読み取り時間: 8 分
DAO に対するソーシャル エンジニアリング攻撃の調査:
1.DAOとは?
Dao は分散型自律組織の略です。 わかりました…しかし、それはどういう意味ですか? 単語ごとに分解してみましょう。 分散型とは、単一の当事者がその所有者ではなく、誰もがその一部になることができることを意味します。 自律という言葉に移ると、人間の介入が少なくても機能するものを意味します。 組織とは、目的や目的のために集まった人々の集まりです。
しかし、それはブロックチェーンと何の関係があるのでしょうか? 現在の世界に企業が存在するように、企業には製品があり、製品にはユーザーがいます。 会社はさまざまなパラメーターに基づいて評価され、さまざまな取締役会メンバーが会社の将来を決定します。 DAOはまさにそれです。 唯一の違いは、すべてがブロックチェーン上にあり、完全に透明であり、どの国の政府もそれを制御できないことです. 誰がそれを望まないのですか? DAO には途方もない可能性がありますが、それ自体は別のトピックです。
2. サイバーセキュリティは大きなプールです
「サイバーセキュリティ」という言葉をよく耳にしますが、明確な定義を持っていない人がほとんどです。 サイバー セキュリティは、パスワードやお金だけの問題ではありません。 それ自体が完全な世界です。 適切なガイダンスがなければ、未知の脆弱性が悪用される危険性が常に高くなります。 サイバーセキュリティは、インターネット上の見知らぬ人とのランダムな会話から、あなたが見ているすべてのファンシーな映画シーンにまで及びます. ソーシャル エンジニアリングは、サイバー セキュリティのそのような部分の XNUMX つです。 調べてみましょう。
2.1 ソーシャルエンジニアリングとは?
サイバーセキュリティの文脈におけるソーシャルエンジニアリングは、ユーザーを操作し、人的ミスを悪用して個人情報や貴重品を入手することにより、情報を収集したり、システムや構造を侵害したりする技術です. 複雑に聞こえますか? 手伝わせてください。
パスワードを忘れた場合に本人であることを確認するために、一部の Web サイトで保持されているセキュリティの質問を見たことがあるはずです。 ここで、不和でランダムな男に会い、ちょっとしたおしゃべりをするシナリオを想像してみてください。あなたの出身地や読みたい本などの基本的なことだけです。 あなたが初めて読んだ本はどれですか。 そのようなもの、今。 これは、多くの Web サイトで「お気に入りの本の名前は?」という秘密の質問です。 彼はすでに答えを持っています。 彼はそれを使用してあなたのアカウントを侵害する可能性があります。 これはソーシャル エンジニアリングを説明する簡単な方法にすぎません。範囲はこの単純な例とはかけ離れていますが、核となる概念は同じです。
2.2 DAO におけるソーシャル エンジニアリング
この「ソーシャル エンジニアリング」または「ソーシャル アタック」は、DAO の場合にどのように使用されるのでしょうか。このブログはそのすべてです。 悪意のあるユーザーが DAO を破る一般的な方法をいくつか探り、それを防ぐ方法を学びます。
3. 国庫の悪用
Treasury のエクスプロイトを理解する前に、DAO がどのように機能するか、決定がどのように行われるか、誰が決定を下すかなどを知る必要があります。
ご存知のように、DAO は他の組織とまったく同じです。 通常の組織と同様に、理事会は投票によって決定します。 DAO では、特定のアクションに対して何人かの人々が投票し、過半数が同意した場合に決定が実行されます。
DAO で投票はどのように行われますか?:-
通常の組織と同様に、議決権は、株式と資産に関して組織をどれだけ所有しているかに比例して、取締役会メンバーに属します。 DAOは同様のメカニズムを使用し、DAOは組織の一員になりたい人に発行される「ガバナンストークン」を持っており、多くの「ガバナンストークン」を保持している人々はより支配的です.
3.1 ソフト トレジャリー エクスプロイトとは?
ソフト トレジャリー エクスプロイトとは、実行する作業と引き換えにウォレットに資金を提供するという提案が通ったが、作業は完了せず、受信者が単にお金を保持する場合です。 よく理解しましょう。
さて、シナリオを想像してみてください。Yという名前の通常の組織が何らかの仕事をする必要があり、何人かの取締役会がその仕事をするためにYという名前の会社を雇うことを提案し、取締役会のメンバーが投票します。 投票が過半数の会社を上回った場合、Y にプロジェクトが与えられます。 しかし、プロジェクトの資金を受け取った後、会社 Y が消滅した場合はどうなるでしょうか。 それは災害になるでしょう。
これはの一つである DAO の主なセキュリティ問題、 DAO コミュニティが開発者やコンテンツ クリエーターなどを雇って作業を完了させる例は数多くありますが、後になって、彼らはまだ進歩が見られず、資金がなくなっていることに気付きます。
3.2 解決策は?
通常の組織では、この種の不正行為を防止するために、法務当局の助けを借りています。 3 つの組織は契約を結び、それぞれの目的に違反した場合は罰則を科されます。 しかし、webXNUMX ではどうでしょうか。 ここで私たちが知っているように、「コードは法である」ので、その事実を利用します。 一度に資金を提供する代わりに、時間をかけてストリーミングすることを決定できます。これにより、いずれかの当事者が提供に失敗した場合、投票によってストリームを停止する余地が生まれます。これはすべて、そこにあるスマート コントラクトの助けを借りて行うことができます。この目的のためだけに作成されたいくつかのプロトコルがあります。
4.ゴースト
議論したように、すべての組織には取締役会メンバーがおり、会議での意見や決定は重要です。 それは、彼らが大きなシェアを占めているか、組織に価値をもたらしているからかもしれません。 しかし、彼らが突然行方不明になり、ただ消えてしまったらどうなるか想像してみてください。 それが組織にどのような影響を与えるか想像してみてください。 しかし、実際のシナリオでは、その人は何とか連絡を取ることができますが、DAO ではそうなるのでしょうか? 確認してみましょう。
DAO の場合、通常の組織と非常によく似ているため、重要なユーザーがゴースト化された場合、状況はほぼ同じです。 実施されているガバナンスシステムのタイプに基づいて、他の人の資金を数か月または数年にわたってロックすることさえあるかもしれません. 要するにDAOのセキュリティに大きなダメージを与えることになりますし、DAOでは全てが仮想化されているため、本人が決めれば連絡すら取れないという最悪の事態に陥ります。
ゴースティングの背後にある意図はさまざまです。その人が悪意を持っていたり、健康上の危機を経験したりしている可能性がありますが、人々が何百万ドルもガバナンスに投入しているため、これは大きなリスクです. したがって、「デッドマンズ スイッチ」を維持することをお勧めします。このスイッチが何であるかを学びましょう。
4.1 解決策は?
デッドマンのスイッチが解決策ですが、それは何ですか? そして、この不吉な名前は何ですか? これは、あなたが死亡したり応答したりした場合に備えて、資産を処理するために導入されたメカニズムです。 それは寒いです。 それはあなたを大いに助けることができます、そして私は暗号のすべての人がこれを持っているべきだと信じています.
したがって、基本的には、メンバーが応答しているかどうかを確認する電子メールチェックがメンバーに頻繁に送信されます。 返信しても問題ありませんが、返信しない場合は一連のイベントがトリガーされ、秘密鍵やウォレット アドレスなどの重要な情報が重要な情報に送信されます。そのようなサービスは自分で見つけることができます。オンライン。
5.なりすまし攻撃
面白い質問に答えてみましょう。組織をどのように破壊しますか? それは単純です、ヘッドの従業員を腐敗させます。 それでは、組織は長続きしません。 XNUMX 人の人物が多くの部門の責任者を務めていて、その人物が腐敗した場合はどうなりますか? 組織の終わりです。
同様の攻撃が DAO で実行される可能性があります。 それは怖い。 ご存知のように、DAO はコミュニティに従って機能します。 コミュニティで良い評判を作る人もいます。 強力で影響力のある人もいれば、権威の感覚を身につける人もいます。 これは、どのコミュニティにもあります。 これらの人々は活動しているため、DAO での特権も与えられており、彼らの行動は DAO に有利に働いているようです。 これらの人々は、さまざまなより高い地位に選出される可能性があります。 そして、このコミュニティはすべて、discord、電報などのアプリケーションであるさまざまなデジタル ソーシャル グループで活動しているため、この種の攻撃を検出することはほぼ不可能です。
誰かが複数のアカウントを作成し、異なるアカウントでコミュニティへの貢献を開始した場合はどうなりますか? 彼がそれが得意であれば、彼のアカウントは信頼できる地位に上がり始めるでしょう。 コミュニティはこれらのアカウントを別々の人間と見なしていますが、それらは XNUMX 人の人物にのみ属しています。 アカウントが信頼できる立場に立つ場合、DAO にどれほどの混乱をもたらすかを考えてみてください。
その人が DAO で十分なポジションを保持している場合、その人は全体的な方向性を左右することができます。 すべての重要な決定に影響を与えます。 これらすべてのアカウントは、XNUMX つのことに投票します。 これらのアカウントはすべて同じことを言い、同じ議題を支持しています。 これは、DAO 全体を引き継ぐようなものです。 攻撃者は、DAO をソーシャル エンジニアリングして、関心のあるプロジェクトまたは悪意のあるプロジェクトにより多くの資金を投入し、最終的にすべての資金を流出させることができます。 さすがに怖いです。
5.1 解決策は?
これらの攻撃は、攻撃者が他のコミュニティ メンバーと混ざり合うため、対抗するのが難しく、この種の攻撃を予測することが難しくなります。 これらの攻撃に対する主な解決策は、選択プロセスを難しくすることです。 権威ある地位に到達するために、彼らはより多くの困難に直面し、自分自身を証明しなければなりません。 このような攻撃のリスクを軽減するために、より大きな専用コミュニティの構築に集中することもお勧めします。
6. DAO のセキュリティをどのように改善できますか?
社会的攻撃に対処する XNUMX つの潜在的な方法は、人間への依存を減らし、すべてを自律的にすることです。 この方法では、人間の介入がなく、人的エラーの余地もありませんが、これは可能な場合に限られます。
もう XNUMX つの簡単な答えは、専門家チームが必要だということです。 プロトコルが侵害される可能性のある方法は多数あります。 したがって、さまざまなハッキングがどのように実行され、どのように対処するかを知っている、プロトコルを保護するための経験と専門知識を持つ人が必要です。
私たち QuillAudits には、より多くの人々がこの決議に参加できるように、web3 エコシステムを安全にするという私たちのビジョンに大きく貢献する専門家チームがあります。 私たちはそれを確保することを約束します。 当社のウェブサイトにアクセスして、 Web3 プロジェクトを保護する!
19 ビュー
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- 私たちについて
- 従った
- アカウント
- Action
- 行動
- アクティブ
- アドレス
- 影響を及ぼす
- 後
- 議題
- すべて
- 既に
- しかし
- 常に
- および
- 回答
- 予想する
- 誰も
- 宝品
- 資産
- 資産
- アタッチ
- 攻撃
- 攻撃
- 監査
- 当局
- 権威
- 自律的
- ベース
- 基本
- 基本的に
- なぜなら
- になる
- 背後に
- 信じる
- より良いです
- ビッグ
- ビット
- ブロックチェーン
- ブログ
- ボード
- 本
- ブレーク
- 持って来る
- 建物
- これ
- キャリー
- 場合
- 原因となる
- チェーン
- チェック
- 点検
- クリア
- 閉じる
- COM
- 到来
- コミットした
- コマンドと
- コミュニティ
- 企業
- 会社
- 会社の
- コンプリート
- 記入済みの
- 完全に
- 複雑な
- 妥協
- 損害を受けた
- 妥協する
- コンセプト
- 接触
- コンテンツ
- コンテンツ制作者
- コンテキスト
- 縮小することはできません。
- 契約
- 貢献する
- 貢献
- コントロール
- 会話
- 基本
- カウンター
- 国の
- 作ります
- 作成します。
- クリエイター
- 信頼性
- 危機
- 重大な
- クリプト
- 電流プローブ
- サイバー
- サイバーセキュリティ
- サイバーセキュリティ
- 損傷
- DAO
- DAO
- 取引
- 分権化された
- 決定
- 決定
- 専用の
- 配信する
- 部署
- 破壊する
- 開発者
- 死
- の違い
- 異なります
- 難しい
- 困難
- デジタル
- 方向
- 災害
- 不和
- 議論する
- ドル
- ドント
- ダウン
- エコシステム
- 選出された
- 社員
- エンジニア
- エンジニアリング
- 十分な
- エラー
- 等
- さらに
- イベント
- EVER
- あらゆる
- 誰も
- 正確に
- 例
- 超え
- 交換
- 体験
- 専門知識
- 専門家
- 説明
- 搾取
- エクスプロイト
- 探る
- 顔
- 失敗
- もう完成させ、ワークスペースに掲示しましたか?
- 名
- フォーカス
- 発見
- から
- 楽しいです
- 機能します
- 資金調達
- 資金
- 未来
- 利得
- 集まり
- 取得する
- 受け
- 与えられた
- 与え
- Go
- 目標
- ゴエス
- 行く
- 良い
- ガバナンス
- 政府・公共機関
- 助成金
- グループ
- グループの
- ガイド
- ガイ
- ハック
- 起こる
- ハード
- 健康
- 聞いた
- 助けます
- こちら
- ハイ
- より高い
- 採用
- 雇用
- 保持している
- 認定条件
- How To
- しかしながら
- HTTPS
- 巨大な
- 人間
- 人間
- とてつもなく
- 影響
- 衝撃的
- 重要
- 不可能
- 改善します
- in
- 情報
- を取得する必要がある者
- 意図
- 意図
- 関心
- インターネット
- 介入
- 発行済み
- 問題
- IT
- 自体
- キープ
- キー
- 種類
- 知っている
- より大きい
- 姓
- 層
- LEARN
- リーガルポリシー
- たくさん
- 製
- メイン
- 大多数
- make
- 作成
- 操作する
- 多くの
- 手段
- メカニズム
- 大会
- ミーティング
- メンバー
- メンバー
- 何百万
- 行方不明
- お金
- ヶ月
- 他には?
- 最も
- 映画
- 移動する
- の試合に
- 名
- 名前付き
- 必要
- ニーズ
- 多数の
- ONE
- オンライン
- 意見
- 組織
- 組織的な
- その他
- その他
- 自分の
- 所有者
- パラメータ
- 部
- 特定の
- パーティー
- パス
- パスワード
- のワークプ
- 人
- PHIL
- 場所
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 位置
- ポジション
- の可能性
- 可能
- 潜在的な
- 電力
- 強力な
- 防ぐ
- プライベート
- 個人情報
- 秘密鍵
- 特権
- プロセス
- プロダクト
- 製品
- 進捗
- プロジェクト
- プロジェクト(実績作品)
- 適切な
- 提案
- プロトコル
- 受験する
- 目的
- 置きます
- 質問
- 質問
- クイルハッシュ
- ランダム
- リーチ
- 読む
- 現実の世界
- 受け入れ
- 減らします
- レギュラー
- 返信
- 評判
- 解像度
- それらの
- 反応する
- 上昇
- リスク
- ルーム
- 安全な
- 同じ
- シナリオ
- シーン
- スコープ
- 二番
- 安全に
- 確保する
- セキュリティ
- 見て
- 選択
- 送信
- センス
- 別
- サービス
- シェアする
- 株式
- ショート
- すべき
- 同様の
- 簡単な拡張で
- 単に
- 状況
- スマート
- スマート契約
- So
- 社会
- ソーシャルエンジニアリング
- 社会的に
- ソフト
- 溶液
- 一部
- 誰か
- 何か
- スタンド
- start
- 開始
- 停止
- 見知らぬ人
- 流れ
- 構造
- そのような
- サポート
- スウェイ
- スイッチ
- 取る
- 取り
- 取得
- チーム
- Telegram
- 条件
- プロジェクト
- アプリ環境に合わせて
- 自分自身
- もの
- 介して
- 時間
- 〜へ
- 一緒に
- トピック
- トランスペアレント
- 財務省
- すばらしい
- トリガ
- わかる
- つかいます
- ユーザー
- users
- 値
- 評価
- 確認する
- バーチャル
- ビジョン
- 投票
- 票
- 投票
- 脆弱性
- 財布
- よく見る
- 方法
- Web3
- Web3エコシステム
- web3プロジェクト
- ウェブサイト
- ウェブサイト
- この試験は
- 何ですか
- かどうか
- which
- 誰
- 全体
- 意志
- 無し
- Word
- 仕事
- 作品
- 世界
- 最悪
- でしょう
- 年
- You
- あなたの
- あなた自身
- ゼファーネット