Čas branja: 8 min
Raziskovanje napadov socialnega inženiringa na DAO:
1. Kaj je DAO?
Dao pomeni decentralizirano avtonomno organizacijo. V redu ... ampak kaj to pomeni? Razčlenimo besedo za besedo. Decentralizirano pomeni, da nobena posamezna stranka ni njegov lastnik in vsak lahko postane del tega. Premik k besedi avtonomno pomeni nekaj, kar deluje z manj človeškega posredovanja. Organizacija je skupina ljudi, ki se zbere za cilj ali namen.
Toda kaj ima to opraviti z blockchainom? Tako kot v današnjem svetu obstajajo podjetja, imajo podjetja izdelek in izdelki imajo uporabnike. Podjetje se vrednoti po različnih parametrih, različni člani uprave pa odločajo o prihodnosti podjetja. DAO je točno to. Edine razlike so v tem, da je vse v verigi blokov, popolnoma pregledno in vlada nobene države tega ne more nadzorovati. KDO TEGA NOČE? DAO-ji prinašajo ogromne možnosti, vendar je to druga tema.
2. Kibernetska varnost je velik bazen
»Kibernetska varnost« ste zagotovo že veliko slišali za ta izraz, vendar večina nima jasne definicije. Kibernetska varnost ni le gesla ali denar. Je cel popoln svet zase. Brez ustreznega vodenja ste vedno izpostavljeni velikemu tveganju, da boste izkoristili neznano ranljivost. Kibernetska varnost sega od naključnega pogovora z neznancem na internetu do vseh tistih modnih filmskih prizorov, ki jih gledate. Socialni inženiring je en tak del kibernetske varnosti. Raziščimo ga.
2.1 Kaj je socialni inženiring?
Socialni inženiring v kontekstu kibernetske varnosti je preprosto umetnost zbiranja informacij ali ogrožanja sistema ali strukture z manipulacijo uporabnikov in izkoriščanjem človeške napake za pridobitev zasebnih informacij ali dragocenosti. Se sliši zapleteno? Naj vam pomagam.
Zagotovo ste videli varnostna vprašanja, ki jih hranijo nekatera spletna mesta, da preverijo, da ste to res vi, če pozabite gesla. Zdaj pa si predstavljajte scenarij, v katerem na Discordu srečate naključnega fanta in malo poklepetate, samo o nekaterih osnovnih stvareh, na primer od kod prihajate in katero knjigo radi berete. Katera je bila prva knjiga, ki ste jo kdaj prebrali? Takšne stvari, zdaj. To je varnostno vprašanje na številnih spletnih mestih »Kako se imenuje tvoja najljubša knjiga?« Odgovor že ima; lahko ga uporabi za ogrožanje vašega računa. To je samo preprost način razlage socialnega inženiringa, obseg sega zelo daleč od tega preprostega primera, vendar so temeljni koncepti enaki.
2.2 Socialni inženiring v DAO
Kako je mogoče ta »socialni inženiring« ali »socialne napade« uporabiti v primeru DAO? Ta blog govori o tem. Raziskali bomo nekaj pogostih načinov, kako lahko zlonamerni uporabniki zlomijo DAO, in izvedeli, kako je to mogoče preprečiti.
3. Izkoriščanja državne blagajne
Preden razumemo podvige državne blagajne, bi morali vedeti, kako deluje DAO, kako se sprejemajo odločitve, kdo sprejema odločitve itd.
Kot vemo, so DAO točno tako kot katera koli druga organizacija. Tako kot v običajni organizaciji, odbor članov odloča z glasovanjem. V DAO nekaj ljudi glasuje za določeno dejanje in če se večina strinja, se odločitev izvede.
Kako poteka glasovanje v DAO?:-
Tako kot v običajnih organizacijah imajo člani upravnega odbora glasovalno moč sorazmerno s tem, koliko imajo v lasti organizacijo v smislu delnic in sredstev. DAO uporabljajo podoben mehanizem, DAO imajo "žeton upravljanja", izdan ljudem, ki želijo biti del organizacije, in ljudje, ki imajo veliko "žetona upravljanja", imajo večji nadzor.
3.1 Kaj so mehka zakladniška izkoriščanja?
Izkoriščanja mehke zakladnice so, ko gre predlog za dodelitev sredstev v denarnico v zameno za opravljeno delo, vendar delo ni dokončano in prejemnik preprosto obdrži denar. Razumejmo to bolje.
Zdaj pa si predstavljajte scenarij, neka redna organizacija z imenom Y potrebuje nekaj dela in nekateri člani upravnega odbora predlagajo najem podjetja z imenom Y za opravljanje dela, zdaj pa člani upravnega odbora glasujejo. Če glasovi presežejo večino podjetja, Y dobi projekt. Kaj pa, če podjetje Y preprosto izgine po prejemu sredstev za projekt? To bo katastrofa.
To je ena izmed glavne varnostne težave v DAO-jih, Bilo je veliko primerov, ko skupnost DAO najame razvijalce, ustvarjalce vsebin itd., da opravijo delo, kasneje pa ugotovijo, da je treba še doseči napredek, in da so njihova sredstva zmanjkala.
3.2 Kakšna je rešitev?
V rednih organizacijah si za preprečevanje tovrstnih kršitev pomagamo s pravnimi organi. Dve organizaciji skleneta pogodbo in se soočita s kaznimi, če je njun namen kršen. Toda kaj v web3? Kot vemo tukaj, "kodeks je zakon", zato to dejstvo uporabljamo. Namesto da bi sredstva dodelili naenkrat, se lahko odločimo, da jih bomo pretakali skozi čas, to pa ustvarja tudi prostor za ustavitev toka z glasovanjem, če katera koli stranka ne uspe zagotoviti, in vse to je mogoče storiti s pomočjo tamkajšnjih pametnih pogodb je nekaj protokolov narejenih prav za ta namen.
4. Ghosting
Foto: Priscilla Du Preez on Unsplash
Kot smo že omenili, ima vsaka organizacija člane upravnega odbora, nekatere pomembnejše od drugih, katerih mnenja in odločitve so na sestankih ključnega pomena. Morda zato, ker imajo velik delež ali prinašajo vrednost organizaciji. Toda za trenutek si predstavljajte, kaj bi se zgodilo, če bi nenadoma izginili in preprosto izginili. Predstavljajte si, kako bi to vplivalo na organizacijo. Vendar pa je v resničnem svetu mogoče nekako vzpostaviti stik z osebo, toda ali je tako v DAO? Pa ugotovimo.
V primeru DAO-jev, ki so zelo podobni navadnim organizacijam, je situacija skoraj enaka, če je kak pomemben uporabnik v duhu. Lahko celo zaklene sredstva drugih za mesece ali leta glede na vrsto vzpostavljenega sistema upravljanja. Skratka, to bo zelo škodilo varnosti DAO, najslabše pa je, da ne morete niti vzpostaviti stika, če se oseba odloči, ker je v DAO vse virtualno.
Namen za prikazovanjem duhov je lahko različen, lahko je to, ker je imela oseba zlonamerni namen ali je šla skozi zdravstveno krizo ali kaj podobnega, vendar je to veliko tveganje, saj ljudje vlagajo milijone dolarjev v upravljanje. Zato je bolje obdržati »mrtvaško stikalo«, poglejmo, kaj je to stikalo.
4.1 Kakšna je rešitev?
Deadmanovo stikalo je rešitev, ampak kaj je to? in kaj je s tem zloveščim imenom? To je mehanizem, ki je vzpostavljen za obravnavo vašega premoženja v primeru, da umrete ali postanete odzivni. To je hladno. Lahko vam izjemno pomaga in verjamem, da bi to morali imeti vsi v kriptovalutah.
V bistvu deluje tako, da se vsake toliko časa članu pošlje preverjanje e-pošte, da se preveri, ali je odziven; če odgovorite, je v redu, če pa ne, se sproži veriga dogodkov, ki vključuje pošiljanje ključnih informacij tistim, ki vas zanimajo, kot so vaši zasebni ključi, naslovi denarnice itd. Takšne storitve lahko najdete sami na spletu.
5. Napad z lažnim predstavljanjem
Odgovorimo na zabavno vprašanje, kako bi uničili organizacijo? Enostavno je, pokvari glavne zaposlene. Organizacija torej ne more dolgo trajati. Kaj bi se zgodilo, če bi bil en sam človek vodja več oddelkov in bi postal skorumpiran? To je konec organizacije.
Podoben napad je mogoče izvesti v DAO. Strašljivo je. Kot vemo, DAO deluje v skladu s skupnostjo. Nekateri ljudje si ustvarijo dober ugled v skupnosti. Nekateri ljudje postanejo močni in vplivni, drugi pa jim pripisujejo občutek avtoritete. To je mogoče najti v kateri koli skupnosti. Ti ljudje imajo tudi privilegije v DAO, saj so aktivni, in zdi se, da njihova dejanja dajejo prednost DAO. Ti ljudje so lahko izvoljeni na različne višje položaje. In vsa ta skupnost je aktivna v različnih digitalnih družbenih skupinah, ki so aplikacije, kot so discord, telegram itd., zaradi česar je skoraj nemogoče odkriti to vrsto napada.
Kaj pa, če nekdo ustvari več računov in začne prispevati k skupnosti z različnimi računi? Če je v tem dober, se bodo njegovi računi začeli dvigovati na položaje verodostojnosti. Čeprav skupnost vidi te račune kot ločena človeška bitja, pripadajo samo eni osebi. Zdaj, če se računi dvignejo na položaj kredibilnosti, pomislite, koliko opustošenja lahko povzročijo DAO.
Če ima oseba dovolj položajev v DAO, lahko vpliva na splošno smer. Vplivajo na vse ključne odločitve. Vsi ti računi glasujejo za eno stvar. Vsi ti računi pravijo isto stvar in podpirajo isto agendo. To je kot prevzem celotnega DAO. Napadalec lahko s socialnim inženiringom DAO nameni več sredstev projektom, ki ga zanimajo, ali zlonamernemu projektu in na koncu izčrpa vsa sredstva. Resnično je strašljivo.
5.1 Kakšna je rešitev?
Tem napadom se je težko zoperstaviti, ker se napadalec zlije z drugimi člani skupnosti, zato je takšno vrsto napada težko predvideti. Glavna rešitev za te napade je otežitev izbirnega postopka. Da bi dosegli položaj avtoritete, se bodo morali soočiti z več težavami in se dokazati. Priporočljivo je tudi, da se osredotočite na izgradnjo večje namenske skupnosti, da zmanjšate tveganje za takšne napade.
6. Kako lahko izboljšate varnost DAO?
Eden od možnih načinov za reševanje družbenih napadov je, da se manj zanašamo na ljudi in naredimo vse avtonomno. Tako ne bo človekovega posredovanja in prostora za človeške napake, vendar je to mogoče le včasih.
Drugi preprost odgovor je, da potrebujete ekipo strokovnjakov. Protokol je lahko ogrožen na številne načine. Zato potrebujete ljudi z izkušnjami in strokovnim znanjem za zaščito protokola, ki vedo, kako se izvajajo različni vdori in kako se jih lotiti.
Pri QuillAudits imamo ekipo strokovnjakov, ki izjemno prispevajo k naši viziji varnega ekosistema web3, tako da lahko več ljudi postane del te rešitve. Zavezani smo, da ga zagotovimo. Obiščite našo spletno stran in zaščitite svoj projekt Web3!
19 Ogledov
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- O meni
- Po
- Račun
- računi
- Ukrep
- dejavnosti
- aktivna
- naslovi
- vplivajo
- po
- Dnevni red
- vsi
- že
- Čeprav
- vedno
- in
- odgovor
- pričakujte
- kdo
- aplikacije
- Umetnost
- sredstvo
- Sredstva
- pripisujejo
- napad
- Napadi
- revidiranje
- Organi
- organ
- avtonomno
- temeljijo
- Osnovni
- V bistvu
- ker
- postanejo
- zadaj
- Verjemite
- Boljše
- Big
- Bit
- blockchain
- Blog
- svet
- Knjiga
- Break
- prinašajo
- Building
- ki
- opravlja
- primeru
- Vzrok
- verige
- preveriti
- preverjanje
- jasno
- Zapri
- COM
- prihajajo
- storjeno
- Skupno
- skupnost
- Podjetja
- podjetje
- Podjetja
- dokončanje
- Končana
- popolnoma
- kompleksna
- Kompromis
- Ogroženo
- ogrozili
- koncepti
- kontakt
- vsebina
- ustvarjalci vsebin
- ozadje
- Naročilo
- pogodbe
- prispevajo
- prispeva
- nadzor
- Pogovor
- Core
- Števec
- država je
- ustvarjajo
- ustvari
- Ustvarjalci
- verodostojnost
- kriza
- ključnega pomena
- kripto
- Trenutna
- cyber
- kibernetska varnost
- Cybersecurity
- poškodovali
- DAO
- DAO
- ponudba
- decentralizirano
- Odločitev
- odločitve
- namenjen
- poda
- oddelki
- uniči
- Razvijalci
- Polnilna postaja
- razlike
- drugačen
- težko
- Težave
- digitalni
- smer
- katastrofa
- neskladje
- razpravljali
- dolarjev
- dont
- navzdol
- ekosistem
- izvoljeni
- E-naslov
- Zaposleni
- inženir
- Inženiring
- dovolj
- Napaka
- itd
- Tudi
- dogodki
- VEDNO
- Tudi vsak
- vsi
- točno
- Primer
- presega
- Izmenjava
- izkušnje
- strokovno znanje
- Strokovnjaki
- pojasnjujejo
- Exploited
- izkorišča
- raziskuje
- Obraz
- ne uspe
- Najdi
- prva
- Osredotočite
- je pokazala,
- iz
- zabava
- delovanje
- Financiranje
- Skladi
- Prihodnost
- Gain
- zbiranje
- splošno
- dobili
- pridobivanje
- dana
- Giving
- Go
- Cilj
- goes
- dogaja
- dobro
- upravljanje
- vlada
- odobri
- skupina
- Skupine
- vodi
- Guy
- žaga
- se zgodi
- Trdi
- Glava
- Zdravje
- Slišal
- pomoč
- tukaj
- visoka
- več
- najem
- Najem
- držite
- drži
- Kako
- Kako
- Vendar
- HTTPS
- velika
- človeškega
- Ljudje
- neznansko
- vpliv
- vplivno
- Pomembno
- nemogoče
- izboljšanje
- in
- Podatki
- Namesto
- namen
- Namen
- obresti
- Internet
- intervencije
- Izdala
- Vprašanja
- IT
- sam
- Imejte
- tipke
- Otrok
- Vedite
- večja
- Zadnja
- plast
- UČITE
- Pravne informacije
- Sklop
- je
- Glavne
- Večina
- Znamka
- Izdelava
- manipuliranje
- več
- pomeni
- Mehanizem
- Srečati
- sestanki
- član
- člani
- milijoni
- manjka
- Denar
- mesecev
- več
- Najbolj
- Film
- premikanje
- več
- Ime
- Imenovan
- Nimate
- potrebe
- številne
- ONE
- na spletu
- Komentarji
- organizacija
- Organizacije
- Ostalo
- drugi
- lastne
- Lastnik
- parametri
- del
- zlasti
- zabava
- vozovnice
- gesla
- ljudje
- oseba
- FILA
- Kraj
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Stališče
- pozicije
- možnosti
- mogoče
- potencial
- moč
- močan
- preprečiti
- zasebna
- zasebnih podatkov
- Zasebni ključi
- privilegiji
- Postopek
- Izdelek
- Izdelki
- Napredek
- Projekt
- projekti
- pravilno
- snubitev
- protokol
- protokoli
- Dokaži
- Namen
- dal
- vprašanje
- vprašanja
- Quillhash
- naključno
- dosežejo
- Preberi
- resnični svet
- prejema
- zmanjša
- redni
- odgovori
- Ugled
- Resolucija
- tisti,
- odziven
- Rise
- Tveganje
- soba
- varna
- Enako
- Scenarij
- prizori
- Obseg
- drugi
- zavarovanje
- zavarovanje
- varnost
- vidi
- izbor
- pošiljanja
- Občutek
- ločena
- Storitve
- Delite s prijatelji, znanci, družino in partnerji :-)
- Delnice
- Kratke Hlače
- shouldnt
- Podoben
- Enostavno
- preprosto
- sam
- Razmere
- pametna
- Pametne pogodbe
- So
- socialna
- Socialni inženiring
- družbeno
- Soft
- Rešitev
- nekaj
- nekdo
- Nekaj
- stojala
- Začetek
- začne
- ustavljanje
- tujec
- tok
- Struktura
- taka
- podpora
- Gremo
- Preklop
- sistem
- Bodite
- meni
- ob
- skupina
- Telegram
- Pogoji
- O
- Projekti
- njihove
- sami
- stvar
- skozi
- čas
- do
- skupaj
- temo
- pregleden
- zakladnica
- ogromno
- sprožilo
- razumeli
- uporaba
- uporabnik
- Uporabniki
- vrednost
- vrednoti
- preverjanje
- Virtual
- Vizija
- Glasuj
- glasov
- Glasovanje
- ranljivost
- denarnica
- Watch
- načini
- Web3
- Ekosistem Web3
- web3 projekt
- Spletna stran
- spletne strani
- Kaj
- Kaj je
- ali
- ki
- WHO
- celoti
- bo
- brez
- beseda
- delo
- deluje
- svet
- Klobase
- bi
- let
- Vi
- Vaša rutina za
- sami
- zefirnet