Lesetid: 8 minutter
Utforsker de sosiale ingeniørangrepene på DAO:
1. Hva er en DAO?
Dao står for Decentralized Autonomous Organisation. Ok... men hva betyr det? La oss bryte det ned ord for ord. Desentralisert betyr at ingen enkelt part er dens eier, og hvem som helst kan bli en del av den. Å flytte til ordet autonom betyr noe som fungerer med mindre menneskelig innblanding. En organisasjon er en gruppe mennesker som kommer sammen for et mål eller en sak.
Men hva har det med blockchain å gjøre? Ettersom det er selskaper i vår nåværende verden, har selskaper et produkt, og produkter har brukere. Selskapet verdsettes ut fra ulike parametere, og ulike styremedlemmer bestemmer selskapets fremtid. DAO er akkurat det. De eneste forskjellene er at det hele er på en blokkjede, helt gjennomsiktig, og ingen lands myndigheter kan kontrollere det. HVEM VIL IKKE DET? DAO-er har enorme muligheter, men det er et annet tema i seg selv.
2. Cybersikkerhet er et stort basseng
"Cyber Security" du må ha hørt dette begrepet mye, men de fleste har ikke en klar definisjon. Cybersikkerhet handler ikke bare om passord eller penger. Det er en hel verden i seg selv. Uten riktig veiledning har du alltid en høy risiko for å få en ukjent sårbarhet utnyttet. Cybersikkerhet spenner fra en tilfeldig samtale med en fremmed på internett til alle de fancy filmscenene du ser. Social Engineering er en slik del av cybersikkerhet. La oss utforske det.
2.1 Hva er sosial ingeniørkunst?
Social Engineering i sammenheng med cybersikkerhet er rett og slett kunsten å samle informasjon eller kompromittere systemet eller strukturen ved å manipulere brukere og utnytte menneskelige feil for å få privat informasjon eller verdisaker. Høres komplekst ut? La meg hjelpe deg.
Du må ha sett sikkerhetsspørsmålene som enkelte nettsteder har for å bekrefte at det er deg hvis du glemmer passord. Forestill deg nå et scenario der du møter en tilfeldig fyr på splid og har litt tjut-prat, bare noen grunnleggende ting som hvor du er fra og hvilken bok du liker å lese. Hvilken var den første boken du noen gang leste? Slike ting nå. Dette er et sikkerhetsspørsmål på mange nettsteder "Hva heter favorittboken din?" Han har allerede svaret; han kan bruke den til å kompromittere kontoen din. Det er bare en enkel måte å forklare sosial ingeniørkunst, omfanget går veldig langt fra dette enkle eksemplet, men kjernekonseptene er de samme.
2.2 Sosialteknikk i DAO
Hvordan kan denne "Social Engineering" eller "Social Attacks" brukes i tilfelle av DAO?, Denne bloggen handler om det. Vi vil utforske noen vanlige måter ondsinnede brukere kan bryte DAO og lære hvordan det kan forhindres.
3. Treasury-utnyttelser
Før vi forstår Treasury-utnyttelsene, bør vi vite hvordan DAO fungerer, hvordan beslutninger tas, hvem som tar avgjørelsene osv.
Som vi vet, er DAO-er akkurat som alle andre organisasjoner. Som ved vanlig organisering avgjør medlemsstyret ved avstemning. I DAO-er stemmer noen for en bestemt handling, og hvis flertallet er enig, gjennomføres beslutningen.
Hvordan skjer stemmegivning i DAOs?:-
Som i vanlige organisasjoner ligger stemmerett hos styremedlemmene i forhold til hvor mye de eier organisasjonen i form av aksjer og eiendeler. DAO-er bruker en lignende mekanisme, DAO-er har et "Governance-token" utstedt til folk som ønsker å være en del av organisasjonen, og personene som har mye "Governance Token" har mer kontroll.
3.1 Hva er soft treasury exploits?
Soft treasury exploits er når et forslag går igjennom om å gi midler til en lommebok i bytte for noe arbeid som skal gjøres, men arbeidet ikke blir fullført, og mottakeren beholder ganske enkelt pengene. La oss forstå det bedre.
Se for deg et scenario, en vanlig organisasjon som heter Y trenger litt arbeid, og noen styremedlemmer foreslår å ansette et selskap som heter Y for å gjøre jobben, og nå tar styremedlemmene avstemningen. Dersom stemmen overstiger majoritetsbedriften, får Y prosjektet. Men hva om selskap Y bare forsvinner etter å ha mottatt midler til prosjektet? Det blir en katastrofe.
Dette er en av hovedsikkerhetsproblemer i DAOer, Det har vært mange tilfeller da DAO-fellesskapet ansetter utviklere, innholdsskapere etc. for å få arbeidet gjort, men senere finner de ut at fremskritt ennå ikke er gjort, og pengene deres er borte.
3.2 Hva er løsningen?
I vanlige organisasjoner, for å forhindre denne typen mishandling, tar vi hjelp av juridiske myndigheter. De to organisasjonene oppretter en kontrakt og står overfor straff hvis deres respektive slutt blir brutt. Men hva i web3? Som vi vet her, "Code is the law", så vi bruker det faktum. I stedet for å gi midlene på én gang, kan vi bestemme oss for å streame dem over tid, og dette skaper også rom for å stoppe strømmen ved avstemning dersom noe parti ikke klarer å levere, og alt dette kan gjøres ved hjelp av en Smart Contracts der er noen protokoller laget kun for dette formålet.
4. Ghosting
Photo by Priscilla Du Preez on Unsplash
Som diskutert har hver organisasjon styremedlemmer, noen viktigere enn andre, hvis meninger og beslutninger er avgjørende i møtene. Det kan være fordi de har en høy andel eller gir verdi til organisasjonen. Men forestill deg for et sekund hva som ville skje hvis de plutselig ble borte og bare forsvant. Tenk deg hvordan det ville påvirke organisasjonen. Men i den virkelige verden kan personen kontaktes på en eller annen måte, men er det tilfellet i DAO? La oss finne det ut.
Når det gjelder DAO-er, siden det ligner veldig på vanlige organisasjoner, er situasjonen nesten den samme hvis en viktig bruker er spøkelsesaktig. Det kan til og med ende opp med å låse midlene i måneder eller år for andre basert på typen styringssystem som er på plass. Kort fortalt vil det være svært skadelig for DAO Security, og det verste er at du ikke en gang kan ta kontakt hvis personen bestemmer seg fordi det hele er virtuelt i DAO.
Intensjonen bak ghosting kan variere, det kan være fordi personen hadde ondsinnede hensikter eller gikk gjennom en helsekrise eller noe, men dette er en enorm risiko ettersom folk legger millioner av dollar i styresett. Derfor er det bedre å beholde en "dødmannsbryter", la oss lære hva denne bryteren er.
4.1 Hva er løsningen?
Deadman's switch er løsningen, men hva er det? og hva er det med dette skumle navnet? Det er en mekanisme som er satt på plass for å håndtere eiendelen din i tilfelle du dør eller blir responsiv. Det er kaldt. Det kan hjelpe deg enormt, og jeg tror alle i krypto burde ha dette.
Så i bunn og grunn er det slik at det av og til blir sendt en e-postsjekk til medlemmet som sjekker om han/hun er responsiv; hvis du svarer, er det greit, men hvis du ikke gjør det, utløses en kjede av hendelser som innebærer å sende den avgjørende informasjonen til de du bryr deg om som dine private nøkler, lommebokadresser osv. Du kan finne slike tjenester selv på nett.
5. Etterligningsangrep
Photo by Phil Shaw on Unsplash
La oss svare på et morsomt spørsmål: Hvordan vil du ødelegge en organisasjon? Det er enkelt, korrupte lederen ansatte. En organisasjon kan ikke vare mye, da. Hva ville skje hvis en enkelt person var leder for mange avdelinger og han ble korrupt? Det er slutten på organisasjonen.
Et lignende angrep kan utføres i DAO. Det er skummelt. Som vi vet jobber DAO i henhold til fellesskapet. Noen mennesker skaper et godt rykte i samfunnet. Noen mennesker blir mektige og virkningsfulle, og andre knytter en følelse av autoritet til dem. Dette kan finnes i alle fellesskap. Disse menneskene får også privilegier i DAO ettersom de er aktive, og deres handlinger ser ut til å favorisere DAO. Disse personene kan velges til forskjellige høyere verv. Og hele dette fellesskapet er aktivt over forskjellige digitale sosiale grupper, som er applikasjoner som discord, telegram etc., og gjør det dermed nesten umulig å oppdage denne typen angrep.
Hva om noen oppretter flere kontoer og begynner å bidra til fellesskapet med forskjellige kontoer? Hvis han er god til det, vil regnskapet hans begynne å stige til troverdighetsposisjoner. Selv om samfunnet ser på disse kontoene som separate mennesker, tilhører de bare én person. Nå, hvis regnskapet øker til troverdighetsposisjoner, tenk hvor mye ødeleggelse de kan bringe over DAO.
Hvis personen har nok stillinger i DAO, kan han/hun svinge den generelle retningen. Påvirke alle avgjørende beslutninger. Alle disse kontoen stemmer for én ting. Alle disse kontoene sier det samme og støtter den samme agendaen. Dette er som å ta over hele DAO. Angriperen kan sosialt konstruere DAO for å sette mer midler inn i prosjekter av interesse eller ondsinnet prosjekt og ende opp med å tappe alle midlene. Det er faktisk skummelt.
5.1 Hva er løsningen?
Disse angrepene er vanskelige å motarbeide fordi angriperen blander seg med andre fellesskapsmedlemmer, og det blir vanskelig å forutse denne typen angrep. Hovedløsningen for disse angrepene er å gjøre utvelgelsesprosessen vanskelig. For å nå en autoritetsposisjon må de møte flere vanskeligheter og bevise seg selv. Det anbefales også å fokusere på å bygge et større dedikert fellesskap for å redusere risikoen for slike angrep.
6. Hvordan kan du forbedre DAO-sikkerheten?
En potensiell måte å takle sosiale angrep på er å stole mindre på mennesker og gjøre det hele autonomt. På denne måten vil det ikke være noen menneskelig inngripen og ikke rom for menneskelige feil, men dette er bare noen ganger mulig.
Det andre enkle svaret er at du trenger et team med eksperter. Det er mange måter protokollen kan bli kompromittert på. Dermed trenger du folk med erfaring og ekspertise for å sikre protokollen, som vet hvordan ulike hacks utføres og hvordan de skal takles.
Vi i QuillAudits har et team av eksperter som bidrar enormt til vår visjon om å gjøre web3-økosystemet trygt slik at flere mennesker kan bli en del av denne løsningen. Vi er forpliktet til å sikre det. Besøk vår hjemmeside og få Web3-prosjektet ditt sikret!
19 Visninger
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- Om oss
- Ifølge
- Logg inn
- kontoer
- Handling
- handlinger
- aktiv
- adresser
- påvirke
- Etter
- agenda
- Alle
- allerede
- Selv
- alltid
- og
- besvare
- forutse
- noen
- søknader
- Kunst
- eiendel
- Eiendeler
- feste
- angripe
- Angrep
- revisjon
- Myndigheter
- myndighet
- autonom
- basert
- grunnleggende
- I utgangspunktet
- fordi
- bli
- bak
- tro
- Bedre
- Stor
- Bit
- blockchain
- Blogg
- borde
- bok
- Break
- bringe
- Bygning
- hvilken
- bære
- saken
- Årsak
- kjede
- sjekk
- kontroll
- fjerne
- Lukke
- COM
- kommer
- forpliktet
- Felles
- samfunnet
- Selskaper
- Selskapet
- Selskapets
- fullføre
- Terminado
- helt
- komplekse
- kompromiss
- kompromittert
- kompromittere
- konsepter
- kontakt
- innhold
- innholdsskapere
- kontekst
- kontrakt
- kontrakter
- bidra
- medvirkende
- kontroll
- Samtale
- Kjerne
- Motvirke
- Landets
- skape
- skaper
- skaperne
- Troverdighet
- krise
- avgjørende
- krypto
- Gjeldende
- cyber
- cybersikkerhet
- Cybersecurity
- skade
- DAO
- DAOS
- avtale
- desentralisert
- avgjørelse
- avgjørelser
- dedikert
- leverer
- avdelinger
- ødelegge
- utviklere
- Die
- forskjeller
- forskjellig
- vanskelig
- vanskeligheter
- digitalt
- retning
- katastrofe
- disharmoni
- diskutert
- dollar
- ikke
- ned
- økosystem
- valgt
- emalje
- ansatte
- ingeniør
- Ingeniørarbeid
- nok
- feil
- etc
- Selv
- hendelser
- NOEN GANG
- Hver
- alle
- nøyaktig
- eksempel
- stiger
- utveksling
- erfaring
- ekspertise
- eksperter
- forklare
- Exploited
- exploits
- utforske
- Face
- mislykkes
- Finn
- Først
- Fokus
- funnet
- fra
- moro
- funksjon
- finansiering
- midler
- framtid
- Gevinst
- samle
- general
- få
- få
- gitt
- Giving
- Go
- mål
- Går
- skal
- god
- styresett
- Regjeringen
- innvilge
- Gruppe
- Gruppens
- veilede
- Guy
- hacks
- skje
- Hard
- hode
- Helse
- hørt
- hjelpe
- her.
- Høy
- høyere
- satte
- Ansetter
- hold
- holder
- Hvordan
- Hvordan
- Men
- HTTPS
- stort
- menneskelig
- Mennesker
- umåtelig
- Påvirkning
- innflytelsesrik
- viktig
- umulig
- forbedre
- in
- informasjon
- i stedet
- hensikt
- Intensjon
- interesse
- Internet
- intervensjon
- Utstedt
- saker
- IT
- selv
- Hold
- nøkler
- Type
- Vet
- større
- Siste
- lag
- LÆRE
- Lovlig
- Lot
- laget
- Hoved
- Flertall
- gjøre
- Making
- manipulere
- mange
- midler
- mekanisme
- Møt
- møter
- medlem
- medlemmer
- millioner
- mangler
- penger
- måneder
- mer
- mest
- film
- flytting
- flere
- navn
- oppkalt
- Trenger
- behov
- mange
- ONE
- på nett
- Meninger
- organisasjonen
- organisasjoner
- Annen
- andre
- egen
- eieren
- parametere
- del
- Spesielt
- parti
- passerer
- passord
- Ansatte
- person
- Phil
- Sted
- plato
- Platon Data Intelligence
- PlatonData
- posisjon
- stillinger
- muligheter
- mulig
- potensiell
- makt
- kraftig
- forebygge
- privat
- privat informasjon
- Private nøkler
- privilegier
- prosess
- Produkt
- Produkter
- Progress
- prosjekt
- prosjekter
- ordentlig
- forslag
- protokollen
- protokoller
- Bevis
- formål
- sette
- spørsmål
- spørsmål
- Quillhash
- tilfeldig
- å nå
- Lese
- virkelige verden
- mottak
- redusere
- regelmessig
- svar
- omdømme
- oppløsning
- de
- responsive
- Rise
- Risiko
- rom
- trygge
- samme
- scenario
- Scener
- omfang
- Sekund
- sikre
- sikring
- sikkerhet
- Sees
- utvalg
- sending
- forstand
- separat
- Tjenester
- Del
- Aksjer
- Kort
- bør
- lignende
- Enkelt
- ganske enkelt
- enkelt
- situasjon
- Smart
- Smarte kontrakter
- So
- selskap
- Sosialteknikk
- sosialt
- Soft
- løsning
- noen
- Noen
- noe
- står
- Begynn
- starter
- stoppe
- fremmed
- stream
- struktur
- slik
- støtte
- Sway
- Bytte om
- system
- Ta
- tar
- ta
- lag
- Telegram
- vilkår
- De
- Prosjektene
- deres
- seg
- ting
- Gjennom
- tid
- til
- sammen
- Tema
- gjennomsiktig
- treasury
- enorm
- utløst
- forstå
- bruke
- Bruker
- Brukere
- verdi
- verdsatt
- verifisere
- virtuelle
- syn
- Stem
- stemmer
- Stemmegivning
- sårbarhet
- lommebok
- Se
- måter
- Web3
- Web3 økosystem
- web3-prosjekt
- Nettsted
- nettsteder
- Hva
- Hva er
- om
- hvilken
- HVEM
- hele
- vil
- uten
- ord
- Arbeid
- virker
- verden
- verste
- ville
- år
- Du
- Din
- deg selv
- zephyrnet