Tempo de leitura: 8 minutos
Explorando os ataques de engenharia social ao DAO:
1. O que é um DAO?
Dao significa Organização Autônoma Descentralizada. Ok... mas o que isso significa? Vamos decompô-lo palavra por palavra. Descentralizado significa que nenhuma parte é proprietária e qualquer pessoa pode fazer parte dela. Mudar para a palavra autônomo significa algo que funciona com menos intervenção humana. Uma organização é um grupo de pessoas que se reúnem para um objetivo ou causa.
Mas o que isso tem a ver com blockchain? Como existem empresas em nosso mundo atual, as empresas têm um produto e os produtos têm usuários. A empresa é avaliada com base em diferentes parâmetros, e diferentes membros do conselho decidem o futuro da empresa. DAO é exatamente isso. A única diferença é que é tudo em blockchain, totalmente transparente, e nenhum governo de país pode controlar. QUEM NÃO QUER ISSO? DAOs carregam possibilidades tremendas, mas esse é um tópico diferente em si.
2. A segurança cibernética é um grande pool
“Cyber Security” você já deve ter ouvido muito esse termo, mas a maioria não tem uma definição clara. A segurança cibernética não é apenas sobre senhas ou dinheiro. É todo um mundo completo em si mesmo. Sem orientação adequada, você sempre corre um alto risco de explorar uma vulnerabilidade desconhecida. A segurança cibernética varia de uma conversa aleatória com um estranho na internet a todas aquelas cenas de filmes extravagantes que você assiste. A Engenharia Social é uma dessas partes da segurança cibernética. Vamos explorá-lo.
2.1 O que é engenharia social?
A Engenharia Social no contexto da segurança cibernética é simplesmente a arte de coletar informações ou comprometer o sistema ou a estrutura, manipulando os usuários e explorando o erro humano para obter informações privadas ou objetos de valor. Parece complexo? Deixe-me ajudá-lo.
Você deve ter visto as perguntas de segurança que alguns sites mantêm para verificar sua identidade caso esqueça as senhas. Agora imagine um cenário em que você conhece um cara aleatório no Discord e bate um papo, apenas algumas coisas básicas, como de onde você é e qual livro gosta de ler. Qual foi o primeiro livro que você leu? Coisas assim, agora. Esta é uma pergunta de segurança em muitos sites “Qual é o nome do seu livro favorito?” Ele já tem a resposta; ele pode usá-lo para comprometer sua conta. Essa é apenas uma maneira simples de explicar a engenharia social, o escopo vai muito além desse exemplo simples, mas os conceitos básicos são os mesmos.
2.2 Engenharia Social em DAO
Como essa “Engenharia Social” ou “Ataques Sociais” pode ser usada no caso de DAO?, Este blog é sobre isso. Exploraremos algumas maneiras comuns pelas quais usuários mal-intencionados podem quebrar o DAO e aprenderemos como isso pode ser evitado.
3. Explorações do Tesouro
Antes de entendermos os exploits do Tesouro, devemos saber como funciona o DAO, como são tomadas as decisões, quem toma as decisões etc.
Como sabemos, DAOs são exatamente como qualquer outra organização. Como na organização regular, o conselho de membros decide por votação. Nos DAOs, algumas pessoas votam em uma determinada ação e, se a maioria concordar, a decisão é executada.
Como a votação acontece nos DAOs?:-
Como nas organizações regulares, o poder de voto reside nos membros do conselho na proporção de quanto eles possuem da organização em termos de ações e ativos. Os DAOs usam um mecanismo semelhante, os DAOs têm um “token de governança” emitido para pessoas que desejam fazer parte da organização, e as pessoas que possuem muito “token de governança” têm mais controle.
3.1 O que são exploits de tesouraria suave?
Exploits de tesouraria suave são quando uma proposta passa para conceder fundos a uma carteira em troca de algum trabalho a ser feito, mas o trabalho não é concluído e o recebedor simplesmente fica com o dinheiro. Vamos entender melhor.
Agora, imagine um cenário: alguma organização regular chamada Y precisa de algum trabalho, e alguns membros do conselho sugerem contratar uma empresa chamada Y para fazer o trabalho, e agora os membros do conselho votam. Se a votação ultrapassar a empresa majoritária, Y fica com o projeto. Mas, e se a empresa Y simplesmente desaparecer depois de receber os fundos para o projeto? Será um desastre.
Este é um dos principais problemas de segurança em DAOs, Houve muitos casos em que a comunidade DAO contratou desenvolvedores, criadores de conteúdo etc.
3.2 Qual é a solução?
Nas organizações regulares, para prevenir este tipo de má conduta, contamos com a ajuda das autoridades legais. As duas organizações estabelecem um contrato e enfrentam penalidades se suas respectivas extremidades forem violadas. Mas o que em web3? Como sabemos aqui, “Código é a lei”, então usamos esse fato. Em vez de dar os fundos de uma só vez, podemos decidir transmiti-los ao longo do tempo, e isso também cria espaço para interromper o fluxo por voto se alguma das partes não entregar, e tudo isso pode ser feito com a ajuda de um Smart Contracts lá são alguns protocolos feitos justamente para esse fim.
4. Fantasma
Foto por Priscilla Du Preez on Unsplash
Conforme discutido, toda organização possui membros do conselho, alguns mais importantes que outros, cujas opiniões e decisões são cruciais nas reuniões. Pode ser porque eles detêm uma alta participação ou agregam valor à organização. Mas imagine por um segundo o que aconteceria se eles desaparecessem de repente e simplesmente desaparecessem. Imagine como isso afetaria a organização. No entanto, no cenário do mundo real, a pessoa pode ser contatada de alguma forma, mas é o caso no DAO? Vamos descobrir.
No caso dos DAOs, por serem muito semelhantes às organizações comuns, a situação é quase a mesma se algum usuário importante for fantasma. Pode até acabar bloqueando os fundos por meses ou anos de outros com base no tipo de sistema de governança implantado. Resumindo, vai ser muito prejudicial para DAO Security, e o pior é que você não consegue nem fazer contato se a pessoa decidir porque é tudo virtual no DAO.
A intenção por trás do fantasma pode variar, pode ser porque a pessoa teve intenção maliciosa ou está passando por uma crise de saúde ou algo assim, mas esse é um risco enorme, pois as pessoas colocam milhões de dólares na governança. Portanto, é melhor manter um “interruptor de homem morto” vamos aprender o que é esse interruptor.
4.1 Qual é a solução?
O interruptor de Deadman é a solução, mas o que é isso? e o que há com esse nome sinistro? É um mecanismo criado para lidar com seu ativo caso você morra ou se torne responsivo. Isso é frio. Isso pode ajudá-lo imensamente e acredito que todos na criptografia deveriam ter isso.
Então, basicamente, como funciona é, de vez em quando, uma verificação de e-mail é enviada ao membro para verificar se ele está respondendo; se você responder, tudo bem, mas se não o fizer, uma cadeia de eventos será acionada, o que envolve o envio de informações cruciais para aqueles de quem você gosta, como suas chaves privadas, endereços de carteira, etc. Você pode encontrar esses serviços para si mesmo on-line.
5. Ataque de representação
Foto por Phil Shaw on Unsplash
Vamos responder a uma pergunta divertida: como você destruiria uma organização? É simples, corrompa os funcionários chefes. Uma organização não pode durar muito, então. O que aconteceria se uma única pessoa fosse chefe de muitos departamentos e se tornasse corrupta? É o fim da organização.
Um ataque semelhante pode ser realizado no DAO. É assustador. Como sabemos, a DAO funciona em função da comunidade. Algumas pessoas criam uma boa reputação na comunidade. Algumas pessoas se tornam poderosas e impactantes, e outras atribuem um senso de autoridade a elas. Isso pode ser encontrado em qualquer comunidade. Essas pessoas também recebem privilégios no DAO, pois são ativas e suas ações parecem favorecer o DAO. Essas pessoas podem ser eleitas para diferentes cargos superiores. E toda essa comunidade está ativa em diferentes grupos sociais digitais, que são aplicativos como discord, telegram etc., tornando quase impossível detectar esse tipo de ataque.
E se alguém criar várias contas e começar a contribuir para a comunidade com contas diferentes? Se ele for bom nisso, suas contas começarão a subir para posições de credibilidade. Embora a comunidade veja essas contas como seres humanos separados, elas pertencem a apenas uma pessoa. Agora, se as contas alcançarem posições de credibilidade, pense em quanto estrago elas podem causar ao DAO.
Se a pessoa ocupa cargos suficientes no DAO, ela pode influenciar a direção geral. Afeta toda a decisão crucial. Todas essas contas votam em uma coisa. Todas essas contas dizem a mesma coisa e apóiam a mesma agenda. Isso é como assumir todo o DAO. O invasor pode fazer engenharia social do DAO para colocar mais fundos nos projetos de seu interesse ou projeto malicioso e acabar drenando todos os fundos. É realmente assustador.
5.1 Qual é a solução?
Esses ataques são difíceis de combater porque o invasor se mistura com outros membros da comunidade e fica difícil antecipar esse tipo de ataque. A principal solução para esses ataques é dificultar o processo de seleção. Para chegar a uma posição de autoridade, eles terão que enfrentar mais dificuldades e provar a si mesmos. Também é aconselhável focar na construção de uma comunidade dedicada maior para reduzir o risco de tais ataques.
6. Como você pode melhorar a segurança DAO?
Uma maneira potencial de lidar com ataques sociais é depender menos dos humanos e tornar tudo autônomo. Dessa forma, não haverá intervenção humana nem espaço para erro humano, mas isso só é possível algumas vezes.
A outra resposta simples é que você precisa de uma equipe de especialistas. Existem inúmeras maneiras pelas quais o protocolo pode ser comprometido. Assim, você precisa de pessoas com experiência e conhecimento para proteger o protocolo, que saibam como os diferentes hacks são executados e como resolvê-los.
Nós da QuillAudits temos uma equipe de especialistas que contribuem imensamente com nossa visão de tornar o ecossistema web3 seguro para que mais pessoas possam fazer parte dessa resolução. Estamos empenhados em garanti-lo. Visite nosso site e tenha seu projeto Web3 protegido!
19 Visualizações
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- Sobre
- Segundo
- Conta
- Contas
- Açao Social
- ações
- ativo
- endereços
- afetar
- Depois de
- agenda
- Todos os Produtos
- já
- Apesar
- sempre
- e
- responder
- antecipar
- qualquer um
- aplicações
- Arte
- ativo
- Ativos
- anexar
- ataque
- Ataques
- auditoria
- Autoridades
- autoridade
- Autônomo
- baseado
- basic
- Basicamente
- Porque
- tornam-se
- atrás
- Acreditar
- Melhor
- Grande
- Pouco
- blockchain
- Blog
- borda
- livro
- Break
- trazer
- Prédio
- Cuidado
- transportar
- casas
- Causar
- cadeia
- verificar
- a verificação
- remover filtragem
- Fechar
- COM
- vinda
- comprometido
- comum
- comunidade
- Empresas
- Empresa
- Empresa
- completar
- Efetuado
- completamente
- integrações
- compromisso
- Comprometido
- comprometendo
- conceitos
- Contacto
- conteúdo
- criadores de conteúdo
- contexto
- contract
- contratos
- contribuir
- contribuindo
- ao controle
- Conversa
- núcleo
- Contador
- país
- crio
- cria
- criadores
- Credibilidade
- crise
- crucial
- cripto
- Atual
- cibernético
- cíber segurança
- Cíber segurança
- danificar
- DAO
- DAOs
- acordo
- descentralizado
- decisão
- decisões
- dedicado
- entregar
- departamentos
- destruir
- desenvolvedores
- morrem
- diferenças
- diferente
- difícil
- dificuldades
- digital
- direção
- desastre
- discórdia
- discutido
- dólares
- não
- down
- ecossistema
- eleito
- colaboradores
- engenheiro
- Engenharia
- suficiente
- erro
- etc.
- Mesmo
- eventos
- SEMPRE
- Cada
- todos
- exatamente
- exemplo
- excede
- exchange
- vasta experiência
- experiência
- especialistas
- explicando
- exploradas
- façanhas
- explorar
- Rosto
- falha
- Encontre
- Primeiro nome
- Foco
- encontrado
- da
- Diversão
- funcionamento
- financiamento
- fundos
- futuro
- Ganho
- coleta
- Geral
- ter
- obtendo
- dado
- Dando
- Go
- meta
- vai
- vai
- Bom estado, com sinais de uso
- governo
- Governo
- conceder
- Grupo
- Do grupo
- guia
- Cara
- hacks
- acontecer
- Queijos duros
- cabeça
- Saúde
- ouviu
- ajudar
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Alta
- superior
- contrata
- Contratando
- segurar
- detém
- Como funciona o dobrador de carta de canal
- Como Negociar
- Contudo
- HTTPS
- enorme
- humano
- Humanos
- imensamente
- Impacto
- impactante
- importante
- impossível
- melhorar
- in
- INFORMAÇÕES
- em vez disso
- intenção
- Intenção
- interesse
- Internet
- da intervenção
- Emitido
- questões
- IT
- se
- Guarda
- chaves
- Tipo
- Saber
- Maior
- Sobrenome
- camada
- APRENDER
- Legal
- lote
- moldadas
- a Principal
- Maioria
- fazer
- Fazendo
- manipulando
- muitos
- significa
- mecanismo
- Conheça
- reuniões
- membro
- Membros
- milhões
- desaparecido
- dinheiro
- mês
- mais
- a maioria
- filme
- em movimento
- múltiplo
- nome
- Nomeado
- você merece...
- Cria
- numeroso
- ONE
- online
- Opiniões
- Organizações
- Outros
- Outros
- próprio
- proprietário
- parâmetros
- parte
- particular
- festa
- passes
- senhas
- Pessoas
- pessoa
- PHIL
- Lugar
- platão
- Inteligência de Dados Platão
- PlatãoData
- posição
- abertas
- possibilidades
- possível
- potencial
- poder
- poderoso
- evitar
- privado
- informação privada
- Chaves Privadas
- privilégios
- processo
- Produto
- Produtos
- Progresso
- projeto
- projetos
- adequado
- proposta
- protocolo
- protocolos
- Prove
- propósito
- colocar
- questão
- Frequentes
- Quilhash
- acaso
- alcançar
- Leia
- mundo real
- receber
- reduzir
- regular
- resposta
- reputação
- Resolução
- aqueles
- responsivo
- Subir
- Risco
- Quarto
- seguro
- mesmo
- cenário
- Cenas
- escopo
- Segundo
- seguro
- assegurando
- segurança
- vê
- doadores,
- envio
- sentido
- separado
- Serviços
- Partilhar
- ações
- Baixo
- rede de apoio social
- semelhante
- simples
- simplesmente
- solteiro
- situação
- smart
- Smart Contracts
- So
- Redes Sociais
- Engenharia social
- socialmente
- Suave
- solução
- alguns
- Alguém
- algo
- fica
- começo
- começa
- paragem
- estrangeiro
- transmitir canais
- estrutura
- tal
- ajuda
- Balançar
- Interruptor
- .
- Tire
- toma
- tomar
- Profissionais
- Telegram
- condições
- A
- Os projetos
- deles
- si mesmos
- coisa
- Através da
- tempo
- para
- juntos
- tópico
- transparente
- tesouraria
- tremendo
- desencadeado
- compreender
- usar
- Utilizador
- usuários
- valor
- avaliado
- verificar
- Virtual
- visão
- Voto
- votos
- Votação
- vulnerabilidade
- Wallet
- Assistir
- maneiras
- Web3
- Ecossistema Web3
- projeto web3
- Site
- sites
- O Quê
- O que é a
- se
- qual
- QUEM
- inteiro
- precisarão
- sem
- Word
- Atividades:
- trabalho
- mundo
- o pior
- seria
- anos
- Vocês
- investimentos
- você mesmo
- zefirnet