זמן קריאה: 8 דקות
בחינת התקפות ההנדסה החברתית על DAO:
1. מהו DAO?
דאו מייצג ארגון אוטונומי מבוזר. אוקיי... אבל מה זה אומר? בואו נפרק את זה מילה במילה. מבוזר אומר שאף צד אחד אינו הבעלים שלו, וכל אחד יכול להפוך לחלק ממנו. מעבר למילה אוטונומי פירושו משהו שמתפקד עם פחות התערבות אנושית. ארגון הוא קבוצה של אנשים שמתאחדים למען מטרה או מטרה.
אבל מה זה קשור לבלוקצ'יין? כמו שיש חברות בעולם הנוכחי שלנו, לחברות יש מוצר, ולמוצרים יש משתמשים. החברה מוערכת לפי פרמטרים שונים, וחברי דירקטוריון שונים מחליטים על עתידה של החברה. DAO הוא בדיוק זה. ההבדלים היחידים הם שהכל ב-blockchain, שקוף לחלוטין, ואף ממשלה של מדינה לא יכולה לשלוט בזה. מי לא רוצה את זה? ל-DAOs יש אפשרויות אדירות, אבל זה נושא אחר בפני עצמו.
2. אבטחת סייבר היא בריכה גדולה
"אבטחת סייבר" בטח שמעתם את המונח הזה הרבה, אבל לרובם אין הגדרה ברורה. אבטחת סייבר היא לא רק סיסמאות או כסף. זה עולם שלם בפני עצמו. ללא הדרכה מתאימה, אתה תמיד בסיכון גבוה לניצול פגיעות לא ידועה. אבטחת סייבר נעה משיחה אקראית עם זר באינטרנט וכלה בסצנות הסרטים המפוארות שבהן אתה צופה. הנדסה חברתית היא חלק כזה באבטחת סייבר. בואו נחקור את זה.
2.1 מהי הנדסה חברתית?
הנדסה חברתית בהקשר של אבטחת סייבר היא פשוט האומנות של איסוף מידע או פגיעה במערכת או במבנה על ידי מניפולציה של משתמשים וניצול טעויות אנוש כדי להשיג מידע פרטי או חפצי ערך. נשמע מורכב? תן לי לעזור לך.
בטח ראית את שאלות האבטחה שאתרים מסוימים שומרים כדי לוודא שזה אתה אם תשכח סיסמאות. עכשיו תאר לעצמך תרחיש שבו אתה פוגש בחור אקראי בדיסקורד ומנהל קצת צ'אט, רק כמה דברים בסיסיים כמו מאיפה אתה ואיזה ספר אתה אוהב לקרוא. איזה היה הספר הראשון שאי פעם קראת? דברים כאלה, עכשיו. זוהי שאלת אבטחה באתרים רבים "מה שמו של הספר האהוב עליך?" יש לו כבר את התשובה; הוא עשוי להשתמש בו כדי לסכן את חשבונך. זו רק דרך פשוטה להסביר הנדסה חברתית, ההיקף רחוק מאוד מהדוגמה הפשוטה הזו, אבל מושגי הליבה זהים.
2.2 הנדסה חברתית ב-DAO
כיצד ניתן להשתמש ב"הנדסה חברתית" או "התקפות חברתיות" במקרה של DAO?, הבלוג הזה עוסק בזה. נחקור כמה דרכים נפוצות שבהן משתמשים זדוניים יכולים לשבור את ה-DAO ונלמד כיצד ניתן למנוע זאת.
3. ניצול משרד האוצר
לפני שנבין את מעללי האוצר, עלינו לדעת איך DAO עובד, איך מתקבלות החלטות, מי מקבל את ההחלטות וכו'.
כפי שאנו יודעים, DAOs הם בדיוק כמו כל ארגון אחר. כמו בארגון רגיל, מועצת החברים מחליטה בהצבעה. ב-DAOs, חלק מהאנשים מצביעים עבור פעולה מסוימת, ואם הרוב מסכים, ההחלטה מבוצעת.
איך מתרחשת ההצבעה ב-DAOs?:-
כמו בארגונים רגילים, כוח ההצבעה נמצא אצל חברי הדירקטוריון ביחס למידת הבעלים שלהם בארגון מבחינת מניות ונכסים. ל-DAOs משתמשים במנגנון דומה, ל-DAOs יש "אסימון ממשל" המונפק לאנשים שרוצים להיות חלק מהארגון, והאנשים שמחזיקים בהרבה "אסימון ממשל" הם בעלי שליטה רבה יותר.
3.1 מהם ניצול רך של האוצר?
ניצול רך של האוצר הם כאשר עוברת הצעה להעניק כספים לארנק בתמורה לביצוע עבודה כלשהי, אך העבודה לא מסתיימת, והכונס פשוט שומר על הכסף. בואו נבין את זה טוב יותר.
כעת, תארו לעצמכם תרחיש, ארגון רגיל כלשהו בשם Y זקוק לעבודה כלשהי, וכמה מחברי דירקטוריון מציעים לשכור חברה בשם Y שתעשה את העבודה, ועכשיו חברי הדירקטוריון מבצעים את ההצבעה. אם ההצבעה חורגת מחברת הרוב, ניתן ל-Y את הפרויקט. אבל, מה אם חברת Y פשוט תיעלם לאחר קבלת הכספים עבור הפרויקט? זה יהיה אסון.
זהו אחד בעיות אבטחה עיקריות ב-DAOs, היו מקרים רבים שבהם קהילת DAO שוכרת מפתחים, יוצרי תוכן וכו', כדי לבצע את העבודה, אבל בהמשך, הם מגלים שעדיין לא הושגה התקדמות, והכספים שלהם נעלמו.
3.2 מה הפתרון?
בארגונים רגילים, כדי למנוע התנהגות בלתי הולמת מסוג זה, אנו נעזרים ברשויות משפטיות. שני הארגונים יוצרים חוזה ועומדים בפני עונשים אם הקצה שלהם יופר. אבל מה ב-web3? כפי שאנו יודעים כאן, "הקוד הוא החוק", אז אנו משתמשים בעובדה זו. במקום לתת את הכספים במכה אחת, אנחנו יכולים להחליט להזרים אותם לאורך זמן, וזה גם יוצר מקום לעצירת הזרם בהצבעה אם מפלגה כלשהי לא מצליחה לספק, וכל זה יכול להיעשות בעזרת חוזים חכמים שם הם כמה פרוטוקולים שנעשו רק למטרה זו.
4. רוחות רפאים
תמונה על ידי פריסילה דו פריז on Unsplash
כאמור, בכל ארגון יש חברי דירקטוריון, חלקם חשובים יותר מאחרים, שלדעתם והחלטותיהם יש חשיבות מכרעת בישיבות. זה יכול להיות בגלל שהם מחזיקים בנתח גבוה או מביאים ערך לארגון. אבל דמיינו לרגע מה יקרה אם הם פתאום ייעלמו ופשוט ייעלמו. תארו לעצמכם איך זה ישפיע על הארגון. עם זאת, בתרחיש של העולם האמיתי, ניתן ליצור קשר איכשהו עם האדם, אך האם זה המקרה ב-DAO? בוא נגלה.
במקרה של DAOs, מכיוון שהוא דומה מאוד לארגונים רגילים, המצב כמעט זהה אם משתמש חשוב כלשהו הוא רוח רפאים. זה עלול אפילו בסופו של דבר לנעול את הכספים למשך חודשים או שנים של אחרים בהתבסס על סוג מערכת הממשל הקיימת. בקיצור, זה יזיק מאוד ל-DAO Security, והחלק הגרוע ביותר הוא שאתה אפילו לא יכול ליצור קשר אם האדם מחליט כי הכל וירטואלי ב-DAO.
הכוונה מאחורי רוחות רפאים יכולה להשתנות, זה יכול להיות בגלל שלאדם הייתה כוונת זדון או שעבר משבר בריאותי או משהו, אבל זה סיכון עצום מכיוון שאנשים משקיעים מיליוני דולרים בממשל. לפיכך, עדיף להחזיק "מתג מת" בוא נלמד מהו המתג הזה.
4.1 מה הפתרון?
המתג של דדמן הוא הפתרון, אבל מה זה? ומה הקטע עם השם המרושע הזה? זה מנגנון שהותקן כדי לטפל בנכס שלך למקרה שתמות או תגיב. זה קר. זה יכול לעזור לך מאוד, ואני מאמין שכל אחד בקריפטו צריך לקבל את זה.
אז בעצם איך זה עובד הוא, מדי כמה זמן, נשלחת בדיקת אימייל לחבר בודק אם הוא/היא מגיבים; אם תשיב, זה בסדר, אבל אם לא, מופעלת שרשרת אירועים שכוללת שליחת המידע החיוני לאלה שאכפת לך מהם כמו המפתחות הפרטיים שלך, כתובות הארנק וכו'. אתה יכול למצוא שירותים כאלה בעצמך באינטרנט.
5. התקפת התחזות
תמונה על ידי פיל שו on Unsplash
בואו נענה על שאלה מהנה, איך הייתם הורסים ארגון? זה פשוט, להשחית את העובדים הראשיים. ארגון לא יכול להחזיק מעמד הרבה. מה היה קורה אם אדם בודד היה ראש מחלקות רבות והוא היה מושחת? זה הסוף של הארגון.
מתקפה דומה יכולה להתבצע ב-DAO. זה מפחיד. כידוע, DAO עובד על פי הקהילה. יש אנשים שיוצרים מוניטין טוב בקהילה. יש אנשים שהופכים לחזקים ובעלי השפעה, ואחרים מייחסים להם תחושת סמכות. אפשר למצוא את זה בכל קהילה. לאנשים אלה ניתנות גם הרשאות ב-DAO כשהם פעילים, ונראה שמעשיהם מעדיפים את DAO. אנשים אלה יכולים להיבחר לתפקידים גבוהים שונים. וכל הקהילה הזו פעילה על פני קבוצות חברתיות דיגיטליות שונות, שהן יישומים כמו דיסקורד, טלגרם וכו', ובכך הופך את זה כמעט לבלתי אפשרי לזהות סוג זה של התקפה.
מה אם מישהו יוצר מספר חשבונות ומתחיל לתרום לקהילה עם חשבונות שונים? אם הוא יהיה טוב בזה, החשבונות שלו יתחילו לעלות לעמדות אמינות. למרות שהקהילה רואה את החשבונות האלה כבני אדם נפרדים, הם שייכים לאדם אחד בלבד. עכשיו, אם החשבונות יגיעו לעמדות של אמינות, תחשבו כמה הרס הם יכולים להביא על ה-DAO.
אם האדם מחזיק במספיק עמדות ב-DAO, הוא/היא יכול להטות את הכיוון הכללי. להשפיע על כל ההחלטות המכריעות. כל החשבונות האלה מצביעים על דבר אחד. כל החשבונות האלה אומרים את אותו הדבר ותומכים באותה אג'נדה. זה כמו להשתלט על כל ה-DAO. התוקף יכול להנדס את ה-DAO באופן חברתי לשים יותר מימון בפרויקטים המעניינים אותו או בפרויקט הזדוני שלו ובסופו של דבר לרוקן את כל הכספים. זה אכן מפחיד.
5.1 מה הפתרון?
קשה להתמודד עם התקפות אלה מכיוון שהתוקף מתערבב עם חברי קהילה אחרים, וקשה לצפות מתקפה מסוג זה. הפתרון העיקרי להתקפות אלו הוא להקשות על תהליך הבחירה. כדי להגיע לעמדת סמכות, הם יצטרכו להתמודד עם עוד קשיים ולהוכיח את עצמם. כמו כן, מומלץ להתמקד בבניית קהילה ייעודית גדולה יותר כדי להפחית את הסיכון להתקפות כאלה.
6. כיצד ניתן לשפר את אבטחת DAO?
אחת הדרכים הפוטנציאליות להתמודד עם התקפות חברתיות היא להסתמך פחות על בני אדם ולהפוך את הכל לאוטונומי. כך לא תהיה התערבות אנושית ולא מקום לטעויות אנוש, אבל זה אפשרי רק לפעמים.
התשובה הפשוטה הנוספת היא שאתה צריך צוות של מומחים. ישנן דרכים רבות שבהן ניתן להתפשר על הפרוטוקול. לפיכך, אתה צריך אנשים עם ניסיון ומומחיות כדי לאבטח את הפרוטוקול, שיודעים כיצד מתבצעות פריצות שונות וכיצד להתמודד איתם.
לנו ב-QuillAudits יש צוות של מומחים שתורמים רבות לחזון שלנו להפוך את המערכת האקולוגית של web3 לבטוחה כך שיותר אנשים יוכלו להפוך לחלק מההחלטה הזו. אנו מחויבים לאבטח אותו. בקר באתר האינטרנט שלנו ו להבטיח את פרויקט ה-Web3 שלך!
19 צפיות
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- אודות
- פי
- חֶשְׁבּוֹן
- חשבונות
- פעולה
- פעולות
- פעיל
- כתובות
- להשפיע על
- לאחר
- סדר יום
- תעשיות
- כְּבָר
- למרות
- תמיד
- ו
- לענות
- לצפות
- כל אחד
- יישומים
- אמנות
- נכס
- נכסים
- לצרף
- לתקוף
- המתקפות
- ביקורת
- רשויות
- סמכות
- אוטונומי
- מבוסס
- בסיסי
- בעיקרון
- כי
- להיות
- מאחור
- תאמינו
- מוטב
- גָדוֹל
- קצת
- blockchain
- בלוג
- לוּחַ
- ספר
- לשבור
- להביא
- בִּניָן
- אשר
- לשאת
- מקרה
- לגרום
- שרשרת
- לבדוק
- בדיקה
- ברור
- סְגוֹר
- COM
- מגיע
- מְחוּיָב
- Common
- קהילה
- חברות
- חברה
- של החברה
- להשלים
- השלמת
- לחלוטין
- מורכב
- פשרה
- התפשר
- מתפשר
- מושגים
- צור קשר
- תוכן
- יוצרי תוכן
- הקשר
- חוזה
- חוזים
- לתרום
- תורם
- לִשְׁלוֹט
- שיחה
- ליבה
- דלפק
- מדינה של
- לִיצוֹר
- יוצר
- יוצרים
- אמינות
- משבר
- מכריע
- קריפטו
- נוֹכְחִי
- סייבר
- אבטחת סייבר
- אבטחת סייבר
- ניזק
- DAO
- DAOs
- עסקה
- מבוזר
- החלטה
- החלטות
- מוקדש
- למסור
- מחלקות
- להרוס
- מפתחים
- למות
- ההבדלים
- אחר
- קשה
- קשיים
- דיגיטלי
- כיוון
- אסון
- מחלוקת
- נָדוֹן
- דולר
- לא
- מטה
- המערכת האקולוגית
- נבחר
- אמייל
- עובדים
- מהנדס
- הנדסה
- מספיק
- שגיאה
- וכו '
- אֲפִילוּ
- אירועים
- אי פעם
- כל
- כולם
- בדיוק
- דוגמה
- עולה
- חליפין
- ניסיון
- מומחיות
- מומחים
- המסביר
- ומנוצל
- מעללים
- לחקור
- פָּנִים
- נכשל
- ראשון
- להתמקד
- מצא
- החל מ-
- כֵּיף
- תִפקוּד
- מימון
- כספים
- עתיד
- לְהַשִׂיג
- איסוף
- כללי
- לקבל
- מקבל
- נתן
- נתינה
- Go
- מטרה
- Goes
- הולך
- טוב
- ממשל
- ממשלה
- להעניק
- קְבוּצָה
- קבוצה
- מדריך
- בחור
- פריצות
- לקרות
- קשה
- ראש
- בְּרִיאוּת
- נשמע
- לעזור
- כאן
- גָבוֹהַ
- גבוה יותר
- שכר
- שכירה
- להחזיק
- מחזיק
- איך
- איך
- אולם
- HTTPS
- עצום
- בן אנוש
- בני אדם
- הַרבֵּה מְאוֹד
- פְּגִיעָה
- בר - השפעה
- חשוב
- בלתי אפשרי
- לשפר
- in
- מידע
- במקום
- כוונה
- מטרה
- אינטרס
- אינטרנט
- התערבות
- הפיקו
- בעיות
- IT
- עצמו
- שמור
- מפתחות
- סוג
- לדעת
- גדול יותר
- אחרון
- שכבה
- לִלמוֹד
- משפטי
- מגרש
- עשוי
- ראשי
- הרוב
- לעשות
- עשייה
- מניפולציה
- רב
- אומר
- מנגנון
- לִפְגוֹשׁ
- פגישות
- חבר
- להרשם/להתחבר
- מיליונים
- חסר
- כסף
- חודשים
- יותר
- רוב
- סרט
- נע
- מספר
- שם
- שם
- צורך
- צרכי
- רב
- ONE
- באינטרנט
- דעות
- ארגון
- ארגונים
- אחר
- אחרים
- שֶׁלוֹ
- בעלים
- פרמטרים
- חלק
- מסוים
- צד
- מעברי
- סיסמאות
- אֲנָשִׁים
- אדם
- פיל
- מקום
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- עמדה
- עמדות
- אפשרויות
- אפשרי
- פוטנציאל
- כּוֹחַ
- חזק
- למנוע
- פְּרָטִי
- מידע פרטי
- מפתחות פרטיים
- הרשאות
- תהליך
- המוצר
- מוצרים
- התקדמות
- פּרוֹיֶקט
- פרויקטים
- תָקִין
- הצעה
- פרוטוקול
- פרוטוקולים
- להוכיח
- מטרה
- גם
- שאלה
- שאלות
- קווילהש
- אקראי
- לְהַגִיעַ
- חומר עיוני
- עולם אמיתי
- קבלה
- להפחית
- רגיל
- תשובה
- מוניטין
- החלטה
- אלה
- תגובה
- לעלות
- הסיכון
- חֶדֶר
- בטוח
- אותו
- תרחיש
- סצנות
- היקף
- שְׁנִיָה
- לבטח
- אַבטָחָה
- אבטחה
- רואה
- מבחר
- שליחה
- תחושה
- נפרד
- שירותים
- שיתוף
- שיתופים
- קצר
- צריך
- דומה
- פָּשׁוּט
- בפשטות
- יחיד
- מצב
- חכם
- חוזים חכמים
- So
- חֶברָתִי
- הנדסה חברתית
- מבחינה חברתית
- רך
- פִּתָרוֹן
- כמה
- מישהו
- משהו
- עומד
- התחלה
- התחלות
- סְתִימָה
- זר
- זרם
- מִבְנֶה
- כזה
- תמיכה
- להתנדנד
- מתג
- מערכת
- לקחת
- לוקח
- נטילת
- נבחרת
- מברק
- מונחים
- השמיים
- המיזמים
- שֶׁלָהֶם
- עצמם
- דבר
- דרך
- זמן
- ל
- יַחַד
- נושא
- שָׁקוּף
- האוצר
- עָצוּם
- מופעל
- להבין
- להשתמש
- משתמש
- משתמשים
- ערך
- מוערך
- לאמת
- וירטואלי
- חזון
- הַצבָּעָה
- קולות
- הצבעה
- פגיעות
- ארנק
- שעון
- דרכים
- Web3
- מערכת אקולוגית Web3
- פרויקט web3
- אתר
- אתרים
- מה
- מה
- אם
- אשר
- מי
- כל
- יצטרך
- לְלֹא
- Word
- תיק עבודות
- עובד
- עוֹלָם
- גרוע
- היה
- שנים
- אתה
- עצמך
- זפירנט