Czas czytania: 8 minuty
Badanie ataków socjotechnicznych na DAO:
1. Co to jest DAO?
Dao oznacza Zdecentralizowaną Autonomiczną Organizację. No dobrze… ale co to znaczy? Podzielmy to słowo po słowie. Zdecentralizowany oznacza, że żadna pojedyncza partia nie jest jego właścicielem i każdy może stać się jego częścią. Przejście do słowa autonomiczny oznacza coś, co działa przy mniejszej interwencji człowieka. Organizacja to grupa ludzi zrzeszających się w celu lub sprawie.
Ale co to ma wspólnego z blockchainem? Ponieważ w naszym obecnym świecie istnieją firmy, firmy mają produkt, a produkty mają użytkowników. Spółka jest wyceniana na podstawie różnych parametrów, a różni członkowie zarządu decydują o przyszłości firmy. DAO jest dokładnie tym. Jedyne różnice polegają na tym, że wszystko jest na blockchainie, całkowicie przejrzyste i żaden rząd kraju nie może tego kontrolować. KTO TEGO NIE CHCE? DAO niosą ze sobą ogromne możliwości, ale to osobny temat.
2. Cyberbezpieczeństwo to duża pula
„Cyberbezpieczeństwo” na pewno często słyszałeś ten termin, ale większość nie ma jasnej definicji. Cyberbezpieczeństwo to nie tylko hasła czy pieniądze. Jest to cały, kompletny świat sam w sobie. Bez odpowiednich wskazówek zawsze istnieje duże ryzyko wykorzystania nieznanej luki w zabezpieczeniach. Bezpieczeństwo cybernetyczne obejmuje zarówno przypadkową rozmowę z nieznajomym w Internecie, jak i te wszystkie fantazyjne sceny filmowe, które oglądasz. Inżynieria społeczna jest jednym z takich elementów cyberbezpieczeństwa. Zbadajmy to.
2.1 Czym jest inżynieria społeczna?
Inżynieria społeczna w kontekście bezpieczeństwa cybernetycznego to po prostu sztuka gromadzenia informacji lub kompromitacji systemu lub struktury poprzez manipulowanie użytkownikami i wykorzystywanie błędu ludzkiego w celu zdobycia prywatnych informacji lub wartościowych przedmiotów. Brzmi skomplikowanie? Pozwól że ci pomogę.
Na pewno widziałeś pytania bezpieczeństwa, które niektóre witryny przechowują, aby zweryfikować, czy to Ty, jeśli zapomnisz hasła. Teraz wyobraź sobie scenariusz, w którym spotykasz przypadkowego faceta na discordzie i masz trochę pogawędki, tylko kilka podstawowych rzeczy, takich jak skąd jesteś i jaką książkę lubisz czytać. Jaka była pierwsza książka, którą przeczytałeś? Takie rzeczy, teraz. To jest pytanie ochronne na wielu stronach internetowych „Jak nazywa się twoja ulubiona książka?” Ma już odpowiedź; może go użyć do naruszenia bezpieczeństwa Twojego konta. To tylko prosty sposób wyjaśnienia inżynierii społecznej, zakres bardzo odbiega od tego prostego przykładu, ale podstawowe koncepcje są takie same.
2.2 Inżynieria społeczna w DAO
Jak można wykorzystać tę „inżynierię społeczną” lub „ataki społeczne” w przypadku DAO? Ten blog jest o tym. Zbadamy kilka typowych sposobów, w jakie szkodliwi użytkownicy mogą łamać DAO i dowiemy się, jak można temu zapobiec.
3. Wyczyny skarbowe
Zanim zrozumiemy exploity Skarbu Państwa, powinniśmy wiedzieć, jak działa DAO, jak podejmowane są decyzje, kto podejmuje decyzje itp.
Jak wiemy, DAO są dokładnie jak każda inna organizacja. Podobnie jak w zwykłej organizacji, rada członków decyduje w drodze głosowania. W DAO część osób głosuje na konkretną akcję i jeśli większość się zgodzi, decyzja jest wykonywana.
Jak odbywa się głosowanie w DAO?:-
Podobnie jak w zwykłych organizacjach, siła głosu przysługuje członkom zarządu proporcjonalnie do tego, ile posiadają organizacji pod względem udziałów i aktywów. DAO używają podobnego mechanizmu, DAO mają „token zarządzania” wydawany osobom, które chcą być częścią organizacji, a ludzie, którzy posiadają dużo „tokenu zarządzania”, mają większą kontrolę.
3.1 Czym są miękkie exploity skarbowe?
Miękkie exploity skarbowe mają miejsce, gdy propozycja przyznania funduszy do portfela w zamian za wykonanie pewnej pracy, ale praca nie zostaje ukończona, a odbiorca po prostu zatrzymuje pieniądze. Zrozummy to lepiej.
A teraz wyobraź sobie scenariusz. Pewna zwykła organizacja o nazwie Y potrzebuje trochę pracy, a niektórzy członkowie zarządu proponują zatrudnienie firmy o nazwie Y do wykonania tej pracy, a teraz członkowie zarządu biorą udział w głosowaniu. Jeśli głosowanie przekroczy większość firmy, Y otrzymuje projekt. Ale co, jeśli firma Y po prostu zniknie po otrzymaniu środków na projekt? To będzie katastrofa.
Jest to jeden z główne zagadnienia bezpieczeństwa w DAO, Było wiele przypadków, gdy społeczność DAO zatrudniała programistów, twórców treści itp., Aby wykonać pracę, ale później dowiadują się, że postęp nie został jeszcze poczyniony, a ich fundusze zniknęły.
3.2 Jakie jest rozwiązanie?
W regularnych organizacjach, aby zapobiec tego typu nadużyciom, korzystamy z pomocy organów prawnych. Obie organizacje zawierają umowę i grożą im kary, jeśli ich cel zostanie naruszony. Ale co w web3? Jak wiemy tutaj, „Kodeks jest prawem”, więc wykorzystujemy ten fakt. Zamiast dawać fundusze za jednym razem, możemy zdecydować się na ich przesyłanie strumieniowe w czasie, a to również stwarza miejsce na zatrzymanie strumienia przez głosowanie, jeśli któraś ze stron nie dostarczy, a wszystko to można zrobić za pomocą inteligentnych kontraktów tam to niektóre protokoły sporządzone właśnie w tym celu.
4. Duchy
Photo by Priscilla Du Preez on Unsplash
Jak wspomniano, każda organizacja ma członków zarządu, niektórych ważniejszych od innych, których opinie i decyzje są kluczowe na spotkaniach. Może to wynikać z faktu, że posiadają wysoki udział lub wnoszą wartość do organizacji. Ale wyobraź sobie przez chwilę, co by się stało, gdyby nagle zaginęli i po prostu zniknęli. Wyobraź sobie, jak wpłynie to na organizację. Jednak w realnym scenariuszu z osobą można się jakoś skontaktować, ale czy tak jest w przypadku DAO? Dowiedzmy Się.
W przypadku DAO, ponieważ jest to bardzo podobne do zwykłych organizacji, sytuacja jest prawie taka sama, jeśli jakiś ważny użytkownik jest widmem. Może to nawet zakończyć się zablokowaniem funduszy na miesiące lub lata innych w zależności od rodzaju obowiązującego systemu zarządzania. Krótko mówiąc, będzie to bardzo szkodliwe dla DAO Security, a najgorsze jest to, że nie można nawet nawiązać kontaktu, jeśli dana osoba zdecyduje, ponieważ w DAO wszystko jest wirtualne.
Intencja stojąca za widmami może być różna, może to być spowodowane złymi intencjami lub kryzysem zdrowotnym lub czymkolwiek innym, ale jest to ogromne ryzyko, ponieważ ludzie inwestują miliony dolarów w zarządzanie. Dlatego lepiej zachować „przełącznik czuwaka”, dowiedzmy się, czym jest ten wyłącznik.
4.1 Jakie jest rozwiązanie?
Przełącznik umarlaka jest rozwiązaniem, ale co to jest? a o co chodzi z tą złowrogą nazwą? Jest to mechanizm, który został wprowadzony, aby poradzić sobie z twoim zasobem na wypadek, gdybyś umarł lub zaczął reagować. To jest zimne. Może ci to ogromnie pomóc i uważam, że każdy w kryptografii powinien to mieć.
Zasadniczo działa to tak, że od czasu do czasu do członka wysyłana jest wiadomość e-mail sprawdzająca, czy odpowiada; jeśli odpowiesz, wszystko w porządku, ale jeśli nie, uruchamia się łańcuch zdarzeń, który polega na wysłaniu kluczowych informacji do tych, na których Ci zależy, takich jak klucze prywatne, adresy portfela itp. Możesz znaleźć takie usługi dla siebie online.
5. Atak podszywania się
Photo by Phila Shawa on Unsplash
Odpowiedzmy na zabawne pytanie: Jak zniszczyłbyś organizację? To proste, skorumpować głównych pracowników. W takim razie organizacja nie może trwać długo. Co by się stało, gdyby jedna osoba była szefem wielu działów i uległa korupcji? To koniec organizacji.
Podobny atak można przeprowadzić w DAO. To straszne. Jak wiemy, DAO działa zgodnie ze społecznością. Niektórzy ludzie tworzą dobrą reputację w społeczności. Niektórzy ludzie stają się potężni i wpływowi, a inni przywiązują do nich poczucie władzy. To można znaleźć w każdej społeczności. Ci ludzie również otrzymują przywileje w DAO, ponieważ są aktywni, a ich działania wydają się sprzyjać DAO. Osoby te mogą być wybierane na różne wyższe stanowiska. Cała ta społeczność jest aktywna w różnych cyfrowych grupach społecznościowych, którymi są aplikacje takie jak discord, telegram itp., co sprawia, że wykrycie tego typu ataku jest prawie niemożliwe.
Co się stanie, jeśli ktoś utworzy wiele kont i zacznie współtworzyć społeczność za pomocą różnych kont? Jeśli jest w tym dobry, jego konta zaczną zyskiwać na wiarygodności. Chociaż społeczność postrzega te konta jako oddzielne istoty ludzkie, należą one tylko do jednej osoby. A teraz, jeśli rachunki urosną do rangi wiarygodności, pomyśl, ile spustoszenia mogą przynieść DAO.
Jeśli dana osoba zajmuje wystarczającą liczbę stanowisk w DAO, może wpłynąć na ogólny kierunek. Wpływ na wszystkie kluczowe decyzje. Wszystkie te głosy na kontach dotyczą jednego. Wszystkie te konta mówią to samo i wspierają ten sam program. To jest jak przejęcie całego DAO. Atakujący może przeprowadzić socjotechnikę DAO, aby przeznaczyć więcej funduszy na interesujące go projekty lub złośliwy projekt i ostatecznie wyczerpać wszystkie fundusze. To rzeczywiście jest przerażające.
5.1 Jakie jest rozwiązanie?
Atakom tym trudno jest przeciwdziałać, ponieważ atakujący miesza się z innymi członkami społeczności i trudno jest przewidzieć tego rodzaju atak. Głównym rozwiązaniem tych ataków jest utrudnienie procesu selekcji. Aby osiągnąć pozycję autorytetu, będą musieli stawić czoła większym trudnościom i wykazać się. Zaleca się również skupienie się na budowaniu większej dedykowanej społeczności, aby zmniejszyć ryzyko takich ataków.
6. Jak możesz poprawić bezpieczeństwo DAO?
Jednym z potencjalnych sposobów radzenia sobie z atakami społecznymi jest mniejsze poleganie na ludziach i uczynienie wszystkiego autonomicznym. W ten sposób nie będzie interwencji człowieka ani miejsca na ludzki błąd, ale jest to możliwe tylko czasami.
Inną prostą odpowiedzią jest to, że potrzebujesz zespołu ekspertów. Istnieje wiele sposobów na złamanie protokołu. Dlatego potrzebujesz ludzi z doświadczeniem i wiedzą, aby zabezpieczyć protokół, którzy wiedzą, jak przeprowadzane są różne ataki hakerskie i jak sobie z nimi radzić.
W QuillAudits mamy zespół ekspertów, którzy w ogromnym stopniu przyczyniają się do realizacji naszej wizji uczynienia ekosystemu web3 bezpiecznym, tak aby więcej osób mogło stać się częścią tego rozwiązania. Zobowiązujemy się do jego zabezpieczenia. Odwiedź naszą stronę internetową i zabezpiecz swój projekt Web3!
19 odwiedzajacy
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- O nas
- Stosownie
- Konto
- Konta
- Działania
- działania
- aktywny
- Adresy
- oddziaływać
- Po
- agenda
- Wszystkie kategorie
- już
- Chociaż
- zawsze
- i
- odpowiedź
- przewidywać
- ktoś
- aplikacje
- Sztuka
- kapitał
- Aktywa
- dołączać
- atakować
- Ataki
- audytu
- Władze
- władza
- autonomiczny
- na podstawie
- podstawowy
- Gruntownie
- bo
- stają się
- za
- uwierzyć
- Ulepsz Swój
- Duży
- Bit
- blockchain
- Blog
- deska
- książka
- przerwa
- przynieść
- Budowanie
- który
- nieść
- walizka
- Spowodować
- łańcuch
- ZOBACZ
- kontrola
- jasny
- Zamknij
- COM
- przyjście
- zobowiązany
- wspólny
- społeczność
- Firmy
- sukcesy firma
- Firma
- kompletny
- Zakończony
- całkowicie
- kompleks
- kompromis
- Zagrożone
- kompromis
- Koncepcje
- skontaktuj się
- zawartość
- twórcy treści
- kontekst
- umowa
- umowy
- przyczynić się
- przyczyniając
- kontrola
- Rozmowa
- rdzeń
- Przeciwdziałać
- kraju
- Stwórz
- tworzy
- twórcy
- Wiarygodność
- kryzys
- istotny
- Crypto
- Aktualny
- cyber
- bezpieczeństwo cybernetyczne
- Bezpieczeństwo cybernetyczne
- szkodliwe
- DAO
- DAO
- sprawa
- zdecentralizowany
- decyzja
- Decyzje
- dedykowane
- dostarczyć
- Działy
- zniszczyć
- deweloperzy
- Umierać
- Różnice
- różne
- trudny
- trudności
- cyfrowy
- kierunek
- katastrofa
- niezgoda
- omówione
- dolarów
- nie
- na dół
- Ekosystem
- wybrany
- pracowników
- inżynier
- Inżynieria
- dość
- błąd
- itp
- Parzyste
- wydarzenia
- EVER
- Każdy
- wszyscy
- dokładnie
- przykład
- przekracza
- wymiana
- doświadczenie
- ekspertyza
- eksperci
- wyjaśniając
- eksploatowany
- exploity
- odkryj
- Twarz
- nie
- Znajdź
- i terminów, a
- Skupiać
- znaleziono
- od
- zabawa
- funkcjonowanie
- Finansowanie
- fundusze
- przyszłość
- Wzrost
- zebranie
- Ogólne
- otrzymać
- miejsce
- dany
- Dający
- Go
- cel
- Goes
- będzie
- dobry
- zarządzanie
- Rząd
- przyznać
- Zarządzanie
- Grupy
- poprowadzi
- Facet
- hacki
- zdarzyć
- Ciężko
- głowa
- Zdrowie
- wysłuchany
- pomoc
- tutaj
- Wysoki
- wyższy
- wynajmuje
- Wynajmowanie
- przytrzymaj
- posiada
- W jaki sposób
- How To
- Jednak
- HTTPS
- olbrzymi
- człowiek
- Ludzie
- niezmiernie
- Rezultat
- wpływowy
- ważny
- niemożliwy
- podnieść
- in
- Informacja
- zamiast
- zamiar
- Zamiar
- odsetki
- Internet
- interwencja
- Wydany
- problemy
- IT
- samo
- Trzymać
- Klawisze
- Uprzejmy
- Wiedzieć
- większe
- Nazwisko
- warstwa
- UCZYĆ SIĘ
- Regulamin
- Partia
- zrobiony
- Główny
- Większość
- robić
- Dokonywanie
- manipulowanie
- wiele
- znaczy
- mechanizm
- Poznaj nasz
- Spotkania
- członek
- Użytkownicy
- miliony
- brakujący
- pieniądze
- miesięcy
- jeszcze
- większość
- film
- przeniesienie
- wielokrotność
- Nazwa
- O imieniu
- Potrzebować
- wymagania
- liczny
- ONE
- Online
- Opinie
- organizacja
- organizacyjne
- Inne
- Pozostałe
- własny
- właściciel
- parametry
- część
- szczególny
- przyjęcie
- przebiegi
- hasła
- Ludzie
- osoba
- PHIL
- Miejsce
- plato
- Analiza danych Platona
- PlatoDane
- position
- Pozycje
- możliwości
- możliwy
- potencjał
- power
- mocny
- zapobiec
- prywatny
- prywatna informacja
- Klucze prywatne
- przywileje
- wygląda tak
- Produkt
- Produkty
- Postęp
- projekt
- projektowanie
- właściwy
- wniosek
- protokół
- protokoły
- Udowodnij
- cel
- położyć
- pytanie
- pytania
- Quillhash
- przypadkowy
- dosięgnąć
- Czytaj
- Prawdziwy świat
- odbieranie
- zmniejszyć
- regularny
- odpowiadać
- reputacja
- Rozkład
- osób
- czuły
- Rosnąć
- Ryzyko
- Pokój
- "bezpiecznym"
- taki sam
- scenariusz
- Sceny
- zakres
- druga
- bezpieczne
- zabezpieczenia
- bezpieczeństwo
- widzi
- wybór
- wysyłanie
- rozsądek
- oddzielny
- Usługi
- Share
- Akcje
- Short
- powinien
- podobny
- Prosty
- po prostu
- pojedynczy
- sytuacja
- mądry
- Inteligentne kontrakty
- So
- Obserwuj Nas
- Inżynieria społeczna
- społecznie
- Miękki
- rozwiązanie
- kilka
- Ktoś
- coś
- stojaki
- początek
- rozpocznie
- zatrzymanie
- obcy
- strumień
- Struktura
- taki
- wsparcie
- Kołysać
- Przełącznik
- system
- Brać
- trwa
- biorąc
- zespół
- Telegram
- REGULAMIN
- Połączenia
- Projekty
- ich
- sami
- rzecz
- Przez
- czas
- do
- razem
- aktualny
- przezroczysty
- skarbiec
- ogromny
- rozsierdzony
- zrozumieć
- posługiwać się
- Użytkownik
- Użytkownicy
- wartość
- wyceniane
- zweryfikować
- Wirtualny
- wizja
- Głosować
- głosów
- Głosowanie
- wrażliwość
- Portfel
- Oglądaj
- sposoby
- Web3
- Ekosystem Web3
- projekt web3
- Strona internetowa
- strony internetowe
- Co
- Co to jest
- czy
- który
- KIM
- cały
- będzie
- bez
- słowo
- Praca
- działa
- świat
- najgorszy
- by
- lat
- You
- Twój
- siebie
- zefirnet