Tempo per leggere: 8 verbale
Esplorando gli attacchi di social engineering su DAO:
1. Cos'è un DAO?
Dao sta per Organizzazione Autonoma Decentralizzata. Ok... ma cosa significa? Analizziamolo parola per parola. Decentralizzato significa che nessun singolo partito ne è il proprietario e chiunque può farne parte. Passare alla parola autonomo significa qualcosa che funziona con meno intervento umano. Un'organizzazione è un gruppo di persone che si uniscono per un obiettivo o una causa.
Ma cosa c'entra con la blockchain? Poiché ci sono aziende nel nostro mondo attuale, le aziende hanno un prodotto e i prodotti hanno utenti. La società viene valutata in base a diversi parametri e diversi membri del consiglio di amministrazione decidono il futuro dell'azienda. DAO è esattamente questo. Le uniche differenze sono che è tutto su una blockchain, completamente trasparente, e nessun governo del paese può controllarlo. CHI NON LO VUOLE? Le DAO offrono enormi possibilità, ma questo è di per sé un argomento diverso.
2. La sicurezza informatica è un grande pool
"Cyber Security" devi aver sentito molto questo termine, ma la maggior parte non ha una definizione chiara. La sicurezza informatica non riguarda solo password o denaro. È un intero mondo completo in sé. Senza una guida adeguata, sei sempre ad alto rischio di sfruttare una vulnerabilità sconosciuta. La sicurezza informatica spazia da una conversazione casuale con uno sconosciuto su Internet a tutte quelle scene di film fantasiose che guardi. L'ingegneria sociale è una di queste parti della sicurezza informatica. Esploriamolo.
2.1 Cos'è l'ingegneria sociale?
L'ingegneria sociale nel contesto della sicurezza informatica è semplicemente l'arte di raccogliere informazioni o compromettere il sistema o la struttura manipolando gli utenti e sfruttando l'errore umano per ottenere informazioni private o oggetti di valore. Sembra complesso? Lascia che ti aiuti.
Devi aver visto le domande di sicurezza che alcuni siti web conservano per verificare la tua identità se dimentichi le password. Ora immagina uno scenario in cui incontri un ragazzo a caso su discord e fai un po 'di chiacchiere, solo alcune cose di base come da dove vieni e quale libro ti piace leggere. Qual è stato il primo libro che hai letto? Cose del genere, ora. Questa è una domanda di sicurezza su molti siti Web "Qual è il nome del tuo libro preferito?" Ha già la risposta; potrebbe usarlo per compromettere il tuo account. Questo è solo un modo semplice per spiegare l'ingegneria sociale, lo scopo va molto lontano da questo semplice esempio, ma i concetti fondamentali sono gli stessi.
2.2 Ingegneria sociale in DAO
Come si può utilizzare questa "ingegneria sociale" o "attacchi sociali" nel caso di DAO? Questo blog parla di questo. Esploreremo alcuni modi comuni in cui gli utenti malintenzionati possono violare DAO e scopriremo come prevenirlo.
3. Exploit del Tesoro
Prima di comprendere gli exploit del Tesoro, dovremmo sapere come funziona DAO, come vengono prese le decisioni, chi prende le decisioni ecc.
Come sappiamo, le DAO sono esattamente come qualsiasi altra organizzazione. Come nell'organizzazione regolare, il consiglio dei membri decide con votazione. Nelle DAO, alcune persone votano per una particolare azione e, se la maggioranza è d'accordo, la decisione viene presa.
Come avviene il voto nelle DAO?:-
Come nelle organizzazioni regolari, il potere di voto spetta ai membri del consiglio in proporzione a quanto possiedono l'organizzazione in termini di azioni e beni. Le DAO utilizzano un meccanismo simile, le DAO hanno un "token di governance" rilasciato alle persone che vogliono far parte dell'organizzazione e le persone che detengono molti "token di governance" hanno più controllo.
3.1 Cosa sono i soft treasury exploit?
Gli exploit soft del tesoro si verificano quando una proposta passa per concedere fondi a un portafoglio in cambio di un lavoro da svolgere, ma il lavoro non viene completato e il destinatario si limita a trattenere i soldi. Capiamo meglio.
Ora, immagina uno scenario, una normale organizzazione chiamata Y ha bisogno di un po' di lavoro, e alcuni membri del consiglio suggeriscono di assumere una società chiamata Y per fare il lavoro, e ora i membri del consiglio votano. Se il voto supera la società di maggioranza, a Y viene assegnato il progetto. Ma cosa succede se la società Y svanisce dopo aver ricevuto i fondi per il progetto? Sarà un disastro.
Questo è uno dei principali problemi di sicurezza nelle DAO, Ci sono stati molti casi in cui la comunità DAO assume sviluppatori, creatori di contenuti ecc.
3.2 Qual è la soluzione?
Nelle organizzazioni regolari, per prevenire questo tipo di cattiva condotta, ci avvaliamo dell'aiuto delle autorità legali. Le due organizzazioni creano un contratto e affrontano sanzioni se la loro rispettiva fine viene violata. Ma cosa in web3? Come sappiamo qui, "Il codice è la legge", quindi usiamo questo fatto. Invece di dare i fondi in una volta sola, possiamo decidere di trasmetterli in streaming nel tempo, e questo crea anche spazio per interrompere il flusso tramite voto se una parte non riesce a consegnare, e tutto questo può essere fatto con l'aiuto di uno Smart Contracts lì sono alcuni protocolli realizzati proprio per questo scopo.
4. Fantasma
Foto di Priscilla Du Preez on Unsplash
Come discusso, ogni organizzazione ha membri del consiglio, alcuni più importanti di altri, le cui opinioni e decisioni sono cruciali nelle riunioni. Può essere perché detengono una quota elevata o apportano valore all'organizzazione. Ma immagina per un secondo cosa accadrebbe se improvvisamente scomparissero e svanissero. Immagina come avrebbe un impatto sull'organizzazione. Tuttavia, nello scenario del mondo reale, la persona può essere contattata in qualche modo, ma è il caso di DAO? Scopriamolo.
Nel caso delle DAO, poiché è molto simile alle normali organizzazioni, la situazione è quasi la stessa se qualche utente importante è fantasma. Potrebbe anche finire per bloccare i fondi per mesi o anni di altri in base al tipo di sistema di governance in atto. In breve, sarà molto dannoso per la sicurezza di DAO e la parte peggiore è che non puoi nemmeno stabilire un contatto se la persona decide perché è tutto virtuale in DAO.
L'intenzione alla base del ghosting può variare, può essere perché la persona aveva intenti dannosi o stava attraversando una crisi sanitaria o altro, ma questo è un rischio enorme poiché le persone investono milioni di dollari nella governance. Quindi, è meglio tenere un "interruttore uomo morto" impariamo cos'è questo interruttore.
4.1 Qual è la soluzione?
L'interruttore di Deadman è la soluzione, ma che cos'è? e cos'è questo nome sinistro? È un meccanismo messo in atto per gestire la tua risorsa nel caso in cui muori o diventi reattivo. È freddo. Può aiutarti immensamente e credo che tutti in criptovaluta dovrebbero averlo.
Quindi in pratica come funziona è, ogni tanto, un controllo via e-mail viene inviato al membro per verificare se risponde; se rispondi, va bene, ma se non lo fai, viene attivata una catena di eventi che comporta l'invio delle informazioni cruciali a coloro a cui tieni come le tue chiavi private, gli indirizzi del portafoglio ecc. Puoi trovare tali servizi per te stesso in linea.
5. Attacco di impersonificazione
Rispondiamo a una domanda divertente, come distruggeresti un'organizzazione? È semplice, corrompere i capi impiegati. Un'organizzazione non può durare molto, quindi. Cosa accadrebbe se una sola persona fosse a capo di molti dipartimenti e si corrompesse? È la fine dell'organizzazione.
Un attacco simile può essere eseguito in DAO. È spaventoso. Come sappiamo, DAO funziona secondo la comunità. Alcune persone creano una buona reputazione nella comunità. Alcune persone diventano potenti e di grande impatto, mentre altre attribuiscono loro un senso di autorità. Questo può essere trovato in qualsiasi comunità. Queste persone hanno anche privilegi in DAO poiché sono attive e le loro azioni sembrano favorire DAO. Queste persone possono essere elette a diverse posizioni superiori. E tutta questa comunità è attiva su diversi gruppi sociali digitali, che sono applicazioni come discord, telegram ecc., rendendo così quasi impossibile rilevare questo tipo di attacco.
Cosa succede se qualcuno crea più account e inizia a contribuire alla comunità con account diversi? Se è bravo, i suoi conti inizieranno a salire a posizioni di credibilità. Sebbene la comunità veda questi account come esseri umani separati, appartengono a una sola persona. Ora, se i resoconti raggiungono posizioni di credibilità, pensa a quanto caos possono portare al DAO.
Se la persona detiene abbastanza posizioni in DAO, può influenzare la direzione generale. Influenza tutti la decisione cruciale. Tutti questi conti votano per una cosa. Tutti questi resoconti dicono la stessa cosa e supportano la stessa agenda. Questo è come rilevare l'intero DAO. L'attaccante può ingegnerizzare socialmente il DAO per investire più fondi nei progetti di suo interesse o progetti dannosi e finire per prosciugare tutti i fondi. In effetti è spaventoso.
5.1 Qual è la soluzione?
Questi attacchi sono difficili da contrastare perché l'aggressore si fonde con altri membri della comunità e diventa difficile prevedere questo tipo di attacco. La soluzione principale per questi attacchi è rendere difficile il processo di selezione. Per raggiungere una posizione di autorità, dovranno affrontare maggiori difficoltà e mettersi alla prova. Si consiglia inoltre di concentrarsi sulla creazione di una comunità dedicata più ampia per ridurre il rischio di tali attacchi.
6. Come puoi migliorare la sicurezza DAO?
Un modo potenziale per affrontare gli attacchi sociali è fare meno affidamento sugli umani e rendere tutto autonomo. In questo modo, non ci sarà alcun intervento umano e nessuno spazio per l'errore umano, ma questo è possibile solo a volte.
L'altra semplice risposta è che hai bisogno di un team di esperti. Esistono numerosi modi in cui il protocollo può essere compromesso. Pertanto, hai bisogno di persone con esperienza e competenza per proteggere il protocollo, chissà come vengono eseguiti diversi hack e come affrontarli.
Noi di QuillAudits abbiamo un team di esperti che contribuiscono immensamente alla nostra visione di rendere sicuro l'ecosistema web3 in modo che più persone possano far parte di questa risoluzione. Ci impegniamo a metterlo in sicurezza. Visitate il nostro sito web e metti al sicuro il tuo progetto Web3!
19 Visualizzazioni
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- WRI
- Secondo
- Il mio account
- conti
- Action
- azioni
- attivo
- indirizzi
- influenzare
- Dopo shavasana, sedersi in silenzio; saluti;
- ordine del giorno
- Tutti
- già
- Sebbene il
- sempre
- ed
- rispondere
- anticipare
- chiunque
- applicazioni
- Arte
- attività
- Attività
- allegare
- attacco
- attacchi
- revisione
- Autorità
- autorità
- autonomo
- basato
- basic
- fondamentalmente
- perché
- diventare
- dietro
- CREDIAMO
- Meglio
- Big
- Po
- blockchain
- Blog
- tavola
- libro
- Rompere
- portare
- Costruzione
- che
- trasportare
- Custodie
- Causare
- catena
- dai un'occhiata
- verifica
- pulire campo
- Chiudi
- COM
- arrivo
- impegnata
- Uncommon
- comunità
- Aziende
- azienda
- Società
- completamento di una
- Completato
- completamente
- complesso
- compromesso
- Compromissione
- compromettendo
- concetti
- contatti
- contenuto
- creatori di contenuti
- contesto
- contratto
- contratti
- contribuire
- contribuendo
- di controllo
- Conversazione
- Nucleo
- contatore
- Paese del
- creare
- crea
- creatori
- Credibilità
- crisi
- cruciale
- crypto
- Corrente
- Cyber
- sicurezza informatica
- Cybersecurity
- danneggiamento
- DAO
- DAO
- affare
- decentrata
- decisione
- decisioni
- dedicato
- consegnare
- dipartimenti
- distruggere
- sviluppatori
- *
- differenze
- diverso
- difficile
- le difficoltà
- digitale
- direzione
- disastro
- discordia
- discusso
- dollari
- Dont
- giù
- ecosistema
- eletto
- dipendenti
- ingegnere
- Ingegneria
- abbastanza
- errore
- eccetera
- Anche
- eventi
- EVER
- Ogni
- tutti
- di preciso
- esempio
- supera
- exchange
- esperienza
- competenza
- esperti
- spiegando
- Exploited
- gesta
- esplora
- Faccia
- fallisce
- Trovate
- Nome
- Focus
- essere trovato
- da
- ti divertirai
- funzionamento
- finanziamento
- fondi
- futuro
- Guadagno
- raccolta
- Generale
- ottenere
- ottenere
- dato
- Dare
- Go
- scopo
- va
- andando
- buono
- la governance
- Enti Pubblici
- concedere
- Gruppo
- Gruppo
- guida
- Tipo
- hack
- accadere
- Hard
- capo
- Salute e benessere
- sentito
- Aiuto
- qui
- Alta
- superiore
- assunzioni
- Affitto
- tenere
- detiene
- Come
- Tutorial
- Tuttavia
- HTTPS
- Enorme
- umano
- Gli esseri umani
- immensamente
- Impact
- di forte impatto
- importante
- impossibile
- competenze
- in
- informazioni
- invece
- intento
- Intenzione
- interesse
- Internet
- intervento
- Rilasciato
- sicurezza
- IT
- stessa
- mantenere
- Tasti
- Genere
- Sapere
- superiore, se assunto singolarmente.
- Cognome
- strato
- IMPARARE
- Legale
- lotto
- fatto
- Principale
- Maggioranza
- make
- Fare
- manipolazione
- molti
- si intende
- meccanismo
- Soddisfare
- incontri
- membro
- Utenti
- milioni
- mancante
- soldi
- mese
- Scopri di più
- maggior parte
- film
- in movimento
- multiplo
- Nome
- Detto
- Bisogno
- esigenze
- numerose
- ONE
- online
- Opinioni
- organizzazione
- Organizzazioni
- Altro
- Altri
- proprio
- proprietario
- parametri
- parte
- particolare
- partito
- Passi
- Le password
- Persone
- persona
- PHIL
- posto
- Platone
- Platone Data Intelligence
- PlatoneDati
- posizione
- posizioni
- possibilità
- possibile
- potenziale
- energia
- potente
- prevenire
- un bagno
- informazioni riservate
- Chiavi private
- privilegi
- processi
- Prodotto
- Prodotti
- Progressi
- progetto
- progetti
- corretto
- proposta
- protocollo
- protocolli
- Dimostra
- scopo
- metti
- domanda
- Domande
- quillhash
- casuale
- raggiungere
- Leggi
- mondo reale
- ricevente
- ridurre
- Basic
- rispondere
- reputazione
- Risoluzione
- quelli
- di risposta
- Aumento
- Rischio
- Prenotazione sale
- sicura
- stesso
- scenario
- Scene
- portata
- Secondo
- sicuro
- fissaggio
- problemi di
- vede
- prodotti
- invio
- senso
- separato
- Servizi
- Condividi
- azioni
- Corti
- dovrebbero
- simile
- Un'espansione
- semplicemente
- singolo
- situazione
- smart
- Smart Contract
- So
- Social
- Ingegneria sociale
- socialmente
- Soft
- soluzione
- alcuni
- Qualcuno
- qualcosa
- si
- inizia a
- inizio
- sosta
- sconosciuto
- ruscello
- La struttura
- tale
- supporto
- Ondeggiare
- Interruttore
- sistema
- Fai
- prende
- presa
- team
- Telegram
- condizioni
- Il
- I progetti
- loro
- si
- cosa
- Attraverso
- tempo
- a
- insieme
- argomento
- trasparente
- tesoreria
- enorme
- innescato
- capire
- uso
- Utente
- utenti
- APPREZZIAMO
- valutato
- verificare
- virtuale
- visione
- Votazione
- voti
- Voto
- vulnerabilità
- Portafoglio
- Orologio
- modi
- Web3
- Ecosistema Web3
- progetto web3
- Sito web
- siti web
- Che
- Che cosa è l'
- se
- quale
- OMS
- tutto
- volere
- senza
- Word
- Lavora
- lavori
- mondo
- Salsiccia di assorbimento
- sarebbe
- anni
- Tu
- Trasferimento da aeroporto a Sharm
- te stesso
- zefiro