Olvasási idő: 8 jegyzőkönyv
A DAO elleni social engineering támadások feltárása:
1. Mi az a DAO?
A Dao a decentralizált autonóm szervezet rövidítése. Oké… de ez mit jelent? Bontsuk szóról szóra. A decentralizáltság azt jelenti, hogy egyetlen párt sem a tulajdonosa, és annak bárki része lehet. Az autonóm szóra való átállás azt jelenti, hogy valami kevesebb emberi beavatkozással működik. A szervezet olyan emberek csoportja, akik egy cél vagy ügy érdekében összefognak.
De mi köze ennek a blokklánchoz? Ahogy a mai világunkban vannak cégek, a cégeknek van termékük, a termékeknek pedig felhasználóik. A céget különböző paraméterek alapján értékelik, és különböző igazgatósági tagok döntenek a cég jövőjéről. A DAO pontosan ilyen. Az egyetlen különbség az, hogy mindez egy blokkláncon van, teljesen átlátható, és egyetlen ország kormánya sem tudja ellenőrizni. KI NEM AKAR EZT? A DAO-k óriási lehetőségeket rejtenek magukban, de ez önmagában más téma.
2. A kiberbiztonság egy nagy medence
A „kiberbiztonság” kifejezést bizonyára sokat hallotta, de a legtöbbnek nincs egyértelmű meghatározása. A kiberbiztonság nem csak jelszavakról vagy pénzről szól. Ez önmagában egy teljes világ. Megfelelő útmutatás nélkül mindig nagy a kockázata annak, hogy egy ismeretlen biztonsági rést kihasználnak. A kiberbiztonság az idegenekkel folytatott véletlenszerű internetes beszélgetéstől a megtekintett fantasztikus filmjelenetekig terjed. A Social Engineering a kiberbiztonság egyik ilyen része. Fedezzük fel.
2.1 Mi az a social engineering?
A social Engineering a kiberbiztonság kontextusában egyszerűen az információgyűjtés vagy a rendszer vagy a struktúra kompromittálásának művészete a felhasználók manipulálásával és az emberi hibák kihasználásával személyes információk vagy értékek megszerzésére. Összetettnek hangzik? Hadd segítsek.
Biztosan látta már azokat a biztonsági kérdéseket, amelyeket egyes webhelyek megőriznek, hogy igazolják személyazonosságát, ha elfelejti jelszavait. Most képzelj el egy olyan forgatókönyvet, amikor találkozol egy véletlenszerű fickóval, aki egy diszcordban van, és csevegsz egy kicsit, csak néhány alapvető dolgot, például honnan származol, és melyik könyvet szereted olvasni. Melyik volt az első könyv, amit valaha olvastál? Ilyen dolgok, most. Ez egy biztonsági kérdés sok webhelyen: „Mi a kedvenc könyvének a neve?” Már megvan a válasz; feltörheti a fiókját. Ez csak egy egyszerű módja a social engineering magyarázatának, a hatókör nagyon messze van ettől az egyszerű példától, de az alapfogalmak ugyanazok.
2.2 Social Engineering a DAO-ban
Hogyan használható ez a „társadalmi tervezés” vagy „társadalmi támadások” a DAO esetében?, Ez a blog erről szól. Megvizsgálunk néhány gyakori módot, amellyel a rosszindulatú felhasználók feltörhetik a DAO-t, és megtudjuk, hogyan akadályozható meg.
3. Treasury Exploits
Mielőtt megértenénk a Treasury kizsákmányolásait, tudnunk kell, hogyan működik a DAO, hogyan születnek a döntések, ki hozza meg a döntéseket stb.
Mint tudjuk, a DAO-k pontosan olyanok, mint bármely más szervezet. A rendes szervezéshez hasonlóan a tagok testülete szavazással dönt. A DAO-kban egyesek egy adott akcióra szavaznak, és ha a többség egyetért, a döntést végrehajtják.
Hogyan zajlik a szavazás a DAO-kban?:-
A hagyományos szervezetekhez hasonlóan a szavazati jog az igazgatósági tagokat illeti meg annak arányában, hogy mekkora részesedéssel és vagyonnal rendelkeznek a szervezetben. A DAO-k hasonló mechanizmust használnak, a DAO-k „irányítási jelzővel” rendelkeznek azoknak az embereknek, akik részt szeretnének venni a szervezetben, és azok az emberek, akiknek sok „irányítási jelzője” van, jobban irányítják.
3.1 Mik azok a puha kincstári visszaélések?
Könnyű kincstári kizsákmányolásról van szó, amikor az elvégzendő munkáért cserébe átadnak egy javaslatot egy pénztárcának adományozására, de a munka nem fejeződik be, és a kedvezményezett egyszerűen megtartja a pénzt. Értsük meg jobban.
Most képzeljen el egy forgatókönyvet: Néhány Y nevű szervezetnek szüksége van némi munkára, és néhány igazgatósági tag azt javasolja, hogy vegyenek fel egy Y nevű céget a munka elvégzésére, és most az igazgatósági tagok szavaznak. Ha a szavazat meghaladja a többségi vállalatot, Y megkapja a projektet. De mi van akkor, ha az Y vállalat egyszerűen eltűnik, miután megkapta a projekthez szükséges forrásokat? Katasztrófa lesz.
Ez az egyik a fő biztonsági kérdések a DAO-kban, Sokszor előfordult már, hogy a DAO közösség fejlesztőket, tartalomkészítőket stb. alkalmaz a munka elvégzésére, de később rájönnek, hogy még nem kell előrehaladni, és a pénzük elfogy.
3.2 Mi a megoldás?
Rendszeres szervezeteknél az ilyen jellegű visszaélések megelőzésére a jogi hatóságok segítségét vesszük igénybe. A két szervezet szerződést köt, és szankciókkal sújtható, ha megsértik a céljukat. De mi van a web3-ban? Ahogy itt tudjuk, „a kód a törvény”, ezért ezt a tényt használjuk. Ahelyett, hogy egy mozdulattal adnánk át a forrásokat, dönthetünk úgy, hogy idővel streameljük, és ez lehetőséget ad a stream szavazással történő leállítására is, ha valamelyik fél nem teljesít, és mindez egy Smart Contracts segítségével megtehető. néhány protokoll csak erre a célra készült.
4. Szellemkép
Fotó Priscilla DuPreez on Unsplash
Mint már szó volt róla, minden szervezetnek vannak olyan igazgatósági tagjai, akik fontosabbak, mint mások, akiknek véleménye és döntései döntőek az üléseken. Ennek oka lehet, hogy nagy részesedéssel rendelkeznek, vagy értéket hoznak a szervezet számára. De képzeld el egy pillanatra, mi történne, ha hirtelen eltűnnének és egyszerűen eltűnnének. Képzeld el, milyen hatással lesz a szervezetre. Viszont a valós forgatókönyvben valahogy fel lehet venni a kapcsolatot az illetővel, de vajon ez a helyzet a DAO-ban? Találjuk ki.
A DAO-k esetében, mivel nagyon hasonlít a hagyományos szervezetekhez, szinte ugyanaz a helyzet, ha valamilyen fontos felhasználó szellemképes. Még az is előfordulhat, hogy mások pénzeszközeit hónapokra vagy évekre zárolják az irányítási rendszer típusától függően. Röviden, ez nagyon káros lesz a DAO Security számára, és a legrosszabb az, hogy nem is lehet kapcsolatba lépni, ha az ember úgy dönt, mert ez az egész virtuális a DAO-ban.
A szellemkép mögött meghúzódó szándék változhat, lehet azért, mert az illetőnek rosszindulatú szándéka volt, egészségügyi válságon ment keresztül, vagy bármi más, de ez óriási kockázatot jelent, mivel az emberek dollármilliókat fektetnek a kormányzásba. Ezért jobb, ha „halott kapcsolót” tartunk, nézzük meg, mi ez a kapcsoló.
4.1 Mi a megoldás?
Deadman kapcsolója a megoldás, de mi ez? és mi van ezzel a baljós névvel? Ez egy olyan mechanizmus, amelyet arra hoznak létre, hogy kezelje vagyonát arra az esetre, ha meghalna, vagy reagálna. Ez hideg. Hatalmas segítséget tud neked nyújtani, és úgy gondolom, hogy ez mindenkinek a kriptográfiai technológiával foglalkozó szakterületén kell, hogy legyen.
Tehát alapvetően úgy működik, hogy időnként egy e-mail-ellenőrzést küldenek a tagnak, amely ellenőrzi, hogy reagál-e; ha válaszol, akkor rendben van, de ha nem, akkor egy eseménylánc indul el, amely magában foglalja a kulcsfontosságú információk elküldését azoknak, akik fontosak Önnek, mint például privát kulcsai, pénztárca címei stb. Ilyen szolgáltatásokat találhat magának. online.
5. Megszemélyesítési támadás
Válaszoljunk egy szórakoztató kérdésre: Hogyan pusztítanál el egy szervezetet? Egyszerű, korrupt a vezető alkalmazottak. Egy szervezet tehát nem bírja sokáig. Mi történne, ha egyetlen ember több osztály vezetője lenne, és korrupt lenne? Ez a szervezés vége.
Hasonló támadást lehet végrehajtani a DAO-ban. Ijesztő. Mint tudjuk, a DAO a közösség szerint működik. Vannak, akik jó hírnevet szereznek a közösségben. Vannak, akik erősek és hatásosak lesznek, mások pedig tekintélyérzetet tulajdonítanak nekik. Ez minden közösségben megtalálható. Ezek az emberek kiváltságokat is kapnak a DAO-ban, mivel aktívak, és úgy tűnik, hogy cselekedeteik a DAO-nak kedveznek. Ezeket az embereket különböző magasabb beosztásba lehet választani. És ez a közösség különböző digitális társadalmi csoportok felett aktív, amelyek olyan alkalmazások, mint a discord, távirat stb., így szinte lehetetlenné teszik az ilyen típusú támadások észlelését.
Mi van akkor, ha valaki több fiókot hoz létre, és különböző fiókokkal kezd hozzájárulni a közösséghez? Ha jó ebben, akkor a beszámolói elkezdenek hiteles pozícióba emelkedni. Bár a közösség különálló emberi lényeknek tekinti ezeket a beszámolókat, csak egy személyhez tartoznak. Nos, ha a számlák hiteles pozícióba emelkednek, gondolj bele, mekkora pusztítást okozhatnak a DAO-ban.
Ha az illető elég pozíciót foglal el a DAO-ban, meg tudja változtatni az általános irányt. Befolyásolja az összes döntő döntést. Mindezek a számlaszavazatok egy dolog mellett szólnak. Ezek a beszámolók ugyanazt mondják, és ugyanazt a napirendet támogatják. Ez olyan, mintha átvenné a DAO egészét. A támadó társadalmilag úgy alakíthatja a DAO-t, hogy több finanszírozást fordítson az őt érdeklő projektekre vagy rosszindulatú projektekre, és végül elszívja az összes pénzt. Valóban ijesztő.
5.1 Mi a megoldás?
Ezeket a támadásokat nehéz leküzdeni, mert a támadó elegyedik a közösség többi tagjával, és nehéz előre látni az ilyen típusú támadásokat. A fő megoldás ezekre a támadásokra a kiválasztási folyamat megnehezítése. A tekintélyi pozíció eléréséhez több nehézséggel kell szembenézniük és bizonyítaniuk kell. Az ilyen támadások kockázatának csökkentése érdekében tanácsos egy nagyobb, elkötelezett közösség kialakítására is összpontosítani.
6. Hogyan javíthatja a DAO biztonságát?
A társadalmi támadások leküzdésének egyik lehetséges módja az, ha kevésbé hagyatkozunk az emberekre, és mindezt autonómmá tesszük. Így nem lesz emberi beavatkozás, és nincs helye az emberi tévedésnek, de ez csak néha lehetséges.
A másik egyszerű válasz az, hogy szükség van egy szakértői csapatra. A protokollt számos módon lehet veszélyeztetni. Ezért tapasztalattal és szakértelemmel rendelkező emberekre van szükség a protokoll biztosításához, akik tudják, hogyan hajtanak végre különféle feltöréseket, és hogyan kezeljék azokat.
Nekünk, a QuillAuditsnál van egy szakértői csapatunk, akik óriási mértékben hozzájárulnak a web3 ökoszisztéma biztonságossá tételére vonatkozó elképzelésünk megvalósításához, hogy minél több ember részese lehessen ennek az állásfoglalásnak. Elkötelezettek vagyunk a biztosítás mellett. Látogassa meg weboldalunkat és biztosítsa Web3 projektjét!
19 Nézetek
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- Rólunk
- Szerint
- Fiók
- Fiókok
- Akció
- cselekvések
- aktív
- címek
- érint
- Után
- napirend
- Minden termék
- már
- Bár
- mindig
- és a
- válasz
- számít
- bárki
- alkalmazások
- Művészet
- vagyontárgy
- Eszközök
- csatolja
- támadás
- Támadások
- könyvvizsgálat
- Hatóság
- hatóság
- autonóm
- alapján
- alapvető
- Alapvetően
- mert
- válik
- mögött
- Hisz
- Jobb
- Nagy
- Bit
- blockchain
- Blog
- bizottság
- könyv
- szünet
- hoz
- Épület
- ami
- visz
- eset
- Okoz
- lánc
- ellenőrizze
- ellenőrzése
- világos
- közel
- COM
- érkező
- elkötelezett
- Közös
- közösség
- Companies
- vállalat
- Társaságé
- teljes
- Befejezett
- teljesen
- bonyolult
- kompromisszum
- Veszélyeztetett
- veszélyeztetése
- fogalmak
- kapcsolat
- tartalom
- tartalomkészítők
- kontextus
- szerződés
- szerződések
- contribuer
- hozzájáruló
- ellenőrzés
- Beszélgetés
- Mag
- Számláló
- ország
- teremt
- teremt
- alkotók
- Hitelesség
- válság
- kritikus
- crypto
- Jelenlegi
- cyber
- kiberbiztonság
- Kiberbiztonság
- káros
- DAO
- DAO-enzimek
- üzlet
- decentralizált
- döntés
- határozatok
- elszánt
- szállít
- osztályok
- elpusztítani
- fejlesztők
- az
- különbségek
- különböző
- nehéz
- nehézségek
- digitális
- irány
- katasztrófa
- viszály
- tárgyalt
- dollár
- ne
- le-
- ökoszisztéma
- megválasztott
- alkalmazottak
- mérnök
- Mérnöki
- elég
- hiba
- stb.
- Még
- események
- EVER
- Minden
- mindenki
- pontosan
- példa
- meghaladja
- csere
- tapasztalat
- szakvélemény
- szakértők
- magyarázó
- Hasznosított
- hasznosítja
- feltárása
- Arc
- nem sikerül
- Találjon
- vezetéknév
- Összpontosít
- talált
- ból ből
- móka
- működése
- finanszírozás
- alapok
- jövő
- Nyereség
- gyűjtése
- általános
- kap
- szerzés
- adott
- Giving
- Go
- cél
- Goes
- megy
- jó
- kormányzás
- Kormány
- biztosít
- Csoport
- Csoportok
- útmutató
- Fickó
- hack
- történik
- Kemény
- fej
- Egészség
- hallott
- segít
- itt
- Magas
- <p></p>
- bérlő
- Kölcsönzés
- tart
- tart
- Hogyan
- How To
- azonban
- HTTPS
- hatalmas
- emberi
- Az emberek
- nagyon
- Hatás
- hatásos
- fontos
- lehetetlen
- javul
- in
- információ
- helyette
- A szándék
- Szándék
- kamat
- Internet
- beavatkozás
- Kiadott
- kérdések
- IT
- maga
- Tart
- kulcsok
- Kedves
- Ismer
- nagyobb
- keresztnév
- réteg
- TANUL
- Jogi
- Sok
- készült
- Fő
- Többség
- csinál
- Gyártás
- manipuláló
- sok
- eszközök
- mechanizmus
- Találkozik
- találkozók
- tag
- Partnerek
- Több millió
- hiányzó
- pénz
- hónap
- több
- a legtöbb
- film
- mozgó
- többszörös
- név
- Nevezett
- Szükség
- igények
- számos
- ONE
- online
- Vélemények
- szervezet
- szervezetek
- Más
- Egyéb
- saját
- tulajdonos
- paraméterek
- rész
- különös
- párt
- bérletek
- jelszavak
- Emberek (People)
- person
- PHIL
- Hely
- Plató
- Platón adatintelligencia
- PlatoData
- pozíció
- pozíciók
- lehetőségek
- lehetséges
- potenciális
- hatalom
- erős
- megakadályozása
- magán
- személyes információ
- Saját kulcsok
- kiváltságok
- folyamat
- Termékek
- Termékek
- Haladás
- program
- projektek
- megfelelő
- javaslat
- protokoll
- protokollok
- Bizonyít
- cél
- tesz
- kérdés
- Kérdések
- Quillhash
- véletlen
- el
- Olvass
- való Világ
- fogadó
- csökkenteni
- szabályos
- válasz
- hírnév
- Felbontás
- azok
- fogékony
- Emelkedik
- Kockázat
- Szoba
- biztonságos
- azonos
- forgatókönyv
- jelenetek
- hatálya
- Második
- biztonság
- biztosítása
- biztonság
- lát
- kiválasztás
- elküldés
- értelemben
- különálló
- Szolgáltatások
- Megosztás
- Megoszt
- rövid
- kellene
- hasonló
- Egyszerű
- egyszerűen
- egyetlen
- helyzet
- okos
- Intelligens szerződések
- So
- Közösség
- Szociális tervezés
- társadalmilag
- Puha
- megoldások
- néhány
- Valaki
- valami
- állványok
- kezdet
- kezdődik
- megállítás
- idegen
- folyam
- struktúra
- ilyen
- támogatás
- Inog, befolyás
- kapcsoló
- rendszer
- Vesz
- tart
- bevétel
- csapat
- Telegram
- feltételek
- A
- A projektek
- azok
- maguk
- dolog
- Keresztül
- idő
- nak nek
- együtt
- téma
- átlátszó
- kincstár
- borzasztó
- váltott
- megért
- használ
- használó
- Felhasználók
- érték
- értékes
- ellenőrzése
- Tényleges
- látomás
- Szavazás
- szavazat
- Szavazás
- sebezhetőség
- pénztárca
- Nézz
- módon
- Web3
- Web3 ökoszisztéma
- web3 projekt
- weboldal
- honlapok
- Mit
- Mi
- vajon
- ami
- WHO
- egész
- lesz
- nélkül
- szó
- Munka
- művek
- világ
- Legrosszabb
- lenne
- év
- te
- A te
- magad
- zephyrnet