Lästid: 8 minuter
Utforska de sociala ingenjörsattackerna på DAO:
1. Vad är en DAO?
Dao står för Decentralized Autonomous Organisation. Okej... men vad betyder det? Låt oss bryta ner det ord för ord. Decentraliserat innebär att ingen enskild part är dess ägare, och vem som helst kan bli en del av den. Att gå över till ordet autonom betyder att något fungerar med mindre mänsklig inblandning. En organisation är en grupp människor som samlas för ett mål eller en sak.
Men vad har det med blockchain att göra? Eftersom det finns företag i vår nuvarande värld har företag en produkt och produkter har användare. Bolaget värderas utifrån olika parametrar och olika styrelseledamöter avgör företagets framtid. DAO är precis det. De enda skillnaderna är att allt är på en blockchain, helt transparent, och inget lands regering kan kontrollera det. VEM VILL INTE DET? DAO har enorma möjligheter, men det är ett annat ämne i sig.
2. Cybersäkerhet är en stor pool
"Cybersäkerhet" du måste ha hört den här termen mycket, men de flesta har inte en tydlig definition. Cybersäkerhet handlar inte bara om lösenord eller pengar. Det är en hel värld i sig själv. Utan ordentlig vägledning löper du alltid en hög risk att få en okänd sårbarhet utnyttjad. Cybersäkerhet sträcker sig från en slumpmässig konversation med en främling på internet till alla de där tjusiga filmscenerna du tittar på. Social Engineering är en sådan del av cybersäkerhet. Låt oss utforska det.
2.1 Vad är social ingenjörskonst?
Social Engineering i samband med cybersäkerhet är helt enkelt konsten att samla in information eller äventyra systemet eller strukturen genom att manipulera användare och utnyttja mänskliga fel för att få privat information eller värdesaker. Låter det komplicerat? Låt mig hjälpa dig.
Du måste ha sett säkerhetsfrågorna som vissa webbplatser har för att verifiera att det är du om du glömmer lösenord. Föreställ dig nu ett scenario där du träffar en slumpmässig kille på oenighet och har lite småprat, bara några grundläggande saker som var du kommer ifrån och vilken bok du gillar att läsa. Vilken var den första boken du läste? Sådana saker nu. Det här är en säkerhetsfråga på många webbplatser "Vad heter din favoritbok?" Han har redan svaret; han kan använda det för att äventyra ditt konto. Det är bara ett enkelt sätt att förklara social ingenjörskonst, omfattningen går väldigt långt ifrån detta enkla exempel, men kärnkoncepten är desamma.
2.2 Social Engineering i DAO
Hur kan denna "Social Engineering" eller "Social Attacks" användas i fallet med DAO?, Den här bloggen handlar om det. Vi kommer att utforska några vanliga sätt som skadliga användare kan bryta DAO och lära oss hur det kan förhindras.
3. Treasury Exploats
Innan vi förstår Treasury-exploaterna bör vi veta hur DAO fungerar, hur beslut fattas, vem som fattar besluten etc.
Som vi vet är DAO:er precis som alla andra organisationer. Liksom vid ordinarie organisation beslutar medlemsstyrelsen genom omröstning. I DAO röstar vissa för en viss åtgärd, och om majoriteten är överens genomförs beslutet.
Hur går det till att rösta i DAO?:-
Som i vanliga organisationer ligger rösträtten hos styrelseledamöterna i proportion till hur mycket de äger organisationen i aktier och tillgångar. DAOs använder en liknande mekanism, DAOs har ett "Governance-token" utfärdat till personer som vill vara en del av organisationen, och de personer som har mycket "Governance Token" har mer kontroll.
3.1 Vad är soft treasury exploits?
Mjuka treasury exploits är när ett förslag går igenom om att bevilja medel till en plånbok i utbyte mot att en del arbete ska göras, men arbetet blir inte slutfört, och mottagaren behåller helt enkelt pengarna. Låt oss förstå det bättre.
Föreställ dig nu ett scenario, någon vanlig organisation som heter Y behöver lite arbete gjort, och några styrelsemedlemmar föreslår att man anlitar ett företag som heter Y för att utföra arbetet, och nu tar styrelsemedlemmarna omröstningen. Om rösten överstiger majoritetsföretaget får Y projektet. Men vad händer om företag Y bara försvinner efter att ha fått pengarna för projektet? Det kommer att bli en katastrof.
Detta är en av de huvudsakliga säkerhetsproblem i DAOs, Det har funnits många tillfällen då DAO-communityt anställer utvecklare, innehållsskapare etc. för att få jobbet gjort, men senare får de reda på att framsteg ännu inte har gjorts och att deras medel är borta.
3.2 Vad är lösningen?
I vanliga organisationer tar vi hjälp av juridiska myndigheter för att förhindra denna typ av missförhållanden. De två organisationerna skapar ett kontrakt och möter straff om deras respektive mål kränks. Men vad i web3? Som vi vet här, "Code is the law", så vi använder det faktumet. Istället för att ge pengarna på en gång kan vi besluta oss för att strömma dem över tid, och detta skapar också utrymme för att stoppa strömmen genom omröstning om något parti inte lyckas leverera, och allt detta kan göras med hjälp av ett Smart Contracts där är några protokoll gjorda just för detta ändamål.
4. Spöken
Foto: Priscilla Du Preez on Unsplash
Som diskuterats har varje organisation styrelsemedlemmar, vissa viktigare än andra, vars åsikter och beslut är avgörande på mötena. Det kan bero på att de har en hög andel eller tillför värde till organisationen. Men föreställ dig för en sekund vad som skulle hända om de plötsligt försvann och bara försvann. Föreställ dig hur det skulle påverka organisationen. Men i det verkliga scenariot kan personen kontaktas på något sätt, men är det fallet i DAO? Låt oss ta reda på.
När det gäller DAO:er, eftersom det är mycket likt vanliga organisationer, är situationen nästan densamma om någon viktig användare är spökad. Det kan till och med sluta med att fonderna låses i månader eller år för andra baserat på vilken typ av styrningssystem som finns på plats. Kort sagt kommer det att vara väldigt skadligt för DAO Security, och det värsta är att man inte ens kan ta kontakt om personen bestämmer sig eftersom det hela är virtuellt i DAO.
Avsikten bakom spökbildning kan variera, det kan bero på att personen hade illvilliga avsikter eller gick igenom en hälsokris eller något, men detta är en enorm risk eftersom människor lägger miljontals dollar på styrning. Därför är det bättre att ha en "dödmansbrytare", låt oss lära oss vad den här omkopplaren är.
4.1 Vad är lösningen?
Deadman's switch är lösningen, men vad är det? och vad är det med detta olyckliga namn? Det är en mekanism som har införts för att hantera din tillgång i fall du dör eller blir lyhörd. Det är kallt. Det kan hjälpa dig oerhört, och jag tror att alla inom krypto borde ha detta.
Så i grund och botten fungerar det, då och då skickas en e-postkontroll till medlemmen som kontrollerar om han/hon är lyhörd; om du svarar är det okej, men om du inte gör det, utlöses en kedja av händelser som innebär att den avgörande informationen skickas till de du bryr dig om som dina privata nycklar, plånboksadresser etc. Du kan hitta sådana tjänster själv. uppkopplad.
5. Imitationsattack
Låt oss svara på en rolig fråga, Hur skulle du förstöra en organisation? Det är enkelt, korrumpera chefen anställda. En organisation kan inte hålla mycket, alltså. Vad skulle hända om en enda person var chef för många avdelningar och han blev korrupt? Det är slutet på organisationen.
En liknande attack kan utföras i DAO. Det är läskigt. Som vi vet arbetar DAO enligt gemenskapen. Vissa människor skapar ett gott rykte i samhället. Vissa människor blir kraftfulla och slagkraftiga, och andra fäster en känsla av auktoritet till dem. Detta kan hittas i alla gemenskaper. Dessa personer ges också privilegier i DAO när de är aktiva, och deras handlingar verkar gynna DAO. Dessa personer kan väljas till olika högre positioner. Och hela denna gemenskap är aktiv över olika digitala sociala grupper, som är applikationer som discord, telegram etc., vilket gör det nästan omöjligt att upptäcka denna typ av attack.
Vad händer om någon skapar flera konton och börjar bidra till gemenskapen med olika konton? Om han är bra på det kommer hans konton att börja stiga till trovärdiga positioner. Även om samhället ser dessa konton som separata människor, tillhör de bara en person. Nu, om kontona stiger till trovärdiga positioner, tänk på hur mycket förödelse de kan orsaka DAO.
Om personen har tillräckligt många positioner i DAO kan han/hon svaja den allmänna riktningen. Påverka alla avgörande beslut. Alla dessa konton röstar för en sak. Alla dessa konton säger samma sak och stödjer samma agenda. Det här är som att ta över hela DAO. Angriparen kan socialt konstruera DAO för att lägga mer finansiering i projekten av hans intresse eller skadliga projekt och sluta tömma alla medel. Det är verkligen skrämmande.
5.1 Vad är lösningen?
Dessa attacker är svåra att motverka eftersom angriparen blandar sig med andra community-medlemmar, och det blir svårt att förutse denna typ av attack. Den huvudsakliga lösningen för dessa attacker är att göra urvalsprocessen svår. För att nå en auktoritetsposition måste de möta fler svårigheter och bevisa sig själva. Det rekommenderas också att fokusera på att bygga en större dedikerad community för att minska risken för sådana attacker.
6. Hur kan du förbättra DAO-säkerheten?
Ett potentiellt sätt att tackla sociala attacker är att förlita sig mindre på människor och göra det hela autonomt. På så sätt kommer det inte att finnas något mänskligt ingripande och inget utrymme för mänskliga fel, men detta är bara ibland möjligt.
Det andra enkla svaret är att du behöver ett team av experter. Det finns många sätt som protokollet kan äventyras. Du behöver alltså personer med erfarenhet och expertis för att säkra protokollet, som vet hur olika hacks utförs och hur de ska hanteras.
Vi på QuillAudits har ett team av experter som bidrar enormt till vår vision att göra web3-ekosystemet säkert så att fler människor kan bli en del av denna lösning. Vi är fast beslutna att säkra det. Besök vår hemsida och säkra ditt Web3-projekt!
19 Visningar
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- Om oss
- Enligt
- Konto
- konton
- Handling
- åtgärder
- aktiv
- adresser
- påverka
- Efter
- dagordning
- Alla
- redan
- Även
- alltid
- och
- svara
- förutse
- någon
- tillämpningar
- Konst
- tillgång
- Tillgångar
- bifoga
- attackera
- Attacker
- revision
- Myndigheter
- myndighet
- autonom
- baserat
- grundläggande
- I grund och botten
- därför att
- blir
- bakom
- tro
- Bättre
- Stor
- Bit
- blockchain
- Blogg
- ombord
- boken
- Ha sönder
- föra
- Byggnad
- vilken
- bära
- Vid
- Orsak
- kedja
- ta
- kontroll
- klar
- Stäng
- COM
- kommande
- engagerad
- Gemensam
- samfundet
- Företag
- företag
- Företagets
- fullborda
- Avslutade
- fullständigt
- komplex
- kompromiss
- Äventyras
- komprometterande
- Begreppen
- kontakta
- innehåll
- innehållsskapare
- sammanhang
- kontrakt
- kontrakt
- bidra
- Bidragande
- kontroll
- Konversation
- Kärna
- Motverka
- lands
- skapa
- skapar
- skaparna
- Trovärdighet
- kris
- avgörande
- crypto
- Aktuella
- cyber
- Cybersäkerhet
- Cybersäkerhet
- skada
- <b>PostNord</b>
- Dao
- behandla
- decentraliserad
- Beslutet
- beslut
- dedicerad
- leverera
- avdelningar
- förstöra
- utvecklare
- den
- skillnader
- olika
- svårt
- svårigheter
- digital
- riktning
- katastrof
- oenighet
- diskuteras
- dollar
- inte
- ner
- ekosystemet
- valdes
- anställda
- ingenjör
- Teknik
- tillräckligt
- fel
- etc
- Även
- händelser
- NÅGONSIN
- Varje
- alla
- exakt
- exempel
- överstiger
- utbyta
- erfarenhet
- expertis
- experter
- förklara
- utnyttjas
- bedrifter
- utforska
- Ansikte
- misslyckas
- hitta
- Förnamn
- Fokus
- hittade
- från
- kul
- funktion
- finansiering
- fonder
- framtida
- Få
- samla
- Allmänt
- skaffa sig
- få
- ges
- Ge
- Go
- Målet
- Går
- kommer
- god
- styrning
- Regeringen
- bevilja
- Grupp
- Gruppens
- styra
- Guy
- hacka
- hända
- Hård
- huvud
- Hälsa
- hört
- hjälpa
- här.
- Hög
- högre
- hires
- Anställa
- hålla
- innehar
- Hur ser din drömresa ut
- How To
- Men
- HTTPS
- stor
- humant
- Människa
- oerhört
- Inverkan
- effektfull
- med Esport
- omöjligt
- förbättra
- in
- informationen
- istället
- uppsåt
- Avsikt
- intresse
- Internet
- ingripande
- Utfärdad
- problem
- IT
- sig
- Ha kvar
- nycklar
- Snäll
- Vet
- större
- Efternamn
- lager
- LÄRA SIG
- Adress
- Lot
- gjord
- Huvudsida
- Majoritet
- göra
- Framställning
- manipulerings
- många
- betyder
- mekanism
- Möt
- möten
- medlem
- Medlemmar
- miljoner
- saknas
- pengar
- månader
- mer
- mest
- film
- rörliga
- multipel
- namn
- Som heter
- Behöver
- behov
- talrik
- ONE
- nätet
- Åsikter
- organisation
- organisationer
- Övriga
- Övrigt
- egen
- ägaren
- parametrar
- del
- särskilt
- parti
- passerar
- lösenord
- Personer
- personen
- PHIL
- Plats
- plato
- Platon Data Intelligence
- PlatonData
- placera
- positioner
- Möjligheterna
- möjlig
- potentiell
- kraft
- den mäktigaste
- förhindra
- privat
- privat information
- Privata nycklar
- privilegier
- process
- Produkt
- Produkter
- Framsteg
- projektet
- projekt
- rätt
- förslag
- protokoll
- protokoll
- Bevisa
- Syftet
- sätta
- fråga
- frågor
- Pilbåt
- slumpmässig
- nå
- Läsa
- verkliga världen
- mottagande
- minska
- regelbunden
- svar
- rykte
- Upplösning
- att
- mottaglig
- Rise
- Risk
- Rum
- säker
- Samma
- scenario
- scener
- omfattning
- Andra
- säkra
- säkring
- säkerhet
- ser
- Val
- skicka
- känsla
- separat
- Tjänster
- Dela
- aktier
- Kort
- skall
- liknande
- Enkelt
- helt enkelt
- enda
- Situationen
- smarta
- Smarta kontrakt
- So
- Social hållbarhet
- Samhällsteknik
- socialt
- Mjuk
- lösning
- några
- någon
- något
- står
- starta
- startar
- stoppa
- främling
- ström
- struktur
- sådana
- stödja
- Vingla
- Växla
- system
- Ta
- tar
- tar
- grupp
- Telegram
- villkor
- Smakämnen
- Projekten
- deras
- sig själva
- sak
- Genom
- tid
- till
- tillsammans
- ämne
- transparent
- kassan
- enorm
- triggas
- förstå
- användning
- Användare
- användare
- värde
- värderas
- verifiera
- Virtuell
- syn
- Rösta
- avgivna
- Röstning
- sårbarhet
- plånbok
- Kolla på
- sätt
- Web3
- Web3 ekosystem
- web3-projekt
- Webbplats
- webbsidor
- Vad
- Vad är
- om
- som
- VEM
- Hela
- kommer
- utan
- ord
- Arbete
- fungerar
- världen
- värsta
- skulle
- år
- Om er
- Din
- själv
- zephyrnet