Время Читать: 8 минут
Изучение атак социальной инженерии на DAO:
1. Что такое ДАО?
Дао означает децентрализованную автономную организацию. Хорошо… но что это значит? Разберем слово за словом. Децентрализованность означает, что ни одна сторона не является ее владельцем, и любой может стать ее частью. Переход к слову «автономный» означает нечто, функционирующее с меньшим вмешательством человека. Организация – это группа людей, объединившихся для достижения цели или дела.
Но какое это имеет отношение к блокчейну? Как в нашем нынешнем мире есть компании, так и у компаний есть продукт, а у продуктов есть пользователи. Компания оценивается по разным параметрам, и разные члены правления определяют будущее компании. ДАО именно такой. Разница лишь в том, что все это на блокчейне, полностью прозрачно, и ни одно правительство страны не может это контролировать. КТО ЭТОГО НЕ ХОЧЕТ? DAO несут огромные возможности, но это отдельная тема.
2. Кибербезопасность — это большой пул
«Кибербезопасность» вы, должно быть, много слышали об этом термине, но у большинства из них нет четкого определения. Кибербезопасность — это не только пароли или деньги. Это целый мир сам по себе. Без надлежащего руководства вы всегда подвергаетесь высокому риску использования неизвестной уязвимости. Кибербезопасность варьируется от случайного разговора с незнакомцем в Интернете до всех тех причудливых сцен из фильмов, которые вы смотрите. Социальная инженерия — одна из таких составляющих кибербезопасности. Давайте исследуем это.
2.1 Что такое социальная инженерия?
Социальная инженерия в контексте кибербезопасности — это просто искусство сбора информации или компрометации системы или структуры путем манипулирования пользователями и использования человеческих ошибок для получения частной информации или ценностей. Звучит сложно? Давай я тебе помогу.
Вы, должно быть, видели вопросы безопасности, которые некоторые веб-сайты сохраняют, чтобы подтвердить, что это вы, если вы забудете пароли. Теперь представьте себе сценарий, в котором вы встречаете случайного парня в дискорде и немного болтаете, просто о некоторых основных вещах, например, откуда вы и какую книгу любите читать. Какую книгу вы прочитали первой? Такие вещи, сейчас. Это секретный вопрос на многих веб-сайтах: «Как называется ваша любимая книга?» У него уже есть ответ; он может использовать его, чтобы скомпрометировать вашу учетную запись. Это всего лишь простой способ объяснения социальной инженерии, масштабы которого очень далеки от этого простого примера, но основные концепции остаются теми же.
2.2 Социальная инженерия в DAO
Как можно использовать эту «социальную инженерию» или «социальные атаки» в случае DAO? Этот блог как раз об этом. Мы рассмотрим некоторые распространенные способы взлома DAO злоумышленниками и узнаем, как это можно предотвратить.
3. Казначейские подвиги
Прежде чем мы поймем эксплойты Treasury, мы должны знать, как работает DAO, как принимаются решения, кто принимает решения и т. д.
Как мы знаем, DAO точно такие же, как и любые другие организации. Как и в обычной организации, совет членов принимает решение голосованием. В DAO некоторые люди голосуют за определенное действие, и если большинство соглашается, решение выполняется.
Как происходит голосование в DAO?: -
Как и в обычных организациях, право голоса принадлежит членам правления пропорционально тому, сколько они владеют организацией с точки зрения акций и активов. DAO используют аналогичный механизм, у DAO есть «токен управления», выдаваемый людям, которые хотят быть частью организации, и люди, которые владеют большим количеством «токенов управления», имеют больший контроль.
3.1 Что такое эксплойты soft Treasury?
Мягкие казначейские эксплойты — это когда проходит предложение предоставить средства на кошелек в обмен на выполнение какой-то работы, но работа не выполняется, и получатель просто оставляет деньги себе. Давайте лучше разберемся.
Теперь представьте себе сценарий: какой-то обычной организации с именем Y нужно выполнить некоторую работу, и некоторые члены правления предлагают нанять компанию с именем Y для выполнения этой работы, и теперь члены правления принимают участие в голосовании. Если количество голосов превышает мажоритарную компанию, Y получает проект. Но что, если компания Y просто исчезнет после получения средств на проект? Это будет катастрофа.
Это одна из основные проблемы безопасности в DAO, Было много случаев, когда сообщество DAO нанимало разработчиков, создателей контента и т. д. для выполнения работы, но позже они обнаруживали, что прогресс еще не достигнут, и их средства закончились.
3.2 Какое решение?
В обычных организациях для предотвращения такого рода неправомерных действий мы прибегаем к помощи правоохранительных органов. Две организации заключают контракт и сталкиваются с санкциями, если их соответствующий конец нарушается. А что в веб3? Как мы знаем здесь, «Кодекс — это закон», поэтому мы используем этот факт. Вместо того, чтобы отдавать средства за один раз, мы можем принять решение о потоковой передаче их через какое-то время, и это также создает возможность для остановки потока голосованием, если какая-либо сторона не сможет доставить средства, и все это можно сделать с помощью смарт-контрактов. некоторые протоколы, созданные именно для этой цели.
4. Призрак
Фото Priscilla Du Preez on Unsplash
Как уже говорилось, в каждой организации есть члены правления, некоторые более важные, чем другие, чьи мнения и решения имеют решающее значение на собраниях. Это может быть потому, что они занимают большую долю или приносят пользу организации. Но представьте на секунду, что было бы, если бы они вдруг пропали без вести и просто исчезли. Представьте, как это повлияет на организацию. Однако в реальном мире с человеком можно как-то связаться, но так ли это в DAO? Давай выясним.
В случае с DAO, поскольку они очень похожи на обычные организации, ситуация почти такая же, если какой-то важный пользователь становится призраком. Это может даже закончиться блокировкой средств на месяцы или годы других в зависимости от типа существующей системы управления. Короче говоря, это будет очень вредно для DAO Security, и самое ужасное, что вы даже не сможете пойти на контакт, если человек решит, потому что в DAO все виртуально.
Намерение, стоящее за призраком, может быть разным, это может быть потому, что у человека были злые намерения, он пережил кризис со здоровьем или что-то еще, но это огромный риск, поскольку люди вкладывают миллионы долларов в управление. Следовательно, лучше держать «переключатель мертвеца», давайте узнаем, что это за переключатель.
4.1 Какое решение?
Переключатель мертвеца — это решение, но что это? а что за зловещее имя? Это механизм, созданный для работы с вашим активом на случай, если вы умрете или начнете реагировать. Это холодно. Это может вам очень помочь, и я считаю, что это должно быть у каждого, кто занимается криптографией.
Таким образом, в основном, как это работает, время от времени участнику отправляется проверка электронной почты, проверяющая, отвечает ли он / она; если вы ответите, все в порядке, но если вы этого не сделаете, то запустится цепочка событий, которая включает в себя отправку важной информации тем, кто вам небезразличен, например, ваши личные ключи, адреса кошельков и т. д. Вы можете найти такие услуги для себя В сети.
5. Атака под видом
Давайте ответим на забавный вопрос: как бы вы разрушили организацию? Все просто, коррумпируйте руководителей. Тогда организация не может долго существовать. Что произойдет, если один человек будет главой многих отделов и станет коррумпированным? Это конец организации.
Аналогичную атаку можно провести и в DAO. Это страшно. Как мы знаем, DAO работает согласно сообществу. Некоторые люди создают хорошую репутацию в обществе. Некоторые люди становятся могущественными и влиятельными, а другие придают им чувство авторитета. Это можно найти в любом сообществе. Эти люди также получают привилегии в DAO, поскольку они активны, и их действия, похоже, благоприятствуют DAO. Эти люди могут быть избраны на различные более высокие должности. И все это сообщество активно работает в различных цифровых социальных группах, таких как Discord, Telegram и т. д., что делает почти невозможным обнаружение этого типа атаки.
Что, если кто-то создаст несколько учетных записей и начнет вносить свой вклад в сообщество с разных учетных записей? Если он хорош в этом, его отчеты начнут подниматься до уровня доверия. Хотя сообщество рассматривает эти учетные записи как отдельных людей, они принадлежат только одному человеку. Теперь, если отчеты заслуживают доверия, подумайте, сколько хаоса они могут нанести DAO.
Если человек занимает достаточное количество позиций в DAO, он может изменить общее направление. Повлияйте на все важные решения. Все эти аккаунты голосуют за одно. Все эти отчеты говорят об одном и том же и поддерживают одну и ту же повестку дня. Это похоже на захват всего DAO. Злоумышленник может социально спроектировать DAO, чтобы вложить больше средств в интересующие его проекты или злонамеренный проект, и в конечном итоге истощить все средства. Это действительно страшно.
5.1 Какое решение?
Этим атакам трудно противостоять, потому что злоумышленник смешивается с другими членами сообщества, и становится трудно предвидеть такого рода атаки. Основное решение для этих атак — усложнить процесс выбора. Чтобы достичь авторитетного положения, им придется столкнуться с большими трудностями и проявить себя. Также рекомендуется сосредоточиться на создании более крупного специализированного сообщества, чтобы снизить риск таких атак.
6. Как вы можете улучшить безопасность DAO?
Один из возможных способов борьбы с социальными атаками — меньше полагаться на людей и сделать все автономным. Таким образом, не будет вмешательства человека и не будет права на человеческую ошибку, но это возможно лишь иногда.
Другой простой ответ заключается в том, что вам нужна команда экспертов. Существует множество способов компрометации протокола. Таким образом, вам нужны люди с опытом и знаниями для защиты протокола, которые знают, как осуществляются различные взломы и как с ними бороться.
У нас в QuillAudits есть команда экспертов, которые вносят огромный вклад в наше видение безопасности экосистемы web3, чтобы больше людей могли стать частью этого решения. Мы стремимся обеспечить его безопасность. Посетите наш сайт и защитите свой проект Web3!
19 Просмотры
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- О нас
- По
- Учетная запись
- Учетные записи
- Действие
- действия
- активный
- адреса
- влиять на
- После
- повестка дня
- Все
- уже
- Несмотря на то, что
- всегда
- и
- ответ
- предвидеть
- кто угодно
- Приложения
- Искусство
- активы
- Активы
- прикреплять
- атаковать
- нападки
- аудит
- Власти
- власть
- автономный
- основанный
- основной
- в основном
- , так как:
- становиться
- за
- верить
- Лучшая
- большой
- Немного
- блокчейн
- Блог
- доска
- книга
- Ломать
- приносить
- Строительство
- заботится
- нести
- случаев
- Вызывать
- цепь
- проверка
- контроль
- Очистить
- Закрыть
- COM
- приход
- привержен
- Общий
- сообщество
- Компании
- Компания
- Компании
- полный
- Заполненная
- полностью
- комплекс
- скомпрометированы
- Ослабленный
- компромат
- понятия
- обращайтесь
- содержание
- создатели контента
- контекст
- контракт
- контрактов
- способствовать
- содействие
- контроль
- Разговор
- Основные
- счетчик
- страны
- Создайте
- создает
- Создатели
- Доверие
- кризис
- решающее значение
- крипто-
- Текущий
- кибер-
- информационная безопасность
- Информационная безопасность
- повреждения
- DAO
- Объекты DAO
- сделка
- децентрализованная
- решение
- решения
- преданный
- доставить
- ведомства
- уничтожить
- застройщиков
- Умереть
- Различия
- различный
- трудный
- затруднения
- Интернет
- направление
- катастрофа
- раздор
- обсуждается
- долларов
- Dont
- вниз
- экосистема
- избран
- сотрудников
- инженер
- Проект и
- достаточно
- ошибка
- и т.д
- Даже
- События
- НИКОГДА
- Каждая
- все члены
- точно,
- пример
- превышает
- обмена
- опыт
- опыта
- эксперты
- объясняя
- Эксплуатируемый
- использует
- Больше
- Face
- не удается
- Найдите
- Во-первых,
- Фокус
- найденный
- от
- fun
- функционирование
- финансирование
- средства
- будущее
- Gain
- сбор
- Общие
- получить
- получающий
- данный
- Отдаете
- Go
- цель
- идет
- будет
- хорошо
- управление
- Правительство
- предоставлять
- группы
- Группы
- инструкция
- Парень
- взломы
- происходить
- Жесткий
- Медицина
- услышанный
- помощь
- здесь
- High
- высший
- нанимает
- Наем
- держать
- имеет
- Как
- How To
- Однако
- HTTPS
- огромный
- человек
- Людей
- очень
- Влияние
- эффектных
- важную
- что она
- улучшать
- in
- информация
- вместо
- намерение
- Намерение
- интерес
- Интернет
- вмешательство
- Выпущен
- вопросы
- IT
- саму трезвость
- Сохранить
- ключи
- Вид
- Знать
- больше
- Фамилия
- слой
- УЧИТЬСЯ
- Юр. Информация
- серия
- сделанный
- Главная
- Большинство
- сделать
- Создание
- манипуляционная
- многих
- означает
- механизм
- Встречайте
- заседаниях
- член
- Участники
- миллионы
- отсутствующий
- деньги
- месяцев
- БОЛЕЕ
- самых
- кино
- перемещение
- с разными
- имя
- Названный
- Необходимость
- потребности
- многочисленный
- ONE
- онлайн
- Мнения
- организация
- Организации
- Другое
- Другое
- собственный
- владелец
- параметры
- часть
- особый
- вечеринка
- проходит
- пароли
- Люди
- человек
- ФИЛ
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- должность
- позиции
- возможности,
- возможное
- потенциал
- мощностью
- мощный
- предотвращать
- частная
- личная информация
- Частные ключи
- привилегии
- процесс
- Продукт
- Продукция
- Прогресс
- Проект
- проектов
- правильный
- рассматривается
- протокол
- протоколы
- Доказывать
- цель
- положил
- вопрос
- Вопросы
- Квиллхэш
- случайный
- достигать
- Читать
- реальный мир
- получение
- уменьшить
- регулярный
- Ответить
- репутация
- Постановления
- те
- отзывчивый
- Рост
- Снижение
- Комната
- безопасный
- то же
- сценарий
- Сцены
- сфера
- Во-вторых
- безопасный
- обеспечение
- безопасность
- видит
- выбор
- отправка
- смысл
- отдельный
- Услуги
- Поделиться
- Акции
- Короткое
- должен
- аналогичный
- просто
- просто
- одинарной
- ситуация
- умный
- Смарт-контракты
- So
- Соцсети
- Социальная инженерия
- социально
- мягкая
- Решение
- некоторые
- Кто-то
- удалось
- стоит
- Начало
- начинается
- остановка
- незнакомец
- поток
- Структура
- такие
- поддержка
- Власть
- Коммутатор
- система
- взять
- принимает
- с
- команда
- Telegram
- terms
- Ассоциация
- Проекты
- их
- сами
- задача
- Через
- время
- в
- вместе
- тема
- прозрачный
- казначейство
- огромный
- срабатывает
- понимать
- использование
- Информация о пользователе
- пользователей
- ценностное
- ценный
- проверить
- Виртуальный
- видение
- Голос
- голосов
- голосование
- уязвимость
- Кошелек
- Смотреть
- способы
- Web3
- Экосистема Web3
- веб3 проект
- Вебсайт
- веб-сайты
- Что
- Что такое
- будь то
- , которые
- КТО
- все
- будете
- без
- Word
- Работа
- работает
- Мир
- Наихудший
- бы
- лет
- Ты
- ВАШЕ
- себя
- зефирнет