转载请微信联系:huangdiezi,更多DAO、Web3、NFT、Metaverse资讯请关注老雅痞👇
原文来源:decrypt
Moloch DAO是一个去中心化的自治组织,它资助公益项目以改善以太坊生态系统
在其存在的三年里,Moloch DAO已经资助了几十个项目,并帮助以太坊生态系统中的数百个去中心化自治组织提供动力。
在这个空间里,人们的叙述往往是关于短期的、个人的收益,Moloch DAO通过资助数字公共基础设施--从以太坊开始--以及点燃围绕区块链发展的集体行动,把目光放在更长远的时间范围内。
什么是Moloch DAO?
Moloch DAO是一个去中心化的自治组织,为旨在改善和推动Ethereum生态系统的项目提供资金。该组织有70个成员,控制着超过500万美元的资金。由成员决定哪些项目获得资金。
Moloch DAO认为区块链技术是一种公共产品。也就是说,就像道路、清洁空气和公共广播一样,区块链技术是每个人都能受益的东西,并且应该有平等的机会。
管理和开发公共产品从来都是人类擅长的事情,简而言之,每个人都有使用公共产品的动机,导致过度使用和资源退化。我们在公共产品管理方面的缺点从根本上说是协调失败和激励失调。
Moloch DAO的创造者们敏锐地认识到,这个古老的故事在区块链领域上演,特别是在以太坊2.0发展方面。2019年,他们着手创建一个组织和技术,促进协调,为以太坊2.0发展服务,以便为大多数人提供最大的价值。
类似于比特币是建立BTC这个加密货币的网络,Moloch是建立Moloch DAO的技术框架。这是一个重要的区别,所以值得花一些时间来详细解释。
什么是Moloch?
Moloch是《圣经》中一个狡猾的神灵的名字,他利用人类可怜的协调能力来为更大的集体利益服务。Moloch以不合理和不必要的牺牲和痛苦为代价,提供繁荣和收益的幻觉。
在Moloch DAO的范围内,Moloch是一个DAO框架。也就是说,它是一套用规则编码的智能合约,有助于促进区块链上的人类协调。将该框架命名为 "Moloch "有点口无遮拦;这并不是对神灵的赞美。相反,它是一种承认,尽管人类自圣经时代以来取得了进步,但Moloch仍然是我们必须考虑的一种力量。
Moloch DAO是如何运作的?
至少有三个角度可以理解Moloch DAO:技术、成员和资助者。
从技术角度来看,Moloch DAO作为Moloch框架存在于以太坊区块链上。它是一套以代码表示的规则和行动,根据特定和预先定义的标准执行。(从这个角度看,Moloch DAO是一个开拓者)。
Moloch DAO的成员选择资助哪些项目。成员决定资助哪些项目的权利由他们各自的股份代表:对锁定在Moloch DAO库中的基础资金的不可转让的按比例索赔。(关于股份和如何成为Moloch DAO成员的更多信息,请查看Moloch DAO手册)。
任何人都有资格申请赠款。Moloch DAO每年举行三轮赠款活动,即4月至5月、8月至9月和12月至1月,通常总共发放至少100万美元。赠款资助以太坊生态系统中的一系列项目,从工具到研究到教育。(查看赠款提案流程,以了解更详细的赠款过程)。
Moloch DAO有什么特别之处?
在加密货币领域,许多发展和活动都是为了个人利益,Moloch DAO将自己分离出来,成为一个旨在促进公共利益的组织。然而,它的特殊性超出了利他主义的范围。
Moloch DAO的一个突出特点是其优雅的简单性。自成立以来,在 "最小可行DAO "理念的指导下,Moloch DAO的目标是使用Moloch框架在链上只放置绝对最小的必要功能。
这种简单性促进了安全性,因为更少的代码意味着更少的故障,而且在故障时更容易修复。它增强了可用性,因为它很容易使用和理解传说中的引擎盖下发生了什么。它还使框架更具扩展性,以满足各种用例和不断变化的需求。
也许Moloch DAO最突出的方面是其 "Ragequit "功能。Ragequit让成员在不同意投票结果的情况下,可以自由撤回他们的资金。这一机制直接写进了代码中,大大减少了围绕表达异议的协调约束,并允许成员获得他们的基本要求,而不受徒劳的政治和劝说的约束。
例如,假设亚历山大大帝是一个拥有10股的Moloch DAO成员。他也是马其顿的国王,一个顶级以太坊开发者人才的中心。尽管亚历山大做出了最崇高的努力来说服会员投 "反对票",但一项激励开发者从马其顿迁往阿拉伯的提案还是通过了。亚历山大选择了Ragequit,而不是不得不为他不同意的拨款提供资金,有效地兑现了他的10股的基本价值。
Moloch DAO资助哪些类型的项目?
自2019年以来,MolochDAO已经发放了近140万美元的拨款。资助者的类别包括从工具到研究到DAO建设到教育。这里有一个完整的列表,其中有Moloch DAO的拨款历史。下面是一份选定的赠款接受者名单。
DeathGuild(26,650美元)。Tyler Wyche的智慧结晶,"DeathGuild试图创建一个专门的研究计划,专注于研究本身,专注于DAO本身的大脑架构,并以哲学和艺术的方式做到这一点。"
Ethereum Cat Herders(10,000美元)。Cat Herders通过去中心化的项目管理、团队协调和信息传播项目促进以太坊生态系统和社区发展。
Flashbots(100,000美元)。这是一个关注矿工可提取价值(MEV)和智能合约区块链风险的研究和开发组织。
ReallyBoringGuild(56,400美元)。该公会是一个DAO工作小组,类似于传统公司的一个部门,主要负责DAO的运营和日常程序,如市场营销、公共关系、品牌推广、会员会议和网站维护。
Sybil Resistance(100,000美元)。这提供赏金,促进链上身份系统Proof of Humanity和BrightID的安全。
The State of Ethereum 2.0(3000美元)。这笔资金用于制作2019年的研究报告,该报告深入研究了当时以太坊2.0的状态,你猜对了。
Umbra协议(100,000美元)。Umbra是一个专注于隐私的协议,用于在以太坊上进行简单的隐形支付。
Moloch DAO的未来
自2019年成立以来,Moloch框架已被用于创建近750个DAO,包括一些知名DAO,如The LAO和MetaCartel。在此期间,Moloch DAO团队对该框架进行了两次升级,最近的V3被称为 "Baal",于2022年2月在ETHDenver推出。
这些升级是对DAO不断发展的需求和使用案例的回应,包括Moloch DAO本身的需求。创新的步伐没有显示出放缓的迹象。作为该领域的领导者,我们可能会看到Moloch DAO在未来几年继续改进其框架。
鉴于资金,Moloch DAO希望继续启用重要的尖端项目,推动生态系统的发展,解决协调问题。
朝鲜网络犯罪集团Lazarus Group如何在加密领域进行社会工程攻击?
原文作者:Arthur
最初只为我们的合作伙伴写了下面的内容,但经过一些思考,我认为将其开源是有好处的。
1、根据我们的研究和与领先的网络安全专家的谈话,我们相信BlueNorOff正在运行一个有组织的活动,以针对加密货币领域的所有知名组织。
2、鉴于他们的社会工程攻击很复杂,我相信他们已经绘制了整个加密货币领域的关系图,并且知道什么样的钓鱼邮件最有可能通过我们的心理防线溜走。
3、下面这篇文章,可以进一步了解这种攻击是如何进行的,下面是他们发送的钓鱼邮件的例子:
在BlueNoroff最近的活动中,攻击者一直滥用在目标公司工作的员工的信任,以 "合同 "或其他商业文件为幌子,向他们发送一个具有监视功能的全功能Windows后门。为了最终清空受害者的加密货币钱包,该行为人开发了广泛而危险的资源:复杂的基础设施、漏洞、恶意软件的植入。
BlueNoroff是更大的Lazarus集团的一部分,并使用其多元化的结构和复杂的攻击技术。Lazarus APT集团以攻击银行和连接SWIFT的服务器而闻名,甚至参与创建开发加密货币软件的假公司。受骗的客户随后安装了看起来合法的应用程序,并在一段时间后,收到了被反封锁的更新。
现在,这个Lazarus的分支已经转而攻击加密货币初创企业。由于大多数加密货币企业都是小型或中型初创企业,他们无法在内部安全系统中投入大量资金。黑客了解这一点,并通过使用精心设计的社会工程计划来利用它。
为了获得受害者的信任,BlueNoroff假装是一个现有的风险投资公司。卡巴斯基研究人员发现了超过15家风险企业,其品牌名称和员工姓名在SnatchCrypto活动中被滥用。卡巴斯基专家还认为,真正的公司与这次攻击或电子邮件没有任何关系。网络犯罪分子选择初创企业的加密领域是有原因的:初创企业经常收到来自陌生来源的信件或文件。例如,一家风险公司可能会给他们发送一份合同或其他业务相关文件。APT-行动者以此为诱饵,使受害者打开电子邮件中的附件--一个支持宏的文件。
如果该文件在离线情况下被打开,该文件不会代表任何危险的东西--最有可能的是,它看起来像是某种合同的副本或其他无害的文件。但是,如果计算机在打开文件时连接到互联网,另一个支持宏的文件就会被取到受害者的设备上,部署恶意软件。
这个APT组织的感染武器库中有各种方法,并根据情况组装感染链。除了武器化的Word文档,该行为人还将恶意软件伪装成压缩的Windows快捷方式文件进行传播。它发送受害者的一般信息和Powershell代理,然后创建一个全功能的后门。利用这一点,BlueNoroff部署了其他恶意工具来监视受害者:一个键盘记录器和屏幕截图器。
然后,攻击者对受害者进行数周和数月的跟踪:他们收集击键并监视用户的日常操作,同时计划财务盗窃的策略。在找到一个使用流行的浏览器扩展来管理加密钱包的突出目标后(例如,Metamask扩展),他们用一个假的版本替换扩展的主要组件。
根据研究人员的说法,攻击者在发现大额转账时收到通知。当被攻击的用户试图转移一些资金到另一个账户时,他们会拦截交易过程并注入自己的逻辑。为了完成启动的付款,用户随后点击 "批准 "按钮。此刻,网络犯罪分子正在改变收件人的地址,并将交易金额最大化,基本上是一举耗尽账户。
"由于攻击者不断想出很多新的方法来欺骗和滥用,即使是小企业也应该对其员工进行基本的网络安全实践教育。如果公司与加密货币钱包合作,这一点尤其重要:使用加密货币服务和扩展没有错,但要注意,这也是APT和网络犯罪分子的一个诱人目标。因此,这个部门需要得到很好的保护,"卡巴斯基全球研究和分析小组(GReAT)高级安全研究员Seongsu Park评论道。
对于企业的保护,卡巴斯基建议如下:
除非你对Metamask代码库非常熟悉,否则很难手动找到该扩展的注入。然而,对Chrome扩展的修改会留下痕迹。浏览器必须切换到开发模式,而且Metamask扩展会从本地目录而不是在线商店安装。如果该插件来自商店,Chrome浏览器会对代码实施数字签名验证,并保证代码的完整性。
安装反APT和EDR解决方案,实现威胁发现和检测,调查和及时补救事件的能力。让你的SOC团队能够获得最新的威胁情报,并定期对他们进行专业培训。上述所有内容均可在卡巴斯基专家安全框架内获得。
为您的员工提供基本的网络安全卫生培训,因为许多有针对性的攻击是从网络钓鱼或其他社会工程技术开始的。
对你的网络进行网络安全审计,并对在周边或网络内部发现的任何弱点进行补救。
除了适当的端点保护,专门的服务可以帮助应对高调的攻击。卡巴斯基管理检测和响应服务可以帮助在攻击者实现其目标之前,在其早期阶段识别和阻止攻击。
4、这个行业必须高度认识到,我们正在被一个国家支持的网络犯罪组织积极盯上,这个组织极其机智和复杂。他们甚至可能在未来改变工具和攻击模式。
5、一旦目前的攻击方法变得不那么有效,比如最近发现的木马化DeFi应用程序和钱包攻击。鉴于成功,朝鲜很可能会为这个组织投入更多的资源,以扩大攻击的强度。
6、抛开所有标准的网络安全建议,以下是我在网络安全意识强的朋友@junhaotan_的协助下制作的一些非详尽的加密货币具体安全建议,我希望这将防止类似事件发生在我们任何人身上。
7、将链上的加密资产存储在企业级托管解决方案上。由一个硬件钱包保证的EOA是不够的,因为他们可以插入一个虚假的Metamask浏览器扩展,导致批准非预期的交易。
8、至少它应该是一个多签名的钱包,如Gnosis Safe,由几个硬件钱包担保。我强烈建议采用下一级的托管解决方案,如Fireblocks、Copper、Qredo等。因为它们带有原生的多签名2FA用于交易审批。
9、在雇用远程团队,特别是软件工程师/开发人员时,要进行额外的尽职调查。"Lazarus APT集团甚至参与创建了开发加密货币软件的假公司。"
10、我们从我们的一个投资组合公司听说了这个案例,他们的软件工程师职位的申请人在面试时显得很可疑,而且无法与他们的简历中的资料相匹配。
11、用于加密货币交易的专用计算机。应该有专门的计算机,只用于从事加密货币交易,不与任何电子邮件、互联网链接、消息应用程序、打开MS word文档、PDF等互动。
12、对所有的登录实施2FA。这不是针对加密货币的,但也足够重要,值得一提。云存储、电子邮件、Telegram等消息应用程序都应该有2FA登录,不要使用短信2FA,而应使用谷歌认证器。
13、只要有可能,就应该使用YubiKey等硬件2FA。同时适用于公司和个人账户。
14、将你常用的加密DApp网站加入书签。不时有钓鱼网站被搜索引擎应用程序提供出来。如果在搜索过程中不小心,你可能最终会访问一个钓鱼网站。通过你的书签列表访问它们会更好。
15、撤销不必要的令牌批准。代币批准允许另一方移动你的资产。它是与大多数智能合约互动的必要条件。避免无限制的代币批准,定期撤销不必要的批准。你可以使用revoke.cash来做到这一点。
16、实施地址监控系统。应密切监测内部加密货币钱包地址,以便在发生未经授权的交易时,可以立即让团队知道并尽快采取行动。Etherscan和Nansen都有这样的解决方案。
17、定期对团队成员进行网络安全培训。所有的团队成员在入职时都应该被要求接受网络安全培训,这是随着组织的发展往往会被忽视的事情。
18、通过正确配置电子邮件的DNS设置,提高网络钓鱼和垃圾邮件的检测。在可能的情况下,对SPF、DKIM和DMARC使用硬失败或严格模式。
19、相信浏览器而不是网站。任何低于浏览器栏的内容都应被视为不安全的,并可能成为潜在的攻击媒介。如果你没有登录,一些DApp可能会弹出一个窗口,要求你登录到你的加密货币扩展钱包,请不要输入密码。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基深厚的威胁情报和安全专业知识不断转化为创新的安全解决方案和服务,以保护全球的企业、关键基础设施、政府和消费者。该公司全面的安全产品组合包括领先的端点保护和一些专门的安全解决方案和服务,以对抗复杂和不断变化的数字威胁。超过4亿用户受到卡巴斯基技术的保护,我们帮助24万家企业客户保护他们最重要的东西。
