Zephyrnet-logo

Generatieve data-intelligentie

Blockchain

DAO-beveiliging maximaliseren: een gids voor experts voor het controleren van de sociale laag

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 66

Leestijd: 8 minuten

Onderzoek naar de social engineering-aanvallen op DAO:

1. Wat is een DAO?

Dao staat voor Gedecentraliseerde Autonome Organisatie. Oké... maar wat betekent dat? Laten we het woord voor woord opsplitsen. Gedecentraliseerd betekent dat geen enkele partij eigenaar is en dat iedereen er deel van kan uitmaken. Verhuizen naar het woord autonoom betekent iets dat functioneert met minder menselijke tussenkomst. Een organisatie is een groep mensen die samenkomt voor een doel of zaak.

Maar wat heeft het met blockchain te maken? Zoals er in onze huidige wereld bedrijven zijn, hebben bedrijven een product en hebben producten gebruikers. Het bedrijf wordt gewaardeerd op basis van verschillende parameters en verschillende bestuursleden beslissen over de toekomst van het bedrijf. DAO is precies dat. De enige verschillen zijn dat het allemaal op een blockchain staat, volledig transparant is en dat geen enkele regering van een land er controle over heeft. WIE WIL DAT NIET? DAO's hebben enorme mogelijkheden, maar dat is een ander onderwerp op zich.

2. Cybersecurity is een grote pool

“Cyber ​​Security” je hebt deze term vast vaak gehoord, maar de meesten hebben geen duidelijke definitie. Cybersecurity gaat niet alleen over wachtwoorden of geld. Het is een hele complete wereld op zich. Zonder de juiste begeleiding loopt u altijd een groot risico misbruikt te worden door een onbekende kwetsbaarheid. Cyberbeveiliging varieert van een willekeurig gesprek met een vreemde op internet tot al die mooie filmscènes die je kijkt. Social Engineering is zo'n onderdeel van cyberbeveiliging. Laten we het verkennen.

2.1 Wat is social engineering?

Social engineering in de context van cyberbeveiliging is simpelweg de kunst van het verzamelen van informatie of het compromitteren van het systeem of de structuur door gebruikers te manipuleren en menselijke fouten uit te buiten om privé-informatie of kostbaarheden te verkrijgen. Klinkt ingewikkeld? Laat me je helpen.

U moet de beveiligingsvragen hebben gezien die sommige websites stellen om te verifiëren dat u het bent als u wachtwoorden vergeet. Stel je nu een scenario voor waarin je een willekeurige man op onenigheid ontmoet en een beetje kletst, gewoon wat basiszaken zoals waar je vandaan komt en welk boek je graag leest. Wat was het eerste boek dat je ooit las? Dat soort dingen, nu. Dit is een beveiligingsvraag op veel websites "Hoe heet je favoriete boek?" Hij heeft het antwoord al; hij kan het gebruiken om uw account in gevaar te brengen. Dat is slechts een simpele manier om social engineering uit te leggen, de reikwijdte gaat erg ver van dit eenvoudige voorbeeld, maar de kernconcepten zijn hetzelfde.

2.2 Sociale engineering in DAO

Hoe kan deze "Social Engineering" of "Social Attacks" worden gebruikt in het geval van DAO?, Deze blog gaat daar helemaal over. We zullen enkele veelvoorkomende manieren onderzoeken waarop kwaadwillende gebruikers DAO kunnen breken en leren hoe dit kan worden voorkomen.

3. Schatkistexploitaties

Voordat we de Treasury-exploits begrijpen, moeten we weten hoe DAO werkt, hoe beslissingen worden genomen, wie de beslissingen neemt, enz.

Zoals we weten, zijn DAO's precies zoals elke andere organisatie. Net als bij een reguliere organisatie beslist de ledenraad bij stemming. In DAO's stemmen sommige mensen voor een bepaalde actie, en als de meerderheid het daarmee eens is, wordt de beslissing uitgevoerd. 

Hoe gebeurt het stemmen in DAO's?:-

Net als bij reguliere organisaties ligt het stemrecht bij bestuursleden in verhouding tot hoeveel zij de organisatie bezitten in termen van aandelen en activa. DAO's gebruiken een soortgelijk mechanisme, DAO's hebben een "Governance-token" uitgegeven aan mensen die deel willen uitmaken van de organisatie, en de mensen die veel "Governance-token" hebben, hebben meer controle.

3.1 Wat zijn soft treasury-exploits?

Soft treasury-exploits zijn wanneer een voorstel wordt aangenomen om geld aan een portemonnee toe te kennen in ruil voor wat werk dat moet worden gedaan, maar het werk wordt niet voltooid en de ontvanger houdt het geld gewoon. Laten we het beter begrijpen.

Stel je nu een scenario voor, een reguliere organisatie genaamd Y heeft wat werk nodig, en sommige bestuursleden stellen voor om een ​​bedrijf genaamd Y in te huren om het werk te doen, en nu stemmen de bestuursleden. Als de stemmen de meerderheid van het bedrijf overtreffen, krijgt Y het project. Maar wat als bedrijf Y gewoon verdwijnt nadat het geld voor het project is ontvangen? Het wordt een ramp.

Dit is één van de belangrijkste beveiligingsproblemen in DAO's, Er zijn veel gevallen geweest waarin de DAO-gemeenschap ontwikkelaars, makers van inhoud enz. Inhuurt om het werk gedaan te krijgen, maar later ontdekken ze dat er nog vooruitgang moet worden geboekt en dat hun geld op is.

3.2 Wat is de oplossing?

Om dit soort wangedrag te voorkomen, schakelen we in reguliere organisaties de hulp in van gerechtelijke instanties. De twee organisaties sluiten een contract en worden bestraft als hun respectieve doel wordt geschonden. Maar wat in web3? Zoals we hier weten, "Code is de wet", dus gebruiken we dat feit. In plaats van het geld in één keer te geven, kunnen we besluiten om ze in de loop van de tijd te streamen, en dit creëert ook ruimte om de stream door middel van stemmen te stoppen als een partij niet levert, en dit alles kan worden gedaan met behulp van een Smart Contracts daar zijn enkele protocollen speciaal voor dit doel gemaakt.

4. Geesten

Foto door Priscilla Du Preez on Unsplash

Zoals besproken heeft elke organisatie bestuursleden, de een belangrijker dan de ander, wiens meningen en beslissingen cruciaal zijn in de vergaderingen. Het kan zijn omdat ze een hoog aandeel hebben of waarde toevoegen aan de organisatie. Maar stel je even voor wat er zou gebeuren als ze plotseling vermist zouden worden en gewoon zouden verdwijnen. Stel je eens voor wat voor impact dit zou hebben op de organisatie. In het echte scenario kan de persoon echter op de een of andere manier worden gecontacteerd, maar is dit het geval in DAO? Dat zoeken we uit.

In het geval van DAO's, aangezien het erg lijkt op reguliere organisaties, is de situatie bijna hetzelfde als een belangrijke gebruiker wordt ghosted. Het kan er zelfs toe leiden dat de fondsen voor maanden of jaren van anderen worden vergrendeld op basis van het type bestuurssysteem dat aanwezig is. Kortom, het zal zeer schadelijk zijn voor DAO-beveiliging, en het ergste is dat je niet eens contact kunt maken als de persoon beslist, omdat het allemaal virtueel is in DAO.

De bedoeling achter ghosting kan variëren, het kan zijn omdat de persoon kwaadwillende bedoelingen had of een gezondheidscrisis doormaakt of zoiets, maar dit is een enorm risico omdat mensen miljoenen dollars in bestuur stoppen. Daarom is het beter om een ​​"dodemansknop" te houden, laten we leren wat deze schakelaar is.

4.1 Wat is de oplossing?

Dodemansknop is de oplossing, maar wat is dat? en wat is er met deze sinistere naam? Het is een mechanisme dat is ingesteld om met uw vermogen om te gaan voor het geval u sterft of responsief wordt. Dat is koud. Het kan je enorm helpen, en ik geloof dat iedereen in crypto dit zou moeten hebben.

Dus hoe het eigenlijk werkt, is dat er om de zoveel tijd een e-mailcontrole naar het lid wordt gestuurd om te controleren of hij / zij reageert; als u antwoordt, is dat in orde, maar als u dat niet doet, wordt er een reeks gebeurtenissen geactiveerd waarbij de cruciale informatie wordt verzonden naar degenen om wie u geeft, zoals uw privésleutels, portemonnee-adressen, enz. U kunt dergelijke services zelf vinden online.

5. Nabootsing van identiteit

Foto door Phil Shaw on Unsplash

Laten we een leuke vraag beantwoorden: hoe zou je een organisatie vernietigen? Het is simpel, corrumpeert de hoofdmedewerkers. Een organisatie kan dus niet veel uithouden. Wat zou er gebeuren als een enkele persoon het hoofd was van vele afdelingen en hij corrupt zou worden? Het is het einde van de organisatie.

Een soortgelijke aanval kan worden uitgevoerd in DAO. Het is eng. Zoals we weten, werkt DAO volgens de gemeenschap. Sommige mensen creëren een goede reputatie in de gemeenschap. Sommige mensen worden krachtig en invloedrijk, en anderen hechten er een gevoel van autoriteit aan. Dit is in elke gemeente te vinden. Deze mensen krijgen ook privileges in DAO omdat ze actief zijn, en hun acties lijken in het voordeel van DAO te zijn. Deze mensen kunnen gekozen worden voor verschillende hogere functies. En al deze community is actief via verschillende digitale sociale groepen, dit zijn applicaties zoals discord, telegram enz., waardoor het bijna onmogelijk wordt om dit type aanval te detecteren.

Wat als iemand meerdere accounts aanmaakt en met verschillende accounts begint bij te dragen aan de community? Als hij er goed in is, zullen zijn accounts beginnen te stijgen naar posities van geloofwaardigheid. Hoewel de gemeenschap die accounts als afzonderlijke mensen beschouwt, zijn ze van slechts één persoon. Nu, als de accounts geloofwaardige posities bereiken, bedenk dan hoeveel schade ze kunnen aanrichten aan de DAO.

Als de persoon voldoende posities in DAO bekleedt, kan hij/zij de algemene richting beïnvloeden. Beïnvloed alle cruciale beslissingen. Al deze accountstemmen voor één ding. Al die accounts zeggen hetzelfde en ondersteunen dezelfde agenda. Dit is alsof je de hele DAO overneemt. De aanvaller kan de DAO sociaal manipuleren om meer geld te steken in de projecten van zijn interesse of kwaadaardig project en uiteindelijk alle fondsen leegmaken. Het is inderdaad eng.

5.1 Wat is de oplossing?

Deze aanvallen zijn moeilijk tegen te gaan omdat de aanvaller zich vermengt met andere leden van de gemeenschap en het moeilijk wordt om op dit soort aanvallen te anticiperen. De belangrijkste oplossing voor deze aanvallen is om het selectieproces moeilijk te maken. Om een ​​gezagspositie te bereiken, zullen ze meer moeilijkheden moeten overwinnen en zichzelf moeten bewijzen. Het wordt ook aangeraden om je te concentreren op het opbouwen van een grotere toegewijde community om het risico op dergelijke aanvallen te verminderen.

6. Hoe kunt u de DAO-beveiliging verbeteren?

Een mogelijke manier om sociale aanvallen aan te pakken, is door minder op mensen te vertrouwen en alles autonoom te maken. Op deze manier is er geen menselijke tussenkomst en geen ruimte voor menselijke fouten, maar dit is slechts soms mogelijk.

Het andere simpele antwoord is dat je een team van experts nodig hebt. Er zijn talloze manieren waarop het protocol kan worden gecompromitteerd. Je hebt dus mensen nodig met ervaring en expertise om het protocol te beveiligen, die weten hoe verschillende hacks worden uitgevoerd en hoe ze moeten worden aangepakt. 

Wij bij QuillAudits hebben een team van experts die enorm bijdragen aan onze visie om het web3-ecosysteem veilig te maken, zodat meer mensen deel kunnen uitmaken van deze oplossing. We zetten ons in om het veilig te stellen. Bezoek onze website en beveilig uw Web3-project!

21 keer bekeken

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.