وقت خواندن: 8 دقیقه
بررسی حملات مهندسی اجتماعی به DAO:
1. DAO چیست؟
دائو مخفف عبارت «سازمان مستقل غیرمتمرکز» است. خوب… اما این به چه معناست؟ بیایید کلمه به کلمه آن را بشکنیم. غیرمتمرکز به این معنی است که هیچ حزبی مالک آن نیست و هر کسی می تواند بخشی از آن شود. حرکت به سمت کلمه خودمختار به معنای چیزی است که با دخالت کمتر انسانی کار می کند. سازمان به گروهی از افراد گفته می شود که برای هدف یا هدفی گرد هم می آیند.
اما چه ربطی به بلاک چین دارد؟ همانطور که در دنیای کنونی ما شرکت هایی وجود دارد، شرکت ها یک محصول دارند و محصولات نیز کاربرانی دارند. ارزش شرکت بر اساس پارامترهای مختلف است و اعضای مختلف هیئت مدیره آینده شرکت را تعیین می کنند. DAO دقیقا همین است. تنها تفاوت این است که همه آن بر روی یک بلاک چین، کاملا شفاف است و هیچ دولت کشوری نمی تواند آن را کنترل کند. چه کسی آن را نمی خواهد؟ DAO ها امکانات فوق العاده ای دارند، اما این خود موضوع متفاوتی است.
2. امنیت سایبری یک استخر بزرگ است
«امنیت سایبری» حتماً این اصطلاح را زیاد شنیده اید، اما بیشتر آنها تعریف روشنی ندارند. امنیت سایبری فقط مربوط به رمز عبور یا پول نیست. این به خودی خود یک دنیای کامل است. بدون راهنمایی مناسب، شما همیشه در معرض خطر بالای سوء استفاده از یک آسیب پذیری ناشناخته هستید. امنیت سایبری از یک مکالمه تصادفی با یک غریبه در اینترنت گرفته تا تمام آن صحنه های فیلم فانتزی که تماشا می کنید را شامل می شود. مهندسی اجتماعی یکی از این بخشهای امنیت سایبری است. بیایید آن را بررسی کنیم.
2.1 مهندسی اجتماعی چیست؟
مهندسی اجتماعی در زمینه امنیت سایبری صرفاً هنر جمع آوری اطلاعات یا به خطر انداختن سیستم یا ساختار با دستکاری کاربران و بهره برداری از خطای انسانی برای به دست آوردن اطلاعات خصوصی یا اشیاء با ارزش است. پیچیده به نظر می رسد؟ بذار کمکت کنم.
حتماً سؤالات امنیتی را دیدهاید که برخی از وبسایتها برای تأیید اینکه در صورت فراموش کردن گذرواژهها، هویت شما را تأیید میکنند، دیدهاید. حالا سناریویی را تصور کنید که در آن با یک مرد تصادفی با اختلاف روبرو می شوید و کمی گپ می زنید، فقط چند چیز اساسی مانند اینکه اهل کجا هستید و کدام کتاب را دوست دارید بخوانید. اولین کتابی که خواندید کدام بود؟ الان همچین چیزایی این یک سوال امنیتی در بسیاری از وب سایت ها است: "نام کتاب مورد علاقه شما چیست؟" او قبلاً پاسخ را دارد. او ممکن است از آن برای به خطر انداختن حساب شما استفاده کند. این فقط یک راه ساده برای توضیح مهندسی اجتماعی است، دامنه از این مثال ساده بسیار دور است، اما مفاهیم اصلی یکسان هستند.
2.2 مهندسی اجتماعی در DAO
چگونه می توان از این "مهندسی اجتماعی" یا "حملات اجتماعی" در مورد DAO استفاده کرد؟، این وبلاگ همه چیز در مورد آن است. ما برخی از راههای متداول را که کاربران مخرب میتوانند DAO را بشکنند بررسی خواهیم کرد و یاد میگیریم که چگونه میتوان از آن جلوگیری کرد.
3. بهره برداری از خزانه
قبل از درک اکسپلویت های خزانه داری، باید بدانیم DAO چگونه کار می کند، چگونه تصمیم گیری می شود، چه کسی تصمیم گیری می کند و غیره.
همانطور که می دانیم، DAO ها دقیقا مانند هر سازمان دیگری هستند. مانند سازمان های عادی، هیئت مدیره اعضا با رأی گیری تصمیم می گیرند. در DAO ها عده ای به یک اقدام خاص رای می دهند و در صورت موافقت اکثریت، تصمیم گیری انجام می شود.
رأی گیری در DAO چگونه اتفاق می افتد؟:-
همانطور که در سازمان های عادی، قدرت رای دادن به اعضای هیئت مدیره به نسبت میزان مالکیت سازمان از نظر سهام و دارایی است. DAO ها از مکانیزم مشابهی استفاده می کنند، DAO ها دارای یک "توکن حکومتی" هستند که برای افرادی که می خواهند بخشی از سازمان باشند صادر می شود، و افرادی که دارای "Token حکومتی" زیادی هستند، کنترل بیشتری دارند.
3.1 بهره برداری های خزانه نرم چیست؟
سوء استفاده های خزانه نرم زمانی است که پیشنهادی برای اعطای وجوه به کیف پول در ازای انجام برخی کارها ارسال می شود، اما کار تکمیل نمی شود و گیرنده به سادگی پول را نگه می دارد. بیایید آن را بهتر درک کنیم.
حال، سناریویی را تصور کنید، برخی از سازمانهای عادی به نام Y نیاز به کارهای انجام شده دارند، و برخی از اعضای هیئت مدیره پیشنهاد میکنند که شرکتی به نام Y را برای انجام کار استخدام کنید، و اکنون اعضای هیئت مدیره رای میدهند. اگر رای بیشتر از اکثریت شرکت باشد، Y پروژه داده می شود. اما، اگر شرکت Y فقط پس از دریافت بودجه پروژه ناپدید شود، چه؟ فاجعه خواهد بود.
این یکی از است مسائل امنیتی اصلی در DAO ها، موارد زیادی وجود داشته است که جامعه DAO توسعه دهندگان، تولیدکنندگان محتوا و غیره را برای انجام کار استخدام می کند، اما بعداً متوجه می شوند که هنوز پیشرفتی حاصل نشده است و سرمایه آنها تمام شده است.
3.2 راه حل چیست؟
در سازمان های عادی برای جلوگیری از این نوع تخلفات از مراجع قانونی کمک می گیریم. این دو سازمان قراردادی منعقد میکنند و در صورت تخطی از هدف آنها با مجازاتهایی روبرو میشوند. اما در web3 چه؟ همانطور که در اینجا می دانیم، "کد قانون است"، بنابراین ما از این واقعیت استفاده می کنیم. به جای دادن یکباره وجوه، میتوانیم تصمیم بگیریم آنها را به مرور زمان پخش کنیم، و این نیز فضایی را برای توقف جریان با رأی ایجاد میکند، اگر هر یک از طرفین نتواند آنها را تحویل دهد، و همه اینها را میتوان با کمک قراردادهای هوشمند در آنجا انجام داد. برخی از پروتکل هایی هستند که فقط برای این منظور ساخته شده اند.
4. ارواح
عکس پریسیلا دو پریز on می Unsplash
همانطور که بحث شد، هر سازمانی دارای اعضای هیئت مدیره است که برخی مهمتر از سایرین هستند که نظرات و تصمیمات آنها در جلسات بسیار مهم است. ممکن است به این دلیل باشد که آنها سهم بالایی دارند یا برای سازمان ارزش دارند. اما برای یک لحظه تصور کنید که اگر ناگهان ناپدید شوند و ناپدید شوند چه اتفاقی می افتد. تصور کنید که چگونه بر سازمان تأثیر می گذارد. با این حال، در سناریوی دنیای واقعی، می توان به نحوی با فرد تماس گرفت، اما آیا در DAO چنین است؟ بیایید دریابیم.
در مورد DAO ها، از آنجایی که بسیار شبیه به سازمان های معمولی است، اگر برخی از کاربران مهم شبح شوند، وضعیت تقریباً یکسان است. حتی ممکن است بر اساس نوع سیستم حاکمیتی موجود، وجوه را برای ماهها یا سالها قفل کند. به طور خلاصه، برای امنیت DAO بسیار آسیب رسان خواهد بود و بدترین قسمت این است که اگر شخص تصمیم بگیرد حتی نمی توانید تماس برقرار کنید زیرا همه اینها در DAO مجازی است.
هدف پشت شبحسازی میتواند متفاوت باشد، میتواند به این دلیل باشد که فرد قصد بدی داشته یا دچار یک بحران سلامتی یا هر چیز دیگری شده است، اما این یک خطر بزرگ است زیرا مردم میلیونها دلار برای حکومت هزینه میکنند. از این رو، بهتر است یک "سوئیچ مرده" را نگه دارید، بیایید یاد بگیریم که این سوئیچ چیست.
4.1 راه حل چیست؟
سوئیچ Deadman راه حل است، اما آن چیست؟ و این نام شوم چیست؟ این مکانیزمی است که برای مقابله با دارایی شما در صورت مرگ یا پاسخگو شدن، ایجاد شده است. این سرد است. این می تواند بسیار به شما کمک کند، و من معتقدم که همه کسانی که در رمزارز هستند باید این را داشته باشند.
بنابراین اساسا چگونه کار می کند، هر چند وقت یکبار، یک چک ایمیل برای عضو ارسال می شود که بررسی می کند آیا او پاسخگو است یا خیر. اگر پاسخ دهید، اشکالی ندارد، اما اگر پاسخ ندهید، زنجیرهای از رویدادها آغاز میشود که شامل ارسال اطلاعات حیاتی برای کسانی است که به آنها اهمیت میدهید، مانند کلیدهای خصوصی، آدرسهای کیف پول و غیره. میتوانید چنین خدماتی را برای خودتان پیدا کنید. برخط.
5. حمله جعل هویت
عکس فیل شاو on می Unsplash
بیایید به یک سوال جالب پاسخ دهیم، چگونه یک سازمان را نابود می کنید؟ ساده است، کارمندان رئیس را فاسد کنید. پس یک سازمان نمی تواند زیاد دوام بیاورد. اگر یک نفر رئیس بسیاری از ادارات بود و او فاسد می شد چه اتفاقی می افتاد؟ این پایان سازمان است.
حمله مشابهی را می توان در DAO انجام داد. این ترسناکه. همانطور که می دانیم، DAO مطابق با جامعه کار می کند. برخی افراد در جامعه شهرت خوبی ایجاد می کنند. برخی افراد قدرتمند و تأثیرگذار می شوند و برخی دیگر به آنها احساس اقتدار می دهند. این را می توان در هر جامعه ای یافت. به این افراد در DAO نیز در حین فعال بودن امتیازاتی داده می شود و به نظر می رسد اقدامات آنها به نفع DAO است. این افراد می توانند در پست های بالاتر مختلف انتخاب شوند. و تمام این انجمن بر روی گروههای اجتماعی مختلف دیجیتالی فعال است که برنامههایی مانند اختلاف، تلگرام و غیره هستند، بنابراین تشخیص این نوع حمله را تقریبا غیرممکن میکند.
اگر شخصی چندین حساب ایجاد کند و با حساب های مختلف شروع به مشارکت در انجمن کند، چه؟ اگر او در این کار خوب باشد، حسابهایش شروع به ارتقای جایگاههای معتبر خواهند کرد. اگرچه جامعه آن حسابها را انسانهای جداگانهای میبیند، اما آنها فقط به یک نفر تعلق دارند. حال، اگر حسابها به جایگاههای معتبری رسیدند، فکر کنید که چقدر میتوانند بر DAO آسیب وارد کنند.
اگر فرد موقعیت های کافی در DAO داشته باشد، می تواند جهت کلی را تغییر دهد. بر تمام تصمیمات حیاتی تأثیر بگذارد. همه این حساب ها به یک چیز رای می دهند. همه آن حساب ها یک چیز را می گویند و از یک برنامه حمایت می کنند. این مانند تصرف کل DAO است. مهاجم می تواند DAO را به صورت اجتماعی مهندسی کند تا بودجه بیشتری را برای پروژه های مورد علاقه یا پروژه های مخرب خود اختصاص دهد و در نهایت تمام سرمایه ها را تخلیه کند. واقعا ترسناک است
5.1 راه حل چیست؟
مقابله با این حملات سخت است زیرا مهاجم با سایر اعضای جامعه ترکیب می شود و پیش بینی این نوع حمله دشوار می شود. راه حل اصلی برای این حملات سخت کردن فرآیند انتخاب است. برای رسیدن به مقام اقتدار باید با مشکلات بیشتری روبرو شوند و خود را ثابت کنند. همچنین توصیه می شود بر روی ایجاد یک جامعه اختصاصی بزرگتر برای کاهش خطر چنین حملاتی تمرکز کنید.
6. چگونه می توانید امنیت DAO را بهبود بخشید؟
یکی از راههای بالقوه مقابله با حملات اجتماعی این است که کمتر به انسان تکیه کنیم و همه آنها را خودمختار کنیم. به این ترتیب، نه دخالت انسانی و نه جایی برای خطای انسانی باقی خواهد ماند، اما این فقط گاهی ممکن است.
پاسخ ساده دیگر این است که شما به یک تیم متخصص نیاز دارید. راه های متعددی وجود دارد که می توان پروتکل را به خطر انداخت. بنابراین، برای ایمن سازی پروتکل به افرادی با تجربه و تخصص نیاز دارید که بدانند هک های مختلف چگونه انجام می شوند و چگونه با آنها مقابله کنند.
ما در QuillAudits تیمی از کارشناسان داریم که به چشمانداز ما برای ایمنسازی اکوسیستم web3 کمک زیادی میکنند تا افراد بیشتری بتوانند بخشی از این قطعنامه شوند. ما متعهد به تامین آن هستیم. از وب سایت ما دیدن کنید و پروژه Web3 خود را ایمن کنید!
19 نمایش ها
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- درباره ما
- مطابق
- حساب
- حساب ها
- عمل
- اقدامات
- فعال
- آدرس
- اثر
- پس از
- دستور کار
- معرفی
- قبلا
- هر چند
- همیشه
- و
- پاسخ
- سبقت جستن
- هر کس
- برنامه های کاربردی
- هنر
- دارایی
- دارایی
- ضمیمه کردن
- حمله
- حمله
- حسابرسی
- مقامات
- قدرت
- خود مختار
- مستقر
- اساسی
- اساسا
- زیرا
- شدن
- پشت سر
- باور
- بهتر
- بزرگ
- بیت
- بلاکچین
- بلاگ
- تخته
- کتاب
- شکستن
- به ارمغان بیاورد
- بنا
- اهميت دادن
- حمل
- مورد
- علت
- زنجیر
- بررسی
- بررسی
- واضح
- نزدیک
- COM
- آینده
- مرتکب شده
- مشترک
- انجمن
- شرکت
- شرکت
- شرکت
- کامل
- تکمیل شده
- به طور کامل
- پیچیده
- سازش
- در معرض خطر
- مصالحه
- مفاهیم
- تماس
- محتوا
- سازندگان محتوا
- زمینه
- قرارداد
- قرارداد
- کمک
- کمک
- کنترل
- گفتگو
- هسته
- مقابله با
- کشور
- ایجاد
- ایجاد
- سازندگان
- اعتبار
- بحران
- بسیار سخت
- عضو سازمانهای سری ومخفی
- جاری
- سایبر
- امنیت سایبری
- امنیت سایبری
- آسیب رساندن
- دائو
- DAO ها
- مقدار
- غیر متمرکز
- تصمیم
- تصمیم گیری
- اختصاصی
- ارائه
- گروه ها
- از بین بردن
- توسعه دهندگان
- مردن
- تفاوت
- مختلف
- مشکل
- مشکلات
- دیجیتال
- جهت
- فاجعه
- اختلاف
- بحث کردیم
- دلار
- آیا
- پایین
- اکوسیستم
- انتخاب شده
- پست الکترونیک
- کارکنان
- مهندس
- مهندسی
- کافی
- خطا
- و غیره
- حتی
- حوادث
- تا کنون
- هر
- هر کس
- کاملا
- مثال
- بیش از
- تبادل
- تجربه
- تخصص
- کارشناسان
- توضیح دادن
- سوء استفاده قرار گیرد
- سوء استفاده
- اکتشاف
- چهره
- نتواند
- پیدا کردن
- نام خانوادگی
- تمرکز
- یافت
- از جانب
- سرگرمی
- عملکرد
- بودجه
- بودجه
- آینده
- افزایش
- جمع آوری
- سوالات عمومی
- دریافت کنید
- گرفتن
- داده
- دادن
- Go
- هدف
- می رود
- رفتن
- خوب
- حکومت
- دولت
- اعطا کردن
- گروه
- گروه ها
- راهنمایی
- مرد
- هک
- رخ دادن
- سخت
- سر
- سلامتی
- شنیده
- کمک
- اینجا کلیک نمایید
- زیاد
- بالاتر
- استخدام
- استخدام
- نگه داشتن
- دارای
- چگونه
- چگونه
- اما
- HTTPS
- بزرگ
- انسان
- انسان
- بی اندازه
- تأثیر
- تأثیرگذار
- مهم
- غیر ممکن
- بهبود
- in
- اطلاعات
- در عوض
- قصد
- قصد
- علاقه
- اینترنت
- مداخله
- صادر
- مسائل
- IT
- خود
- نگاه داشتن
- کلید
- نوع
- دانستن
- بزرگتر
- نام
- لایه
- یاد گرفتن
- قانونی
- خیلی
- ساخته
- اصلی
- اکثریت
- ساخت
- ساخت
- دستکاری کردن
- بسیاری
- به معنی
- مکانیزم
- دیدار
- جلسات
- عضو
- اعضا
- میلیون ها نفر
- گم
- پول
- ماه
- بیش
- اکثر
- سینما
- متحرک
- چندگانه
- نام
- تحت عنوان
- نیاز
- نیازهای
- متعدد
- ONE
- آنلاین
- دیدگاه ها
- سازمان
- سازمان های
- دیگر
- دیگران
- خود
- مالک
- پارامترهای
- بخش
- ویژه
- حزب
- عبور می کند
- کلمه عبور
- مردم
- شخص
- PHIL
- محل
- افلاطون
- هوش داده افلاطون
- PlatoData
- موقعیت
- موقعیت
- فرصت
- ممکن
- پتانسیل
- قدرت
- قوی
- جلوگیری از
- خصوصی
- اطلاعات خصوصی
- کلیدهای خصوصی
- امتیازات
- روند
- محصول
- محصولات
- پیشرفت
- پروژه
- پروژه ها
- مناسب
- طرح پیشنهادی
- پروتکل
- پروتکل
- ثابت كردن
- هدف
- قرار دادن
- سوال
- سوالات
- کویل هاش
- تصادفی
- رسیدن به
- خواندن
- دنیای واقعی
- دریافت
- كاهش دادن
- منظم
- پاسخ
- شهرت
- وضوح
- قابل احترام
- پاسخگو
- طلوع
- خطر
- اتاق
- امن
- همان
- سناریو
- صحنه های
- حوزه
- دوم
- امن
- امنیت
- تیم امنیت لاتاری
- می بیند
- انتخاب
- در حال ارسال
- حس
- جداگانه
- خدمات
- اشتراک گذاری
- سهام
- کوتاه
- باید
- مشابه
- ساده
- به سادگی
- تنها
- وضعیت
- هوشمند
- قراردادهای هوشمند
- So
- آگاهی
- مهندسی اجتماعی
- اجتماعی
- نرم
- راه حل
- برخی از
- کسی
- چیزی
- می ایستد
- شروع
- شروع می شود
- متوقف کردن
- بیگانه
- جریان
- ساختار
- چنین
- پشتیبانی
- نوسان
- گزینه
- سیستم
- گرفتن
- طول می کشد
- مصرف
- تیم
- تلگرام
- قوانین و مقررات
- La
- پروژه ها
- شان
- خودشان
- چیز
- از طریق
- زمان
- به
- با هم
- موضوع
- شفاف
- خزانه داری
- عظیم
- باعث شد
- فهمیدن
- استفاده کنید
- کاربر
- کاربران
- ارزش
- ارزش
- بررسی
- مجازی
- دید
- رای
- رای
- رای گیری
- آسیب پذیری
- کیف پول
- تماشا کردن
- راه
- Web3
- اکوسیستم Web3
- پروژه web3
- سایت اینترنتی
- وب سایت
- چی
- چه شده است
- چه
- که
- WHO
- تمام
- اراده
- بدون
- کلمه
- مهاجرت کاری
- با این نسخهها کار
- جهان
- بدترین
- خواهد بود
- سال
- شما
- شما
- خودت
- زفیرنت