阅读时间: 8 分钟
探索对 DAO 的社会工程攻击:
1. 什么是 DAO?
Dao 代表去中心化自治组织。 好吧……但这意味着什么? 让我们逐字分解。 去中心化意味着没有任何一方是它的所有者,任何人都可以成为它的一部分。 转向“自主”一词意味着可以在较少人为干预的情况下发挥作用。 组织是一群人为了一个目标或事业聚集在一起。
但它与区块链有什么关系? 正如当今世界有公司,公司有产品,产品有用户。 公司的估值基于不同的参数,不同的董事会成员决定公司的未来。 DAO 就是这样。 唯一不同的是,这一切都在区块链上,完全透明,任何国家的政府都无法控制。 谁不想要那样? DAO 具有巨大的可能性,但这本身就是一个不同的话题。
2. 网络安全是一个大池塘
“网络安全”这个词你一定听过很多,但大多数都没有一个明确的定义。 网络安全不仅仅与密码或金钱有关。 它本身就是一个完整的世界。 如果没有适当的指导,您总是处于被未知漏洞利用的高风险之中。 网络安全的范围从在互联网上与陌生人的随机对话到您观看的所有精彩电影场景。 社会工程就是网络安全的其中一个部分。 让我们来探讨一下。
2.1 什么是社会工程学?
网络安全背景下的社会工程只是通过操纵用户和利用人为错误获取私人信息或贵重物品来收集信息或破坏系统或结构的艺术。 听起来很复杂? 我来帮你。
您一定已经看到某些网站保留的安全问题,以在您忘记密码时验证您的身份。 现在想象这样一个场景,你在 discord 上遇到一个随机的人,聊了聊,只是一些基本的东西,比如你来自哪里,你喜欢读哪本书。 你读过的第一本书是哪本书? 诸如此类的事情,现在。 这是许多网站上的安全问题“你最喜欢的书的名字是什么?” 他已经有了答案; 他可能会用它来破坏您的帐户。 这只是解释社会工程学的一种简单方式,范围与这个简单的例子相去甚远,但核心概念是相同的。
2.2 DAO 中的社会工程
这种“社会工程”或“社会攻击”如何在 DAO 的情况下使用?,这篇博客就是关于这个的。 我们将探讨恶意用户破坏 DAO 的一些常见方式,并了解如何防止它发生。
3. 国库利用
在我们了解 Treasury 漏洞利用之前,我们应该了解 DAO 是如何运作的,如何做出决定,谁做出决定等等。
正如我们所知,DAO 与任何其他组织完全一样。 与常规组织一样,成员委员会通过投票决定。 在 DAO 中,一些人投票支持特定的行动,如果多数人同意,则执行该决定。
DAO 中如何进行投票?:-
与常规组织一样,投票权属于董事会成员,与他们在股份和资产方面拥有该组织的比例成正比。 DAO 使用类似的机制,DAO 有一个“治理代币”发给想要成为组织一部分的人,持有大量“治理代币”的人更有控制权。
3.1 什么是软国库利用?
软资金漏洞利用是指通过向钱包提供资金以换取完成一些工作的提议,但工作没有完成,接收者只是保留了这笔钱。 让我们更好地理解它。
现在,想象一个场景,一些名为 Y 的常规组织需要完成一些工作,一些董事会成员建议聘请一家名为 Y 的公司来完成这项工作,现在董事会成员进行投票。 如果投票超过多数公司,则将项目授予 Y。 但是,如果 Y 公司在收到项目资金后就消失了怎么办? 这将是一场灾难。
这是一个 DAO 中的主要安全问题, DAO 社区聘请开发人员、内容创建者等来完成工作的情况有很多,但后来他们发现尚未取得进展,而且他们的资金也没有了。
3.2 解决方案是什么?
在常规组织中,为防止此类不当行为,我们会寻求法律机构的帮助。 这两个组织签订了合同,如果违反了各自的目标,将面临处罚。 但是在 web3 中呢? 正如我们在这里所知道的,“代码就是法律”,因此我们使用了这一事实。 我们可以决定随着时间的流逝而不是一次性提供资金,如果任何一方未能交付,这也为通过投票停止流提供了空间,所有这一切都可以在智能合约的帮助下完成是一些专门为此目的而制定的协议。
4.重影
照片由 Priscilla Du Preez on Unsplash
如前所述,每个组织都有董事会成员,其中一些比其他成员更重要,他们的意见和决定在会议中至关重要。 这可能是因为他们持有高份额或为组织带来价值。 但想象一下,如果他们突然失踪并消失,会发生什么。 想象一下它将如何影响组织。 然而,在现实场景中,可以通过某种方式联系到这个人,但在 DAO 中是这样吗? 让我们找出来。
在 DAO 的情况下,由于它与常规组织非常相似,如果一些重要用户被隐藏,情况几乎相同。 根据现有治理系统的类型,它甚至可能最终将其他人的资金锁定数月或数年。 简而言之,这对 DAO 的安全性是非常有害的,最糟糕的是,如果这个人决定了,你甚至无法联系,因为它在 DAO 中都是虚拟的。
重影背后的意图可能各不相同,可能是因为这个人有恶意或正在经历健康危机或其他任何事情,但这是一个巨大的风险,因为人们将数百万美元用于治理。 因此,最好保留一个“deadman's switch”让我们了解这个开关是什么。
4.1 解决方案是什么?
Deadman 的开关是解决方案,但那是什么? 这个邪恶的名字是怎么回事? 这是一种在您死亡或响应时处理您的资产的机制。 好冷啊它可以极大地帮助你,我相信加密货币中的每个人都应该拥有它。
所以基本上它是如何工作的,每隔一段时间,就会向会员发送一封电子邮件检查,检查他/她是否有回应; 如果你回复,没关系,但如果你不回复,则会触发一系列事件,包括将关键信息发送给你关心的人,如你的私钥、钱包地址等。你可以自己找到这样的服务在线的。
5.冒充攻击
让我们回答一个有趣的问题,你会如何摧毁一个组织? 很简单,腐蚀员工主管。 那么,一个组织不可能长久。 如果一个人身兼多个部门的负责人,他腐败了怎么办? 这是组织的终结。
可以在 DAO 中进行类似的攻击。 太可怕了。 众所周知,DAO 根据社区运作。 有些人在社区中创造了良好的声誉。 有些人变得强大而有影响力,而另一些人则赋予他们权威感。 这可以在任何社区中找到。 这些人在 DAO 中也被赋予了特权,因为他们很活跃,他们的行为似乎有利于 DAO。 这些人可以当选为不同的更高职位。 所有这些社区都活跃在不同的数字社交群体中,这些群体是 discord、telegram 等应用程序,因此几乎不可能检测到此类攻击。
如果有人创建多个帐户并开始使用不同的帐户为社区做贡献怎么办? 如果他擅长,他的账户就会开始上升到可信度的位置。 尽管社区将这些帐户视为独立的人,但它们只属于一个人。 现在,如果账户上升到可信的位置,想想它们会给 DAO 带来多大的破坏。
如果此人在 DAO 中拥有足够的职位,他/她可以左右大方向。 影响所有的关键决定。 所有这些帐户都为一件事投票。 所有这些说法都说同样的话,支持同样的议程。 这就像接管了整个 DAO。 攻击者可以对 DAO 进行社会工程,将更多资金投入到他感兴趣的项目或恶意项目中,并最终耗尽所有资金。 确实很可怕。
5.1 解决方案是什么?
这些攻击很难反击,因为攻击者与其他社区成员混在一起,而且很难预测这种攻击。 这些攻击的主要解决方案是使选择过程变得困难。 要登上权威的位置,他们将不得不面对更多的困难并证明自己。 还建议专注于建立更大的专用社区,以降低此类攻击的风险。
6. 如何提高 DAO 的安全性?
应对社会攻击的一种潜在方法是减少对人类的依赖,让它完全自主。 这样,就没有人为干预,也没有人为错误的余地,但这只是有时才有可能。
另一个简单的答案是你需要一个专家团队。 有许多方法可以破坏协议。 因此,您需要有经验和专业知识的人来保护协议,他们知道如何进行不同的黑客攻击以及如何解决这些问题。
我们在 QuillAudits 有一个专家团队,他们为我们使 web3 生态系统安全的愿景做出了巨大贡献,以便更多的人可以成为该决议的一部分。 我们致力于保护它。 请访问我们的网站并 保护您的 Web3 项目!
19 观点
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://blog.quillhash.com/2023/02/10/maximizing-dao-security-an-experts-guide-to-auditing-the-social-layer/
- 1
- a
- 关于
- 根据
- 账号管理
- 账户
- 操作
- 行动
- 要积极。
- 地址
- 影响
- 后
- 议程
- 所有类型
- 已经
- 尽管
- 时刻
- 和
- 回答
- 预料
- 任何人
- 应用领域
- 艺术
- 财富
- 办公室文员:
- 连接
- 攻击
- 攻击
- 审计
- 当局
- 权威
- 自主性
- 基于
- 基本包
- 基本上
- 因为
- 成为
- 背后
- 相信
- 更好
- 大
- 位
- blockchain
- 博客
- 板
- 书
- 午休
- 带来
- 建筑物
- 关心
- 携带
- 案件
- 原因
- 链
- 查
- 检查
- 清除
- 关闭
- COM的
- 未来
- 提交
- 相当常见
- 社体的一部分
- 公司
- 公司
- 公司的
- 完成
- 完成
- 完全
- 复杂
- 妥协
- 妥协
- 折中
- 概念
- CONTACT
- 内容
- 内容创作者
- 上下文
- 合同
- 合同的
- 贡献
- 贡献
- 控制
- 谈话
- 核心
- Counter
- 全国
- 创建信息图
- 创建
- 创作者
- 可信性
- 危机
- 关键
- 加密
- 电流
- 网络
- 网络安全
- 网络安全
- 损坏
- DAO
- 的DAO
- 处理
- 分散
- 决定
- 决定
- 专用
- 交付
- 部门
- 摧毁
- 开发
- 死
- 差异
- 不同
- 难
- 困难
- 数字
- 方向
- 灾害
- 不和
- 讨论
- 美元
- 别
- 向下
- 生态系统
- 当选
- 邮箱地址
- 员工
- 工程师
- 工程师
- 更多
- 错误
- 等
- 甚至
- 事件
- EVER
- 所有的
- 每个人
- 究竟
- 例子
- 超过
- 交换
- 体验
- 专门知识
- 专家
- 说明
- 剥削
- 功勋
- 探索
- 面部彩妆
- 失败
- 找到最适合您的地方
- (名字)
- 专注焦点
- 发现
- 止
- 开玩笑
- 运作
- 资金
- 资金
- 未来
- Gain增益
- 搜集
- 其他咨询
- 得到
- 越来越
- 特定
- 给予
- Go
- 目标
- GOES
- 去
- 非常好
- 治理
- 政府
- 授予
- 团队
- 组的
- 指南
- 家伙
- 黑客
- 发生
- 硬
- 头
- 健康管理
- 听说
- 帮助
- 相关信息
- 高
- 更高
- 员工
- 招聘
- 举行
- 持有
- 创新中心
- How To
- 但是
- HTTPS
- 巨大
- 人
- 人类
- 非常
- 影响力故事
- 有影响力的
- 重要
- 不可能
- 改善
- in
- 信息
- 代替
- 意图
- 意图
- 兴趣
- 网络
- 介入
- 发行
- 问题
- IT
- 本身
- 保持
- 键
- 类
- 知道
- 大
- (姓氏)
- 层
- 学习用品
- 法律咨询
- 占地
- 制成
- 主要
- 多数
- 使
- 制作
- 操纵
- 许多
- 手段
- 机制
- 满足
- 会议
- 会员
- 成员
- 百万
- 失踪
- 钱
- 个月
- 更多
- 最先进的
- 电影
- 移动
- 多
- 姓名
- 命名
- 需求
- 需要
- 众多
- 一
- 在线
- 意见
- 组织
- 组织
- 其他名称
- 其它
- 己
- 业主
- 参数
- 部分
- 特别
- 党
- 通行证
- 密码
- 员工
- 人
- PHIL
- 地方
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 位置
- 职位
- 可能性
- 可能
- 潜力
- 功率
- 强大
- 防止
- 私立
- 私人信息
- 私钥
- 权限
- 过程
- 产品
- 核心产品
- 进展
- 项目
- 项目
- 正确
- 提案
- 协议
- 协议
- 证明
- 目的
- 放
- 题
- 有疑问吗?
- 散列
- 随机
- 达到
- 阅读
- 真实的世界
- 接收
- 减少
- 定期
- 一个回复
- 声誉
- 分辨率
- 那些
- 响应
- 上升
- 风险
- Room
- 安全
- 同
- 脚本
- 场景
- 范围
- 其次
- 安全
- 保障
- 保安
- 看到
- 选择
- 发送
- 感
- 分开
- 特色服务
- Share
- 分享
- 短
- 应该
- 类似
- 简易
- 只是
- 单
- 情况
- 智能
- 智能合同
- So
- 社会
- 社会工程学
- 社会
- 软
- 方案,
- 一些
- 有人
- 东西
- 看台
- 开始
- 启动
- 停车
- 陌生人
- 流
- 结构体
- 这样
- SUPPORT
- 摇摆
- Switch 开关
- 系统
- 采取
- 需要
- 服用
- 团队
- Telegram
- 条款
- 项目
- 其
- 他们自己
- 事
- 通过
- 次
- 至
- 一起
- 主题
- 透明
- 金库
- 巨大
- 引发
- 理解
- 使用
- 用户
- 用户
- 折扣值
- 价值
- 确认
- 在线会议
- 愿景
- 投票
- 票
- 表决
- 漏洞
- 钱包
- 了解
- 方法
- Web3
- Web3 生态系统
- web3 项目
- 您的网站
- 网站
- 什么是
- 什么是
- 是否
- 这
- WHO
- 全
- 将
- 也完全不需要
- Word
- 工作
- 合作
- 世界
- 最差
- 将
- 年
- 完全
- 您一站式解决方案
- 你自己
- 和风网