemmikraamatu nimi?" Tal on vastus juba olemas; ta võib seda kasutada teie konto ohustamiseks. See on lihtsalt lihtne viis sotsiaalse inseneri selgitamiseks, ulatus on sellest lihtsast näitest väga kaugel, kuid põhimõisted on samad.
2.2 Sotsiaalne inseneritöö DAO-s
Kuidas saab seda "sotsiaalset inseneritööd" või "sotsiaalseid rünnakuid" DAO puhul kasutada?, See blogi on sellest kõigest. Uurime mõningaid levinumaid viise, kuidas pahatahtlikud kasutajad võivad DAO-d murda ja kuidas seda ennetada.
3. Treasury Exploits
Enne kui mõistame riigikassa tegevusi, peaksime teadma, kuidas DAO töötab, kuidas otsuseid vastu võetakse, kes otsuseid teeb jne.
Nagu me teame, on DAO-d täpselt nagu iga teine organisatsioon. Nagu tavakorralduses, otsustab liikmete juhatus hääletamise teel. DAO-des hääletavad mõned inimesed konkreetse tegevuse poolt ja kui enamus on sellega nõus, siis otsus täidetakse.
Kuidas DAO-des hääletamine toimub?:-
Nagu tavalistes organisatsioonides, on hääleõigus juhatuse liikmetel proportsionaalselt sellega, kui palju neile organisatsioonis aktsiaid ja varasid kuulub. DAO-d kasutavad sarnast mehhanismi, DAO-del on “valitsemismärk”, mis väljastatakse inimestele, kes soovivad organisatsioonis osaleda, ja inimesed, kellel on palju “valitsemismärki”, kontrollivad rohkem.
3.1 Mis on pehmed riigikassa ärakasutamised?
Pehmed riigikassa ärakasutamised on siis, kui tehakse ettepanek rahakotti raha anda vastutasuks mõne tehtud töö eest, kuid töö ei jõua lõpuni ja raha saaja lihtsalt jätab raha endale. Mõistame seda paremini.
Kujutage nüüd ette stsenaariumit. Mõni tavaline organisatsioon nimega Y vajab tööd ja mõned juhatuse liikmed soovitavad palgata selle töö tegemiseks firma nimega Y ning nüüd hääletavad juhatuse liikmed. Kui hääl ületab enamusettevõtte, antakse Y-le projekt. Aga mis siis, kui ettevõte Y lihtsalt kaob pärast projekti jaoks raha saamist? Sellest saab katastroof.
See on üks peamised turvaprobleemid DAO-des, On olnud palju juhtumeid, kui DAO kogukond palkab töö tegemiseks arendajaid, sisuloojaid jne, kuid hiljem avastavad nad, et edusammud on veel tegemata ja nende vahendid on otsas.
3.2 Mis on lahendus?
Tavalistes organisatsioonides kasutame seda tüüpi üleastumise ärahoidmiseks õigusasutuste abi. Mõlemad organisatsioonid sõlmivad lepingu ja neid karistatakse, kui nende eesmärki rikutakse. Aga mis web3-s? Nagu me siin teame, "koodeks on seadus", kasutame seda fakti. Selle asemel, et raha ühe hooga anda, saame otsustada need aja jooksul voogesitada ning see loob ruumi ka hääletuse teel voogesituse peatamiseks, kui mõni osapool ei suuda ellu viia, ning kõike seda saab teha nutikate lepingute abil. on mõned protokollid, mis on tehtud just sel eesmärgil.
4. Kummitus
Foto: Priscilla Du Preez on Unsplash
Nagu öeldud, on igas organisatsioonis juhatuse liikmed, mõned tähtsamad kui teised, kelle arvamused ja otsused on koosolekutel üliolulised. See võib olla tingitud sellest, et neil on suur osalus või nad toovad organisatsioonile väärtust. Kuid kujutage korraks ette, mis juhtuks, kui nad äkki kaoksid ja lihtsalt kaoksid. Kujutage ette, kuidas see organisatsioonile mõjuks. Päris stsenaariumi puhul saab inimesega siiski kuidagi ühendust, aga kas DAO puhul on see nii? Uurime välja.
DAO-de puhul, kuna see on väga sarnane tavaliste organisatsioonidega, on olukord peaaegu sama, kui mõnda olulist kasutajat kummitatakse. See võib isegi lõppeda teiste rahade lukustamise kuudeks või aastateks, lähtudes kehtivast juhtimissüsteemist. Lühidalt öeldes kahjustab see DAO turvalisust väga ja halvim on see, et te ei saa isegi ühendust võtta, kui inimene otsustab, kuna see kõik on DAO-s virtuaalne.
Toimumise taga olev kavatsus võib varieeruda, põhjuseks võib olla pahatahtlik kavatsus või tervisekriis või midagi muud, kuid see on tohutu risk, kuna inimesed panevad valitsemisse miljoneid dollareid. Seetõttu on parem hoida "surnud inimese lülitit" ja uurime, mis see lüliti on.
4.1 Mis on lahendus?
Deadmani lüliti on lahendus, aga mis see on? ja mis selle kurja nimega on? See on mehhanism, mis on loodud teie varaga tegelemiseks juhuks, kui surete või hakkate reageerima. See on külm. See võib teid tohutult aidata ja ma usun, et see peaks kõigil krüptoteenustega tegeleval olema.
Põhimõtteliselt see toimib nii, et iga nii sageli saadetakse liikmele meilikontroll, mis kontrollib, kas ta reageerib; kui vastate, on kõik korras, aga kui te seda ei tee, vallandub sündmuste ahel, mis hõlmab olulise teabe saatmist neile, kellest hoolite, nagu teie privaatvõtmed, rahakoti aadressid jne. Selliseid teenuseid saate ise leida. võrgus.
5. Rünnak kellegi teisena esinemises
Vastame lõbusale küsimusele, kuidas hävitaksite organisatsiooni? See on lihtne, korrumpeerunud peatöötajad. Organisatsioon ei saa siis kaua kesta. Mis juhtuks, kui üks inimene oleks mitme osakonna juhataja ja ta korrumpeerub? See on organisatsiooni lõpp.
Sarnase rünnaku saab läbi viia ka DAO-s. See on hirmus. Nagu me teame, töötab DAO vastavalt kogukonnale. Mõned inimesed loovad kogukonnas hea maine. Mõned inimesed muutuvad võimsaks ja mõjukaks ning teised omistavad neile autoriteeti. Seda võib leida igast kogukonnast. Neile inimestele antakse DAO-s ka privileegid, kuna nad on aktiivsed, ja nende tegevus näib soosivat DAO-d. Neid inimesi saab valida erinevatele kõrgematele ametikohtadele. Ja kogu see kogukond on aktiivne erinevates digitaalsetes sotsiaalsetes rühmades, milleks on sellised rakendused nagu ebakõla, telegramm jne, muutes seda tüüpi rünnakute tuvastamise peaaegu võimatuks.
Mis siis, kui keegi loob mitu kontot ja hakkab kogukonda erinevate kontodega panustama? Kui ta on selles hea, hakkavad tema kontod tõusma usaldusväärsetele kohtadele. Kuigi kogukond näeb neid kontosid eraldiseisvate inimestena, kuuluvad need ainult ühele inimesele. Nüüd, kui kontod tõusevad usaldusväärsuseni, mõelge, kui palju kaost need DAO-le võivad tuua.
Kui inimesel on DAO-s piisavalt positsioone, saab ta üldist suunda muuta. Mõjutab kõiki olulisi otsuseid. Kõik need konto hääled ühe asja poolt. Kõik need kontod räägivad sama asja ja toetavad sama tegevuskava. See on nagu kogu DAO ülevõtmine. Ründaja saab DAO-d sotsiaalselt kujundada, et investeerida rohkem raha tema huvipakkuvatesse või pahatahtlikesse projektidesse ja lõpuks kogu raha ära kasutada. See on tõesti hirmutav.
5.1 Mis on lahendus?
Nendele rünnakutele on raske vastu seista, kuna ründaja sulandub teiste kogukonnaliikmetega ja seda tüüpi rünnakuid on raske ette näha. Nende rünnakute peamine lahendus on muuta valikuprotsess raskeks. Autoriteedile jõudmiseks peavad nad silmitsi seisma rohkemate raskustega ja end tõestama. Samuti on soovitatav keskenduda suurema pühendunud kogukonna loomisele, et vähendada selliste rünnakute ohtu.
6. Kuidas saate DAO turvalisust parandada?
Üks potentsiaalne viis sotsiaalsete rünnakutega toimetulemiseks on vähem inimeste peale loota ja kõik autonoomseks muuta. Nii ei toimu inimese sekkumist ega ruumi inimlikele eksimustele, kuid see on võimalik vaid mõnikord.
Teine lihtne vastus on, et vajate ekspertide meeskonda. Protokolli saab kahjustada mitmel viisil. Seega vajate protokolli turvamiseks kogemuste ja teadmistega inimesi, kes teavad, kuidas erinevaid häkke tehakse ja kuidas nendega toime tulla.
Meil QuillAuditsis on ekspertide meeskond, kes aitab tohutult kaasa meie visioonile muuta web3 ökosüsteem turvaliseks, et rohkem inimesi saaks sellest otsusest osa saada. Oleme pühendunud selle kindlustamisele. Külastage meie veebisaiti ja kindlustage oma Web3 projekt!
19 views
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- MEIST
- Vastavalt
- konto
- Kontod
- tegevus
- meetmete
- aktiivne
- aadressid
- mõjutada
- pärast
- päevakord
- Materjal: BPA ja flataatide vaba plastik
- juba
- Kuigi
- alati
- ja
- vastus
- ennetada
- keegi
- rakendused
- Kunst
- eelis
- vara
- kinnitage
- rünnak
- Reageerib
- auditeerimine
- Asutused
- asutus
- autonoomne
- põhineb
- põhiline
- Põhimõtteliselt
- sest
- muutuma
- taga
- Uskuma
- Parem
- Suur
- Natuke
- blockchain
- Blogi
- juhatus
- raamat
- Murdma
- tooma
- Ehitus
- mis
- viima
- juhul
- Põhjus
- kett
- kontrollima
- kontroll
- selge
- lähedal
- COM
- tulevad
- toime pandud
- ühine
- kogukond
- Ettevõtted
- ettevõte
- Ettevõtte omad
- täitma
- Lõpetatud
- täiesti
- keeruline
- kompromiss
- Kompromissitud
- kompromiteeriv
- mõisted
- kontakt
- sisu
- sisu loojad
- kontekst
- leping
- lepingud
- aitama kaasa
- kaasa
- kontrollida
- Vestlus
- tuum
- Võidelda
- riigi
- looma
- loob
- loojad
- usutavus
- kriis
- otsustav
- krüpto
- Praegune
- cyber
- küberturvalisus
- Küberturvalisus
- kahjustamine
- DAO
- DAOd
- tegelema
- detsentraliseeritud
- otsus
- otsused
- pühendunud
- tarnima
- osakonnad
- hävitama
- Arendajad
- Surema
- erinevused
- erinev
- raske
- raskusi
- digitaalne
- suund
- katastroof
- ebakõla
- arutatud
- dollarit
- Ära
- alla
- ökosüsteemi
- valitud
- töötajad
- insener
- Inseneriteadus
- piisavalt
- viga
- jms
- Isegi
- sündmused
- KUNAGI
- Iga
- igaüks
- täpselt
- näide
- ületab
- vahetamine
- kogemus
- teadmised
- ekspertide
- selgitades
- Exploited
- ärakasutamine
- uurima
- nägu
- ei
- leidma
- esimene
- Keskenduma
- avastatud
- Alates
- lõbu
- toimimine
- rahastamise
- raha
- tulevik
- kasu
- kogumine
- Üldine
- saama
- saamine
- antud
- andmine
- Go
- eesmärk
- Goes
- läheb
- hea
- valitsemistava
- Valitsus
- anda
- Grupp
- Grupi omad
- suunata
- mees
- hacks
- juhtuda
- Raske
- juhataja
- Tervis
- kuulnud
- aitama
- siin
- Suur
- rohkem
- palgab
- Töökohad
- hoidma
- omab
- Kuidas
- Kuidas
- aga
- HTTPS
- tohutu
- inim-
- Inimestel
- tohutult
- mõju
- mõjuv
- oluline
- võimatu
- parandama
- in
- info
- selle asemel
- tahtlus
- Kavatsus
- huvi
- Internet
- sekkumine
- Välja antud
- küsimustes
- IT
- ise
- hoidma
- võtmed
- Laps
- Teadma
- suurem
- viimane
- kiht
- Õppida
- Õigus
- Partii
- tehtud
- põhiline
- Enamus
- tegema
- Tegemine
- manipuleerimine
- palju
- vahendid
- mehhanism
- Vastama
- kohtumised
- liige
- liikmed
- miljonid
- puuduvad
- raha
- kuu
- rohkem
- kõige
- film
- liikuv
- mitmekordne
- nimi
- Nimega
- Vajadus
- vajadustele
- arvukad
- ONE
- Internetis
- Arvamused
- organisatsioon
- organisatsiooniline
- Muu
- teised
- enda
- omanik
- parameetrid
- osa
- eriline
- partei
- möödub
- paroolid
- Inimesed
- inimene
- PHIL
- Koht
- Platon
- Platoni andmete intelligentsus
- PlatoData
- positsioon
- positsioone
- võimalused
- võimalik
- potentsiaal
- võim
- võimas
- vältida
- era-
- isiklikku informatsiooni
- Privaatvõtmed
- privileegid
- protsess
- Toode
- Toodet
- Edu
- projekt
- projektid
- korralik
- ettepanek
- protokoll
- protokollid
- Tõesta
- eesmärk
- panema
- küsimus
- Küsimused
- Quillhash
- juhuslik
- jõudma
- Lugenud
- päris maailm
- vastuvõtmine
- vähendama
- regulaarne
- vastus
- maine
- resolutsioon
- need
- tundlik
- Tõusma
- Oht
- ruum
- ohutu
- sama
- stsenaarium
- stseenide
- ulatus
- Teine
- kindlustama
- kindlustada
- turvalisus
- näeb
- valik
- saatmine
- tunne
- eri
- Teenused
- Jaga
- Aktsiad
- Lühike
- peaks
- sarnane
- lihtne
- lihtsalt
- ühekordne
- olukord
- nutikas
- Tarkvaralepingud
- So
- sotsiaalmeedia
- Sotsiaaltehnoloogia
- seltskondlikult
- Pehme
- lahendus
- mõned
- Keegi
- midagi
- seisab
- algus
- algab
- peatumine
- võõras
- oja
- struktuur
- selline
- toetama
- Kõikuma
- Lüliti
- süsteem
- Võtma
- võtab
- võtmine
- meeskond
- Telegramm
- tingimused
- .
- Projektid
- oma
- ennast
- asi
- Läbi
- aeg
- et
- kokku
- teema
- läbipaistev
- riigikassa
- tohutu
- vallandas
- mõistma
- kasutama
- Kasutaja
- Kasutajad
- väärtus
- hinnatud
- kontrollima
- virtuaalne
- nägemus
- Hääletama
- Hääli
- Hääletamine
- haavatavus
- rahakott
- Watch
- kuidas
- Web3
- Web3 ökosüsteem
- web3 projekt
- veebisait
- veebilehed
- M
- Mis on
- kas
- mis
- WHO
- kogu
- will
- ilma
- sõna
- Töö
- töötab
- maailm
- halvim
- oleks
- aastat
- sa
- Sinu
- ise
- sephyrnet