Timp de citit: 8 minute
Explorarea atacurilor de inginerie socială asupra DAO:
1. Ce este un DAO?
Dao înseamnă Organizație Autonomă Descentralizată. Bine... dar ce înseamnă asta? Să o descompunem cuvânt cu cuvânt. Descentralizat înseamnă că nicio parte nu este proprietarul său și oricine poate deveni parte a acesteia. Trecerea la cuvântul autonom înseamnă ceva care funcționează cu mai puțină intervenție umană. O organizație este un grup de oameni care se reunesc pentru un scop sau o cauză.
Dar ce legătură are cu blockchain-ul? Deoarece există companii în lumea noastră actuală, companiile au un produs, iar produsele au utilizatori. Compania este evaluată pe baza diferiților parametri, iar membrii consiliului de administrație diferiți decid viitorul companiei. DAO este exact asta. Singurele diferențe sunt că totul este pe un blockchain, complet transparent și nici un guvern al țării nu îl poate controla. CINE NU VREA ASTA? DAO oferă posibilități extraordinare, dar acesta este un subiect diferit în sine.
2. Securitatea cibernetică este un bazin mare
„Cyber Security” trebuie să fi auzit mult acest termen, dar majoritatea nu au o definiție clară. Securitatea cibernetică nu este doar despre parole sau bani. Este o lume întreagă completă în sine. Fără îndrumări adecvate, aveți întotdeauna un risc ridicat de a obține o vulnerabilitate necunoscută exploatată. Securitatea cibernetică variază de la o conversație aleatorie cu un străin pe internet la toate acele scene de film fanteziste pe care le vizionați. Ingineria socială este o astfel de parte a securității cibernetice. Să-l explorăm.
2.1 Ce este ingineria socială?
Ingineria socială în contextul securității cibernetice este pur și simplu arta de a culege informații sau de a compromite sistemul sau structura prin manipularea utilizatorilor și exploatarea erorii umane pentru a obține informații private sau obiecte de valoare. Sună complex? Lasa-ma sa te ajut.
Trebuie să fi văzut întrebările de securitate pe care le păstrează unele site-uri web pentru a verifica identitatea dvs. dacă uitați parolele. Acum imaginează-ți un scenariu în care întâlnești un tip la întâmplare pe discord și ai un pic de chit-chat, doar câteva lucruri de bază, cum ar fi de unde ești și ce carte îți place să citești. Care a fost prima carte pe care ai citit-o vreodată? Chestii de genul ăsta, acum. Aceasta este o întrebare de securitate pe multe site-uri web „Care se numește cartea ta preferată?” El are deja răspunsul; îl poate folosi pentru a vă compromite contul. Acesta este doar un mod simplu de a explica ingineria socială, domeniul de aplicare este foarte departe de acest exemplu simplu, dar conceptele de bază sunt aceleași.
2.2 Inginerie socială în DAO
Cum poate fi folosită această „Inginerie socială” sau „Atacuri sociale” în cazul DAO?, Acest blog este despre asta. Vom explora câteva moduri comune prin care utilizatorii rău intenționați pot sparge DAO și vom afla cum poate fi prevenit.
3. Exploatarea Trezoreriei
Înainte de a înțelege exploatările Trezoreriei, ar trebui să știm cum funcționează DAO, cum sunt luate deciziile, cine ia deciziile etc.
După cum știm, DAO-urile sunt exact ca orice altă organizație. Ca și în organizarea obișnuită, consiliul de membri decide prin vot. În DAO, unii oameni votează pentru o anumită acțiune, iar dacă majoritatea este de acord, decizia este dusă la îndeplinire.
Cum se întâmplă votul în DAO?:-
Ca și în organizațiile obișnuite, puterea de vot revine membrilor consiliului de administrație proporțional cu cât dețin organizația în termeni de acțiuni și active. DAO-urile folosesc un mecanism similar, DAO-urile au un „token de guvernare” eliberat persoanelor care doresc să facă parte din organizație, iar oamenii care dețin mult „Token de guvernare” dețin mai mult control.
3.1 Ce sunt exploatările soft de trezorerie?
Exploatările soft de trezorerie sunt atunci când o propunere de a acorda fonduri unui portofel în schimbul unor lucrări de făcut, dar lucrarea nu este finalizată, iar receptorul pur și simplu păstrează banii. Să înțelegem mai bine.
Acum, imaginați-vă un scenariu, O organizație obișnuită numită Y are nevoie de ceva lucru, iar unii membri ai consiliului sugerează să angajeze o companie numită Y pentru a face treaba, iar acum membrii consiliului iau votul. Dacă votul depășește compania majoritară, Y primește proiectul. Dar, ce se întâmplă dacă compania Y dispare după ce a primit fondurile pentru proiect? Va fi un dezastru.
Acesta este unul dintre principalele probleme de securitate în DAO-uri, Au existat multe situații în care comunitatea DAO a angajat dezvoltatori, creatori de conținut etc., pentru a duce la bun sfârșit munca, dar mai târziu, ei descoperă că nu au fost încă înregistrate progrese, iar fondurile lor au dispărut.
3.2 Care este soluția?
În organizațiile obișnuite, pentru a preveni acest tip de abatere, luăm ajutorul autorităților legale. Cele două organizații creează un contract și riscă penalități în cazul în care finalul lor este încălcat. Dar ce în web3? După cum știm aici, „Codul este legea”, așa că folosim acest fapt. În loc să dăm fondurile dintr-o singură mișcare, putem decide să le transmitem în flux în timp, iar acest lucru creează, de asemenea, spațiu pentru oprirea fluxului prin vot dacă vreo parte nu reușește să livreze, iar toate acestea se pot face cu ajutorul unui contract inteligent de acolo. sunt niste protocoale facute tocmai in acest scop.
4. Ghosting
Fotografie de Priscilla DuPreez on Unsplash
După cum am discutat, fiecare organizație are membri ai consiliului de administrație, unii mai importanți decât alții, ale căror opinii și decizii sunt cruciale în cadrul întâlnirilor. Poate fi pentru că dețin o pondere mare sau aduc valoare organizației. Dar imaginați-vă pentru o secundă ce s-ar întâmpla dacă ar dispărea brusc și pur și simplu ar dispărea. Imaginează-ți cum ar avea impact asupra organizației. Cu toate acestea, în scenariul real, persoana poate fi contactată cumva, dar este cazul în DAO? Să aflăm.
În cazul DAO, deoarece este foarte asemănător cu organizațiile obișnuite, situația este aproape aceeași dacă un utilizator important este ghosted. Poate ajunge chiar să blocheze fondurile pentru luni sau ani ale altora, în funcție de tipul de sistem de guvernanță în vigoare. Pe scurt, va fi foarte dăunător pentru DAO Security, iar partea cea mai gravă este că nici măcar nu poți lua contact dacă persoana decide, deoarece totul este virtual în DAO.
Intenția din spatele ghosting-ului poate varia, poate fi pentru că persoana a avut intenții rău intenționate sau a trecut printr-o criză de sănătate sau orice altceva, dar acesta este un risc uriaș, deoarece oamenii pun milioane de dolari în guvernare. Prin urmare, este mai bine să păstrați un „comutator de om mort”, să aflăm ce este acest comutator.
4.1 Care este soluția?
Comutatorul lui Deadman este soluția, dar ce este asta? și ce-i cu acest nume sinistru? Este un mecanism care a fost pus în aplicare pentru a gestiona bunul dvs. în cazul în care muriți sau deveniți receptiv. E frig. Te poate ajuta enorm și cred că toată lumea din cripto ar trebui să aibă asta.
Deci, în principiu, cum funcționează este, din când în când, o verificare prin e-mail este trimisă membrului, verificând dacă acesta/ea răspunde; dacă răspundeți, este în regulă, dar dacă nu, atunci se declanșează un lanț de evenimente care implică trimiterea informațiilor cruciale către cei care vă interesează, cum ar fi cheile private, adresele portofelului etc. Puteți găsi astfel de servicii pentru dvs. pe net.
5. Atacul de uzurpare a identității
Fotografie de Phil Shaw on Unsplash
Să răspundem la o întrebare amuzantă: Cum ai distruge o organizație? Este simplu, corupți angajații șefi. O organizație nu poate dura mult, atunci. Ce s-ar întâmpla dacă o singură persoană ar fi șeful mai multor departamente și ar fi corupt? Este sfârșitul organizației.
Un atac similar poate fi efectuat în DAO. E înfricoșător. După cum știm, DAO funcționează conform comunității. Unii oameni își creează o bună reputație în comunitate. Unii oameni devin puternici și de impact, iar alții le acordă un sentiment de autoritate. Acest lucru poate fi găsit în orice comunitate. Acești oameni primesc, de asemenea, privilegii în DAO, deoarece sunt activi, iar acțiunile lor par să favorizeze DAO. Acești oameni pot fi aleși în diferite funcții superioare. Și toată această comunitate este activă pe diferite grupuri sociale digitale, care sunt aplicații precum discord, telegram etc., făcând astfel aproape imposibilă detectarea acestui tip de atac.
Ce se întâmplă dacă cineva creează mai multe conturi și începe să contribuie la comunitate cu conturi diferite? Dacă se pricepe la asta, conturile lui vor începe să se ridice la poziții de credibilitate. Deși comunitatea vede acele conturi ca ființe umane separate, ele aparțin doar unei singure persoane. Acum, dacă conturile se ridică la poziții de credibilitate, gândiți-vă cât de multe ravagii pot aduce DAO.
Dacă persoana deține suficiente poziții în DAO, el/ea poate influența direcția generală. Afectează toate deciziile cruciale. Toate aceste conturi votează pentru un singur lucru. Toate aceste conturi spun același lucru și susțin aceeași agendă. Este ca și cum ar fi preluat întregul DAO. Atacatorul poate proiecta DAO din punct de vedere social pentru a pune mai multe fonduri în proiectele de interes sau în proiectul rău intenționat și să ajungă să consume toate fondurile. Este într-adevăr înfricoșător.
5.1 Care este soluția?
Aceste atacuri sunt greu de contracarat, deoarece atacatorul se îmbină cu alți membri ai comunității și devine dificil să anticipezi acest tip de atac. Principala soluție pentru aceste atacuri este îngreunarea procesului de selecție. Pentru a ajunge la o poziție de autoritate, ei vor trebui să facă față mai multor dificultăți și să se dovedească. De asemenea, se recomandă să se concentreze pe construirea unei comunități dedicate mai mari pentru a reduce riscul unor astfel de atacuri.
6. Cum puteți îmbunătăți securitatea DAO?
O modalitate potențială de a aborda atacurile sociale este să vă bazați mai puțin pe oameni și să faceți totul autonom. În acest fel, nu va exista nicio intervenție umană și nici loc pentru eroare umană, dar acest lucru este posibil doar uneori.
Celălalt răspuns simplu este că ai nevoie de o echipă de experți. Există numeroase moduri în care protocolul poate fi compromis. Astfel, aveți nevoie de oameni cu experiență și expertiză pentru a securiza protocolul, care știe cum se efectuează diferite hack-uri și cum să le rezolve.
Noi, cei de la QuillAudits, avem o echipă de experți care contribuie enorm la viziunea noastră de a face ecosistemul web3 sigur, astfel încât mai mulți oameni să poată deveni parte a acestei rezoluții. Ne angajăm să-l asigurăm. Vizitați site-ul nostru web și asigurați-vă proiectul Web3!
19 Vizualizări
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- Despre Noi
- Conform
- Cont
- Conturi
- Acțiune
- acțiuni
- activ
- adrese
- afecta
- După
- agendă
- TOATE
- deja
- Cu toate ca
- mereu
- și
- răspunde
- anticipa
- oricine
- aplicatii
- Artă
- activ
- Bunuri
- atașa
- ataca
- Atacuri
- audit
- Autoritățile
- autoritate
- autonom
- bazat
- de bază
- Pe scurt
- deoarece
- deveni
- în spatele
- Crede
- Mai bine
- Mare
- Pic
- blockchain
- Blog
- bord
- carte
- Pauză
- aduce
- Clădire
- pasă
- transporta
- caz
- Provoca
- lanţ
- verifica
- control
- clar
- Închide
- COM
- venire
- comise
- Comun
- comunitate
- Companii
- companie
- Compania
- Completă
- Terminat
- complet
- complex
- compromis
- compromis
- compromisor
- Concepte
- contactați-ne
- conţinut
- creatorii de conținut
- context
- contract
- contracte
- a contribui
- contribuind
- Control
- Conversație
- Nucleu
- Contracara
- țară
- crea
- creează
- Creatorii
- Credibilitate
- criză
- crucial
- cripto
- Curent
- Cyber
- securitate cibernetică
- Securitate cibernetică
- dăunătoare
- DAO
- DAOS
- afacere
- descentralizată
- decizie
- Deciziile
- dedicat
- livra
- departamente
- distruge
- Dezvoltatorii
- .
- diferenţele
- diferit
- dificil
- dificultăți
- digital
- direcţie
- dezastru
- discordie
- discutat
- de dolari
- Dont
- jos
- ecosistem
- ales
- de angajați
- inginer
- Inginerie
- suficient de
- eroare
- etc
- Chiar
- evenimente
- EVER
- Fiecare
- toată lumea
- exact
- exemplu
- depășește
- schimb
- experienţă
- expertiză
- experți
- explicând
- exploatat
- exploit
- explora
- Față
- eșuează
- Găsi
- First
- Concentra
- găsit
- din
- distracţie
- funcționare
- de finanțare
- Fondurile
- viitor
- Câştig
- culegere
- General
- obține
- obtinerea
- dat
- Oferirea
- Go
- scop
- Merge
- merge
- bine
- guvernare
- Guvern
- acordarea
- grup
- Grupului
- ghida
- Tip
- hacks
- întâmpla
- Greu
- cap
- Sănătate
- auzit
- ajutor
- aici
- Înalt
- superior
- Hires
- angajarea
- deţine
- deține
- Cum
- Cum Pentru a
- Totuși
- HTTPS
- mare
- uman
- Oamenii
- imens
- Impactul
- impactant
- important
- imposibil
- îmbunătăţi
- in
- informații
- in schimb
- scop
- intenţie
- interes
- Internet
- intervenţie
- Emis
- probleme de
- IT
- în sine
- A pastra
- chei
- Copil
- Cunoaște
- mai mare
- Nume
- strat
- AFLAȚI
- Legal
- Lot
- făcut
- Principal
- Majoritate
- face
- Efectuarea
- manipulant
- multe
- mijloace
- mecanism
- Întâlni
- reuniuni
- membru
- Membri actuali
- milioane
- dispărut
- bani
- luni
- mai mult
- cele mai multe
- film
- în mişcare
- multiplu
- nume
- Numit
- Nevoie
- nevoilor
- numeroși
- ONE
- on-line
- Avize
- organizație
- Organizaţii
- Altele
- Altele
- propriu
- proprietar
- parametrii
- parte
- special
- parte
- trece
- Parolele
- oameni
- persoană
- FIL
- Loc
- Plato
- Informații despre date Platon
- PlatoData
- poziţie
- poziţii
- posibilităţile de
- posibil
- potenţial
- putere
- puternic
- împiedica
- privat
- informații private
- Cheile private
- privilegii
- proces
- Produs
- Produse
- Progres
- proiect
- Proiecte
- adecvat
- propunere
- protocol
- protocoale
- Dovedi
- scop
- pune
- întrebare
- Întrebări
- Quillhash
- aleator
- ajunge
- Citeste
- lumea reală
- primire
- reduce
- regulat
- răspuns
- reputație
- Rezoluţie
- respectiv
- sensibil
- Ridica
- Risc
- Cameră
- sigur
- acelaşi
- scenariu
- scene
- domeniu
- Al doilea
- sigur
- asigurarea
- securitate
- vede
- selecţie
- trimitere
- sens
- distinct
- Servicii
- Distribuie
- Acțiuni
- Pantaloni scurți
- să
- asemănător
- simplu
- pur şi simplu
- singur
- situație
- inteligent
- Contracte inteligente
- So
- Social
- Inginerie sociala
- socialmente
- Moale
- soluţie
- unele
- Cineva
- ceva
- Standuri
- Începe
- începe
- oprire
- străin
- curent
- structura
- astfel de
- a sustine
- Balansa
- Intrerupator
- sistem
- Lua
- ia
- luare
- echipă
- Telegramă
- termeni
- Proiectele
- lor
- se
- lucru
- Prin
- timp
- la
- împreună
- subiect
- transparent
- trezorerie
- extraordinar
- a declanșat
- înţelege
- utilizare
- Utilizator
- utilizatorii
- valoare
- prețuit
- verifica
- Virtual
- viziune
- Vot
- voturi
- Vot
- vulnerabilitate
- Portofel
- Ceas
- modalități de
- Web3
- Ecosistem Web3
- proiect web3
- website
- site-uri web
- Ce
- Ce este
- dacă
- care
- OMS
- întreg
- voi
- fără
- Cuvânt
- Apartamente
- fabrică
- lume
- Mini rulouri de absorbție
- ar
- ani
- Tu
- Ta
- te
- zephyrnet