Час читання: 8 протокол
Вивчення атак соціальної інженерії на DAO:
1. Що таке DAO?
Dao означає децентралізовану автономну організацію. Гаразд… але що це означає? Давайте розберемо це слово за словом. Децентралізований означає, що жодна сторона не є його власником, і кожен може стати його частиною. Перехід до слова автономний означає щось, що функціонує з меншим втручанням людини. Організація — це група людей, які об’єднуються для досягнення мети чи справи.
Але яке відношення це має до блокчейну? Оскільки в нашому сучасному світі існують компанії, компанії мають продукт, а продукти мають користувачів. Компанію оцінюють за різними параметрами, і різні члени правління вирішують майбутнє компанії. DAO - саме це. Єдина відмінність полягає в тому, що все це на блокчейні, повністю прозоро, і уряд жодної країни не може це контролювати. ХТО ЦЬОГО НЕ ХОЧЕ? DAO містять величезні можливості, але це вже окрема тема.
2. Кібербезпека – це великий пул
«Кібербезпека» ви, мабуть, багато чули цей термін, але більшість не має чіткого визначення. Кібербезпека — це не лише паролі чи гроші. Це цілий цілісний світ сам по собі. Без відповідних вказівок у вас завжди є високий ризик використання невідомої вразливості. Кібербезпека варіюється від випадкової розмови з незнайомцем в Інтернеті до всіх тих дивовижних кіносцен, які ви дивитеся. Соціальна інженерія є однією з таких частин кібербезпеки. Давайте дослідимо це.
2.1 Що таке соціальна інженерія?
Соціальна інженерія в контексті кібербезпеки — це просто мистецтво збору інформації або скомпрометації системи чи структури шляхом маніпулювання користувачами та використання людських помилок для отримання приватної інформації чи цінностей. Звучить складно? Дозвольте мені допомогти вам.
Ви, мабуть, бачили таємні запитання, які зберігають деякі веб-сайти, щоб підтвердити вашу особу, якщо ви забудете паролі. А тепер уявіть собі сценарій, коли ви зустрічаєте випадкового хлопця на дискорді та трохи балакаєте, лише про деякі базові речі, наприклад, звідки ви і яку книгу любите читати. Яку книгу ви прочитали першою? Зараз такі речі. Це секретне запитання на багатьох веб-сайтах «Як називається ваша улюблена книга?» Він уже має відповідь; він може використати це, щоб скомпрометувати ваш обліковий запис. Це просто простий спосіб пояснити соціальну інженерію, обсяг дуже далекий від цього простого прикладу, але основні концепції ті самі.
2.2 Соціальна інженерія в DAO
Як цю «соціальну інженерію» або «соціальні атаки» можна використовувати у випадку DAO? Цей блог про це. Ми вивчимо деякі поширені способи зламати DAO зловмисними користувачами та дізнаємося, як цьому можна запобігти.
3. Подвиги казначейства
Перш ніж зрозуміти експлойти Міністерства фінансів, ми повинні знати, як працює DAO, як приймаються рішення, хто приймає рішення тощо.
Як ми знаємо, DAO схожі на будь-які інші організації. Як і в звичайній організації, рада членів приймає рішення шляхом голосування. У DAO деякі люди голосують за певну дію, і якщо більшість погоджується, рішення виконується.
Як відбувається голосування в DAO?:-
Як і в звичайних організаціях, право голосу належить членам правління пропорційно до того, скільки вони володіють акцією та активами організації. DAO використовують подібний механізм, DAO мають «токен управління», виданий людям, які хочуть бути частиною організації, а люди, які володіють значною кількістю «токенів управління», більше контролюють.
3.1 Що таке soft treasury exploits?
М’які казначейські експлойти — це коли пропозиція передає кошти на гаманець в обмін на виконання певної роботи, але робота не завершується, а одержувач просто зберігає гроші. Давайте розберемося краще.
Тепер уявіть собі сценарій: деяка звичайна організація під назвою Y потребує певної роботи, і деякі члени правління пропонують найняти компанію під назвою Y для виконання цієї роботи, і тепер члени правління беруть участь у голосуванні. Якщо голоси перевищують більшість компаній, Y отримує проект. Але що, якщо компанія Y просто зникне після отримання коштів на проект? Це буде катастрофа.
Це один з основні проблеми безпеки в DAO, Було багато випадків, коли спільнота DAO наймала розробників, творців контенту тощо, щоб виконати роботу, але згодом вони виявляли, що прогрес ще не досягнутий, і їхні кошти закінчилися.
3.2 Яке рішення?
У звичайних організаціях, щоб запобігти такому типу неправомірної поведінки, ми користуємося допомогою юридичних органів. Обидві організації створюють контракт і загрожують штрафам, якщо їхня мета буде порушена. Але що в web3? Як ми знаємо тут, «Кодекс — це закон», тому ми використовуємо цей факт. Замість того, щоб надавати кошти за один раз, ми можемо вирішити передавати їх з часом, і це також створює можливість зупинити потік шляхом голосування, якщо будь-яка сторона не в змозі надати, і все це можна зробити за допомогою смарт-контрактів. є деякі протоколи, створені саме для цієї мети.
4. Привиди
Фото Прискілла Ду Пріз on Unsplash
Як обговорювалося, у кожній організації є члени правління, деякі важливіші за інших, чиї думки та рішення мають вирішальне значення на засіданнях. Це може бути тому, що вони займають велику частку або приносять цінність організації. Але уявіть на секунду, що станеться, якби вони раптом пропали безвісти й просто зникли. Уявіть, як це вплине на організацію. Однак у реальному сценарії з людиною можна якось зв’язатися, але чи так це в DAO? Давай дізнаємось.
У випадку DAO, оскільки вони дуже схожі на звичайні організації, ситуація майже така ж, якщо якийсь важливий користувач є привидом. Це може навіть призвести до блокування коштів інших на місяці чи роки залежно від типу існуючої системи управління. Коротше кажучи, це завдасть великої шкоди безпеці DAO, і найгірше те, що ви навіть не можете встановити контакт, якщо людина вирішить, оскільки це все віртуально в DAO.
Наміри, що стоять за привидами, можуть бути різними, це може бути тому, що людина мала злий умисел або переживала кризу здоров’я чи щось інше, але це величезний ризик, оскільки люди вкладають мільйони доларів на управління. Тому краще тримати «вимикач мертвої машини», давайте дізнаємося, що це за вимикач.
4.1 Яке рішення?
Перемикач Deadman є рішенням, але що це? і що з цим зловісним ім'ям? Це механізм, який запроваджено для роботи з вашими активами, якщо ви помрете або почнете реагувати. Це холодно. Це може вам надзвичайно допомогти, і я вважаю, що це має бути у всіх, хто працює з криптовалютами.
По суті, як це працює, час від часу учаснику надсилається перевірка електронної пошти, щоб перевірити, чи відповідає він/вона; якщо ви відповідаєте, все гаразд, але якщо ні, запускається ланцюжок подій, які передбачають надсилання важливої інформації тим, хто вас цікавить, як-от ваші особисті ключі, адреси гаманців тощо. Ви можете знайти такі послуги для себе онлайн.
5. Атака через уособлення
Давайте відповімо на веселе запитання: як би ви знищили організацію? Все просто, розбестити керівників. Тоді організація не може тривати довго. Що було б, якби одна людина очолила багато відділів і стала корумпованою? Це кінець організації.
Подібну атаку можна здійснити в DAO. це страшно. Як ми знаємо, DAO працює відповідно до спільноти. Деякі люди створюють хорошу репутацію в суспільстві. Деякі люди стають могутніми та впливовими, а інші надають їм почуття авторитету. Це можна знайти в будь-якій спільноті. Ці люди також отримують привілеї в DAO, оскільки вони активні, і їхні дії, здається, сприяють DAO. Ці люди можуть бути обрані на різні вищі посади. І вся ця спільнота активно працює над різними цифровими соціальними групами, якими є програми, такі як Discord, Telegram тощо, що робить виявлення такого типу атаки майже неможливим.
Що, якщо хтось створить кілька облікових записів і почне робити внесок у спільноту з різними обліковими записами? Якщо він добре це вміє, його рахунки почнуть підніматися до позицій довіри. Хоча спільнота розглядає ці облікові записи як окремих людей, вони належать лише одній людині. Тепер, якщо облікові записи піднімуться до позицій довіри, подумайте, скільки хаосу вони можуть завдати DAO.
Якщо людина займає достатньо позицій у DAO, він/вона може вплинути на загальний напрямок. Впливають на всі важливі рішення. Усі ці акаунти голосують за одне. Усі ці облікові записи говорять про те саме й підтримують ту саму програму. Це як захоплення всієї DAO. Зловмисник може соціально спроектувати DAO, щоб вкладати більше коштів у проекти, які його цікавлять, або шкідливий проект і в кінцевому підсумку вичерпати всі кошти. Це справді страшно.
5.1 Яке рішення?
Ці атаки важко протистояти, оскільки зловмисник змішується з іншими членами спільноти, і передбачити такий вид атаки стає важко. Основним рішенням для цих атак є ускладнення процесу відбору. Щоб досягти авторитету, їм доведеться зіткнутися з більшими труднощами та довести себе. Також радимо зосередитися на створенні більшої спеціалізованої спільноти, щоб зменшити ризик таких атак.
6. Як ви можете покращити безпеку DAO?
Один із потенційних способів боротьби з соціальними атаками — менше покладатися на людей і зробити все автономним. Таким чином не буде втручання людини та місця для людських помилок, але це можливо лише іноді.
Інша проста відповідь полягає в тому, що вам потрібна команда експертів. Існує багато способів зламати протокол. Таким чином, вам потрібні люди з досвідом і знаннями, щоб захистити протокол, які знають, як здійснюються різні зломи та як з ними боротися.
Ми в QuillAudits маємо команду експертів, які роблять величезний внесок у наше бачення безпечної екосистеми web3, щоб більше людей могли стати частиною цього рішення. Ми прагнемо забезпечити це. Відвідайте наш веб-сайт і захистіть свій проект Web3!
19 думки
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- МЕНЮ
- За
- рахунки
- Рахунки
- дію
- дії
- активний
- адреси
- впливати
- після
- порядок денний
- ВСІ
- вже
- хоча
- завжди
- та
- відповідь
- передбачити
- будь
- застосування
- Art
- активи
- Активи
- приєднувати
- атака
- нападки
- аудит
- Влада
- влада
- автономний
- заснований
- основний
- В основному
- оскільки
- ставати
- за
- Вірити
- Краще
- Великий
- Біт
- blockchain
- Блог
- рада
- книга
- Перерва
- приносити
- Створюємо
- який
- нести
- випадок
- Викликати
- ланцюг
- перевірка
- контроль
- ясно
- близько
- COM
- майбутній
- вчинено
- загальний
- співтовариство
- Компанії
- компанія
- Компанії
- повний
- Зроблено
- повністю
- комплекс
- компроміс
- Компрометація
- компрометуючі
- поняття
- контакт
- зміст
- творці контенту
- контекст
- контракт
- контрактів
- сприяти
- внесок
- контроль
- Розмова
- Core
- Counter
- країни
- створювати
- створює
- Творці
- правдоподібність
- криза
- вирішальне значення
- крипто
- Поточний
- кібер-
- кібер-безпеки
- Кібербезпека
- руйнівний
- DAO
- DAO
- угода
- децентралізований
- рішення
- рішення
- присвячених
- доставляти
- відомства
- знищити
- розробників
- Померти
- Відмінності
- різний
- важкий
- утруднення
- цифровий
- напрям
- катастрофа
- розбрат
- обговорювалися
- доларів
- Не знаю
- вниз
- екосистема
- обраний
- співробітників
- інженер
- Машинобудування
- досить
- помилка
- і т.д.
- Навіть
- Події
- НІКОЛИ
- Кожен
- все
- точно
- приклад
- перевищує
- обмін
- досвід
- експертиза
- experts
- пояснюючи
- експлуатований
- подвигів
- дослідити
- Face
- зазнає невдачі
- знайти
- Перший
- Сфокусувати
- знайдений
- від
- веселощі
- функціонування
- фінансування
- засоби
- майбутнє
- Отримувати
- збір
- Загальне
- отримати
- отримання
- даний
- дає
- Go
- мета
- йде
- буде
- добре
- управління
- Уряд
- надавати
- Group
- Групи
- керівництво
- Хлопець
- хакі
- траплятися
- Жорсткий
- голова
- здоров'я
- почутий
- допомога
- тут
- Високий
- вище
- наймає
- Наймання
- тримати
- тримає
- Як
- How To
- Однак
- HTTPS
- величезний
- людина
- Людей
- надзвичайно
- Impact
- вражаючий
- важливо
- неможливе
- удосконалювати
- in
- інформація
- замість
- намір
- Намір
- інтерес
- інтернет
- втручання
- Випущений
- питання
- IT
- сам
- тримати
- ключі
- Дитина
- Знати
- більше
- останній
- шар
- УЧИТЬСЯ
- легальний
- серія
- made
- головний
- Більшість
- зробити
- Робить
- маніпулювання
- багато
- засоби
- механізм
- Зустрічатися
- зустрічі
- член
- члени
- мільйони
- відсутній
- гроші
- місяців
- більше
- найбільш
- фільм
- переміщення
- множинний
- ім'я
- Названий
- Необхідність
- потреби
- численний
- ONE
- онлайн
- Думки
- організація
- організації
- Інше
- інші
- власний
- власник
- параметри
- частина
- приватність
- партія
- проходить
- Паролі
- Люди
- людина
- ФІЛ
- місце
- plato
- Інформація про дані Платона
- PlatoData
- положення
- позиції
- можливостей
- це можливо
- потенціал
- влада
- потужний
- запобігати
- приватний
- приватна інформація
- Приватні ключі
- привілеї
- процес
- Product
- Продукти
- прогрес
- проект
- проектів
- правильний
- пропозиція
- протокол
- протоколи
- Доведіть
- мета
- put
- питання
- питань
- Квілхаш
- випадковий
- досягати
- Читати
- Реальний світ
- отримання
- зменшити
- регулярний
- відповісти
- репутація
- дозвіл
- ті
- реагувати
- Зростання
- Risk
- Кімната
- сейф
- то ж
- сценарій
- сцени
- сфера
- другий
- безпечний
- забезпечення
- безпеку
- бачить
- вибір
- відправка
- сенс
- окремий
- Послуги
- Поділитись
- акції
- Короткий
- Повинен
- аналогічний
- простий
- просто
- один
- ситуація
- розумний
- Спритні контракти
- So
- соціальна
- Соціальна інженерія
- соціально
- М'який
- рішення
- деякі
- Хтось
- що в сім'ї щось
- стенди
- старт
- починається
- зупинка
- незнайомець
- потік
- структура
- такі
- підтримка
- Влада
- перемикач
- система
- Приймати
- приймає
- взяття
- команда
- Telegram
- terms
- Команда
- Проекти
- їх
- самі
- річ
- через
- час
- до
- разом
- тема
- прозорий
- скарбниця
- величезний
- спрацьовує
- розуміти
- використання
- користувач
- користувачі
- значення
- цінний
- перевірити
- Віртуальний
- бачення
- Голосувати
- голосів
- Голосування
- вразливість
- Wallet
- годинник
- способи
- Web3
- Екосистема Web3
- проект web3
- веб-сайт
- веб-сайти
- Що
- Що таке
- Чи
- який
- ВООЗ
- всі
- волі
- без
- слово
- Work
- працює
- світ
- найгірше
- б
- років
- Ти
- вашу
- себе
- зефірнет