Temps de lecture: 8 minutes
Exploration des attaques d'ingénierie sociale contre DAO :
1. Qu'est-ce qu'un DAO ?
Dao signifie Organisation Autonome Décentralisée. D'accord... mais qu'est-ce que ça veut dire ? Décomposons-le mot par mot. Décentralisé signifie qu'aucune partie n'en est propriétaire et que n'importe qui peut en faire partie. Passer au mot autonome signifie quelque chose qui fonctionne avec moins d'intervention humaine. Une organisation est un groupe de personnes qui se rassemblent pour un objectif ou une cause.
Mais qu'est-ce que cela a à voir avec la blockchain ? Comme il existe des entreprises dans notre monde actuel, les entreprises ont un produit et les produits ont des utilisateurs. L'entreprise est évaluée en fonction de différents paramètres et différents membres du conseil d'administration décident de l'avenir de l'entreprise. DAO est exactement cela. Les seules différences sont que tout est sur une blockchain, complètement transparente, et qu'aucun gouvernement de pays ne peut la contrôler. QUI NE VEUT PAS ÇA ? Les DAO offrent d'énormes possibilités, mais c'est un sujet différent en soi.
2. La cybersécurité est un grand bassin
« Cybersécurité », vous devez avoir beaucoup entendu ce terme, mais la plupart n'ont pas de définition claire. La cybersécurité n'est pas qu'une question de mots de passe ou d'argent. C'est tout un monde complet en soi. Sans conseils appropriés, vous courez toujours un risque élevé d'exploiter une vulnérabilité inconnue. La cybersécurité va d'une conversation aléatoire avec un étranger sur Internet à toutes ces scènes de films fantaisistes que vous regardez. L'ingénierie sociale fait partie de la cybersécurité. Explorons-le.
2.1 Qu'est-ce que l'ingénierie sociale ?
L'ingénierie sociale dans le contexte de la cybersécurité est simplement l'art de recueillir des informations ou de compromettre le système ou la structure en manipulant les utilisateurs et en exploitant l'erreur humaine pour obtenir des informations privées ou des objets de valeur. Cela semble complexe ? Laissez-moi vous aider.
Vous devez avoir vu les questions de sécurité que certains sites Web conservent pour vérifier votre identité si vous oubliez vos mots de passe. Imaginez maintenant un scénario dans lequel vous rencontrez un gars au hasard sur Discord et discutez un peu, juste quelques trucs de base comme d'où vous venez et quel livre vous aimez lire. Quel a été le premier livre que vous ayez jamais lu ? Des trucs comme ça, maintenant. Il s'agit d'une question de sécurité sur de nombreux sites Web "Quel est le nom de votre livre préféré ?" Il a déjà la réponse; il peut l'utiliser pour compromettre votre compte. C'est juste une façon simple d'expliquer l'ingénierie sociale, la portée va très loin de cet exemple simple, mais les concepts de base sont les mêmes.
2.2 Ingénierie sociale dans DAO
Comment cette « ingénierie sociale » ou « attaques sociales » peut-elle être utilisée dans le cas de DAO ?, Ce blog est tout à ce sujet. Nous explorerons certaines façons courantes dont les utilisateurs malveillants peuvent casser DAO et apprendrons comment cela peut être évité.
3. Exploits du Trésor
Avant de comprendre les exploits du Trésor, nous devons savoir comment fonctionne le DAO, comment les décisions sont prises, qui prend les décisions, etc.
Comme nous le savons, les DAO sont exactement comme n'importe quelle autre organisation. Comme dans une organisation ordinaire, le conseil des membres décide par vote. Dans les DAO, certaines personnes votent pour une action particulière, et si la majorité est d'accord, la décision est exécutée.
Comment se passe le vote dans les DAO ? : -
Comme dans les organisations ordinaires, le droit de vote appartient aux membres du conseil d'administration en proportion de leur part dans l'organisation en termes d'actions et d'actifs. Les DAO utilisent un mécanisme similaire, les DAO ont un «jeton de gouvernance» délivré aux personnes qui souhaitent faire partie de l'organisation, et les personnes qui détiennent beaucoup de «jeton de gouvernance» sont plus en contrôle.
3.1 Qu'est-ce qu'un soft trésorier ?
Les exploits de trésorerie souples se produisent lorsqu'une proposition est transmise pour accorder des fonds à un portefeuille en échange d'un travail à faire, mais que le travail n'est pas terminé et que le destinataire conserve simplement l'argent. Comprenons mieux.
Maintenant, imaginez un scénario, une organisation régulière nommée Y a besoin de travail, et certains membres du conseil suggèrent d'embaucher une entreprise nommée Y pour faire le travail, et maintenant les membres du conseil votent. Si le vote dépasse la société majoritaire, Y se voit confier le projet. Mais que se passe-t-il si la société Y disparaît après avoir reçu les fonds pour le projet ? Ce sera un désastre.
C'est l'un des principaux problèmes de sécurité dans les DAO, Il y a eu de nombreux cas où la communauté DAO a embauché des développeurs, des créateurs de contenu, etc., pour faire le travail, mais plus tard, ils découvrent que des progrès restent à faire et que leurs fonds sont épuisés.
3.2 Quelle est la solution ?
Dans les organisations régulières, pour prévenir ce type d'inconduite, nous prenons l'aide des autorités judiciaires. Les deux organisations créent un contrat et s'exposent à des sanctions si leur fin respective est violée. Mais qu'en est-il du web3 ? Comme nous le savons ici, « le code est la loi », nous utilisons donc ce fait. Au lieu de donner les fonds en une seule fois, nous pouvons décider de les diffuser au fil du temps, ce qui crée également de la place pour arrêter le flux par vote si une partie ne parvient pas à livrer, et tout cela peut être fait à l'aide d'un Smart Contracts là-bas sont quelques protocoles faits juste à cette fin.
4. Fantôme
Photo par Priscilla Du Preez on Unsplash
Comme indiqué, chaque organisation a des membres du conseil d'administration, certains plus importants que d'autres, dont les opinions et les décisions sont cruciales dans les réunions. C'est peut-être parce qu'ils détiennent une part importante ou apportent de la valeur à l'organisation. Mais imaginez une seconde ce qui se passerait s'ils disparaissaient soudainement et disparaissaient. Imaginez comment cela aurait un impact sur l'organisation. Cependant, dans le scénario du monde réel, la personne peut être contactée d'une manière ou d'une autre, mais est-ce le cas dans DAO ? Découvrons-le.
Dans le cas des DAO, comme il est très similaire aux organisations régulières, la situation est presque la même si un utilisateur important est fantôme. Cela peut même finir par bloquer les fonds pendant des mois ou des années d'autres en fonction du type de système de gouvernance en place. Bref, cela va être très dommageable pour DAO Security, et le pire c'est que vous ne pourrez même pas prendre contact si la personne le décide car tout est virtuel dans DAO.
L'intention derrière le ghosting peut varier, cela peut être parce que la personne avait une intention malveillante ou traversait une crise de santé ou quoi que ce soit, mais c'est un risque énorme car les gens investissent des millions de dollars dans la gouvernance. Par conséquent, il est préférable de garder un "interrupteur d'homme mort" apprenons ce qu'est cet interrupteur.
4.1 Quelle est la solution ?
L'interrupteur de Deadman est la solution, mais qu'est-ce que c'est ? et qu'est-ce que c'est que ce nom sinistre? C'est un mécanisme qui est mis en place pour gérer votre actif au cas où vous décéderiez ou deviendriez réactif. C'est froid. Cela peut vous aider énormément, et je pense que tout le monde dans la crypto devrait avoir cela.
Donc, fondamentalement, comment cela fonctionne, de temps en temps, une vérification par e-mail est envoyée au membre pour vérifier s'il est réactif; si vous répondez, tout va bien, mais si vous ne le faites pas, une chaîne d'événements est déclenchée qui implique l'envoi d'informations cruciales à ceux qui vous intéressent, comme vos clés privées, vos adresses de portefeuille, etc. Vous pouvez trouver ces services par vous-même en ligne.
5. Attaque d'usurpation d'identité
Photo par Phil Shaw on Unsplash
Répondons à une question amusante, comment détruiriez-vous une organisation ? C'est simple, corrompre le chef des employés. Une organisation ne peut donc pas durer longtemps. Que se passerait-il si une seule personne dirigeait plusieurs départements et devenait corrompue ? C'est la fin de l'organisation.
Une attaque similaire peut être effectuée dans DAO. C'est effrayant. Comme nous le savons, DAO fonctionne selon la communauté. Certaines personnes créent une bonne réputation dans la communauté. Certaines personnes deviennent puissantes et percutantes, et d'autres leur attachent un sentiment d'autorité. Cela peut être trouvé dans n'importe quelle communauté. Ces personnes bénéficient également de privilèges dans DAO car elles sont actives et leurs actions semblent favoriser DAO. Ces personnes peuvent être élues à différents postes supérieurs. Et toute cette communauté est active sur différents groupes sociaux numériques, qui sont des applications comme Discord, Telegram, etc., rendant ainsi presque impossible la détection de ce type d'attaque.
Que se passe-t-il si quelqu'un crée plusieurs comptes et commence à contribuer à la communauté avec différents comptes ? S'il est bon dans ce domaine, ses comptes commenceront à atteindre des positions de crédibilité. Bien que la communauté considère ces comptes comme des êtres humains distincts, ils n'appartiennent qu'à une seule personne. Maintenant, si les comptes atteignent des positions de crédibilité, pensez à quel point ils peuvent faire des ravages sur le DAO.
Si la personne occupe suffisamment de postes dans DAO, elle peut influencer la direction générale. Affecter toute la décision cruciale. Tous ces comptes votent pour une chose. Tous ces récits disent la même chose et soutiennent le même programme. C'est comme prendre en charge l'ensemble du DAO. L'attaquant peut socialement concevoir le DAO pour qu'il investisse davantage dans les projets qui l'intéressent ou dans un projet malveillant et finisse par drainer tous les fonds. C'est effectivement effrayant.
5.1 Quelle est la solution ?
Ces attaques sont difficiles à contrer car l'attaquant se confond avec les autres membres de la communauté et il devient difficile d'anticiper ce type d'attaque. La principale solution à ces attaques est de rendre le processus de sélection difficile. Pour accéder à une position d'autorité, ils devront faire face à plus de difficultés et faire leurs preuves. Il est également conseillé de se concentrer sur la création d'une plus grande communauté dédiée afin de réduire le risque de telles attaques.
6. Comment pouvez-vous améliorer la sécurité DAO ?
Un moyen potentiel de lutter contre les attaques sociales consiste à moins compter sur les humains et à rendre tout cela autonome. De cette façon, il n'y aura pas d'intervention humaine et pas de place pour l'erreur humaine, mais ce n'est que parfois possible.
L'autre réponse simple est que vous avez besoin d'une équipe d'experts. Il existe de nombreuses façons dont le protocole peut être compromis. Ainsi, vous avez besoin de personnes expérimentées et expertes pour sécuriser le protocole, qui savent comment les différents piratages sont effectués et comment les aborder.
Chez QuillAudits, nous avons une équipe d'experts qui contribuent énormément à notre vision de rendre l'écosystème Web3 sûr afin que davantage de personnes puissent faire partie de cette résolution. Nous nous engageons à le sécuriser. Visitez notre site Web et sécurisez votre projet Web3!
19 Vues
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- A Propos
- Selon
- Compte
- hybrides
- Action
- actes
- infection
- adresses
- affecter
- Après
- ordre du jour
- Tous
- déjà
- Bien que
- toujours
- et les
- répondre
- anticiper
- chacun.e
- applications
- Art
- atout
- Outils
- joindre
- attaquer
- Attaques
- audit
- Pouvoirs publics
- autorité
- autonome
- basé
- Essentiel
- En gros
- car
- devenez
- derrière
- CROYONS
- Améliorée
- Big
- Bit
- blockchain
- Blog
- planche
- livre
- Pause
- apporter
- Développement
- les soins
- porter
- maisons
- Causes
- chaîne
- vérifier
- vérification
- clair
- Fermer
- COM
- Venir
- engagé
- Commun
- Communautés
- Sociétés
- Société
- De l'entreprise
- complet
- Complété
- complètement
- complexe
- compromis
- Compromise
- compromettre
- concepts
- contact
- contenu
- créateurs de contenu
- contexte
- contrat
- contrats
- contribuer
- contribuant
- des bactéries
- Conversation
- Core
- Counter
- Pays
- engendrent
- crée des
- créateurs
- Crédibilité
- crise
- crucial
- Crypto
- Courant
- cyber
- la cyber-sécurité
- Cybersécurité
- endommager
- DAO
- DAO
- affaire
- décentralisé
- décision
- décisions
- dévoué
- livrer
- départements
- détruire
- mobiles
- J'ai noté la
- différences
- différent
- difficile
- problèmes
- numérique
- direction
- catastrophe
- discorde
- discuté
- dollars
- Ne pas
- down
- risque numérique
- élu
- employés
- ingénieur
- ENGINEERING
- assez
- erreur
- etc
- Pourtant, la
- événements
- JAMAIS
- Chaque
- tout le monde
- exactement
- exemple
- dépasse
- échange
- d'experience
- nous a permis de concevoir
- de santé
- expliquant
- Exploités
- exploits
- explorez
- Visage
- échoue
- Trouvez
- Prénom
- Focus
- trouvé
- De
- amusement
- fonctionnement
- financement
- fonds
- avenir
- Gain
- rassemblement
- Général
- obtenez
- obtention
- donné
- Don
- Go
- objectif
- Goes
- aller
- Bien
- gouvernance
- Gouvernement
- subvention
- Réservation de groupe
- Groupes
- guide
- gars
- hacks
- arriver
- Dur
- front
- Santé
- entendu
- vous aider
- ici
- Haute
- augmentation
- embauches
- Embauchons
- appuyez en continu
- détient
- Comment
- How To
- Cependant
- HTTPS
- majeur
- humain
- Les êtres humains
- immensément
- Impact
- percutants
- important
- impossible
- améliorer
- in
- d'information
- plutôt ;
- intention
- Intention
- intérêt
- Internet
- intervention
- Publié
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- lui-même
- XNUMX éléments à
- clés
- Genre
- Savoir
- plus importantes
- Nom
- couche
- APPRENTISSAGE
- Légal
- Lot
- LES PLANTES
- Entrée
- Majorité
- a prendre une
- Fabrication
- manipuler
- de nombreuses
- veux dire
- mécanisme
- Découvrez
- réunions
- membre
- Membres
- des millions
- manquant
- de l'argent
- mois
- PLUS
- (en fait, presque toutes)
- film
- en mouvement
- plusieurs
- prénom
- Nommé
- Besoin
- Besoins
- nombreux
- ONE
- en ligne
- Avis
- organisation
- Institution
- Autre
- Autres
- propre
- propriétaire
- paramètres
- partie
- particulier
- fête
- passes
- mots de passe
- Personnes
- personne
- PHIL
- Place
- Platon
- Intelligence des données Platon
- PlatonDonnées
- position
- positions
- possibilités
- possible
- défaillances
- power
- solide
- empêcher
- Privé
- information privée
- Clés privées
- privilèges
- processus
- Produit
- Produits
- Progrès
- Projet
- projets
- correct
- proposition
- protocole
- protocoles
- Prouver
- but
- mettre
- question
- fréquemment posées
- Quillhasch
- aléatoire
- nous joindre
- Lire
- monde réel
- recevoir
- réduire
- Standard
- répondre
- réputation
- Résolution
- ceux
- sensible
- Augmenter
- Analyse
- Salle
- des
- même
- scénario
- Scènes
- portée
- Deuxièmement
- sécurisé
- sécurisation
- sécurité
- voit
- sélection
- envoi
- sens
- séparé
- Services
- Partager
- Partages
- Shorts
- devrait
- similaires
- étapes
- simplement
- unique
- situation
- smart
- Contrats intelligents
- So
- Réseaux sociaux
- Ingénierie sociale
- socialement
- Soft
- sur mesure
- quelques
- Quelqu'un
- quelque chose
- peuplements
- Commencer
- départs
- arrêt
- étranger
- courant
- structure
- tel
- Support
- Balancement
- Interrupteur
- combustion propre
- Prenez
- prend
- prise
- équipe
- Telegram
- conditions
- Le
- Les projets
- leur
- se
- chose
- Avec
- fiable
- à
- ensemble
- sujet
- communication
- Trésorerie
- énorme
- déclenché
- comprendre
- utilisé
- Utilisateur
- utilisateurs
- Plus-value
- estimé
- vérifier
- Salle de conférence virtuelle
- vision
- Vote
- votes
- Vote
- vulnérabilité
- Wallet
- Montres
- façons
- Web3
- Écosystème Web3
- projet web3
- Site Web
- sites Internet
- Quoi
- Qu’est ce qu'
- que
- qui
- WHO
- la totalité
- sera
- sans
- Word
- activités principales
- vos contrats
- world
- pire
- pourra
- années
- Vous n'avez
- Votre
- vous-même
- zéphyrnet