CoinFund:Web3 安全服务赛道概括与思考

1年前
标签:比特币01090
文章来源: 链捕手

原文标题:《Web3 Security: Securing the Path to Crypto Adoption

作者:Isaiah Washington,CoinFund 研究员

编译:饼干,ChainCatcher

 

Chainalysis 的 2022 年 Web3 漏洞报告显示智能合约损失超过30 亿美元,这些数据暴露了Web3 安全形势的不成熟和未充分汲取安全案例的经验。Web2 和 Web3 技术之间的根本差异为攻击或保护用户数据和资产创造了新的机会。

根据麦肯锡的数据,目前全球网络安全市场估计约为 1670 亿美元。随着 Web3 沿着S 曲线得到大规模采用,这个市场将包括财务和非财务数据,因此我们至少会看到一个类似千亿规模的 Web3 安全市场。

Web3 安全性并没有被破坏,而是不发达。与 Web2 中的安全解决方案类型的广度相比,当前 Web3 安全公司的生态系统才刚刚起步。在所有完成 A 轮融资或年收入超过 300 万美元的 Web3 安全公司中,大多数都是以服务为基础,主要业务是智能合约审计。

审计工作的流程是手动仔细检查项目的代码并标记安全漏洞。虽然审计是 Web3 安全的重要支柱,但 2022 年发生了 167 起重大黑客攻击。其中一半是针对经过审计的智能合约(Beosin Web3 安全报告),表明该领域需要更多的安全基础设施和自动化。

 

Web3 安全格局

 

Web3 安全公司的业务可以分为三大类:审计、工具和社区。在工具和社区中,很多早期活动是安全代码开发、持续或运行时监控、安全漏洞赏金和竞争社区,以及交易安全。

安全代码开发:安全产品需要集成到开发人员流程中。帮助开发人员以“安全第一”的心态构建并防止开发人员部署错误代码,该解决方案可以使审计业务在 Web3 中更具可扩展性。CoinFund 的投资组合公司Certora是支持该论点的案例,它提供了通过正式验证策略(formal verification strategy)保护智能合约的工具,旨在让智能合约在部署和预审计之前最大限度地减少智能合约漏洞。其他创新示例包括持续的安全开发工具,例如正在开发Dev0x的Enigma Labs,该工具适用于安全产品编排的开发人员。此外,还有交易和生态系统测试和模拟工具,如TenderlyChaos LabsGauntlet。这些项目允许开发人员在正式部署智能合约之前管理和预测其输出结果,从而为开发人员安全工具集做出贡献。

持续/即时监控: Chainalysis 和 TRM Labs 等公司已筹集了 6.865 亿美元用于事后 AML 检测、调查和数据分析。然而,用于主动预防安全漏洞的即时监控解决方案市场仍然相当欠缺。FortaCyvers等公司正在通过实时监控漏洞和预防检测等功能填补这一空白。Forta 是一个用于持续运行时监控的分布式网络,而 CyVers 是一个利用机器学习持续监控多个网络并为交易所、托管人和 DeFi 协议提供攻击检测的解决方案。(另见CoinFund 关于 AI 的论文有关 AI 和加密的交叉点的更多信息)。通过这些解决方案的检测后,开发人员可以部署交易抢先程序和自动断路器等技术方案来减少资产损失。

安全网络/社区:Web3 由社区参与驱动,主要的社区可分为开发者社区(例如 Developer DAO)、投资者社区(例如 FlamingoDAO)和金融社区基础设施(例如 SyndicateDAO、Juicebox)。可以预见的是,未来的安全解决方案和平台可以更好地聚集和动员专业安全人员参与保护 Web3。例如,最近为其 A 系列筹集了 2400 万美元的 ImmuneFi,正在通过创建和激励白帽黑客网络来识别智能合约中的漏洞和错误,这是利用社区的力量来保护 Web3 代码。迄今为止,Immunefi 已促成向白帽黑客支付了超过 6500 万美元的漏洞赏金。其他类似的早期例子包括Code4renaSecure3PwnedNoMore。Forta 的分布式网络可以激励安全专家或爱好者来构建和部署检测机器人、智能合约等,用于提醒用户合约风险和响应恶意智能合约。

消费者和机构交易安全解决方案:面向用户的交易和钱包安全产品将在 Web3 资产安全中发挥重要作用。该解决方案也可以出售给钱包,让其整体使用体验更加安全。虽然钱包也可以在其产品中内置安全功能,但通过使用专有算法来检测风险并尽可能简化集成的解决方案将脱颖而出。Redefine是探索这个方向的公司,它提供实时交易风险评估和警报,这些警报通过实时模拟交易和监控机制,直接将风险信息传递给终端用户。其他一些专门保护交易者的“防火墙”解决方案包括 Shield、Hexagon 和Web3Builders 的 TrustCheck

审计业务的扩展:通常,审计公司认为需要产品化来让公司更具可扩展性。Halborn 虽然目前主要专注于手动审计,但其构建的目的是将用于审计和开发运营的流程自动化工具推向市场。Quantstamp 和CoinFund 投资组合公司Sherlock等公司正在采取另一种方法,探索安全审计和资产保险的交叉点。

 

思考 Web3 安全中的重要组成部分

 

在高层次上,有几个关键论点引发我对 Web3 安全开发的思考:

  • 关键安全利益相关者的识别:Web3 让我们对安全产品和服务目标市场的看法发生根本转变。Web3开发人员、项目、用户是最重要的安全解决方案客户。这与 Web2 不同,在 Web2 中,企业对保护用户数据负有法律和经济责任。在用户拥有自己数据的世界中,他们也面临着保护数据的挑战,用户需要直接保护自己的资产。
  • 预防、缓解和响应:安全是一种分层方法 ( IBM),需要持续主动的安全策略,而目前 Web3 中的启动前审计无法实现这一点。代码不可能完全没有漏洞,这使得 Web3 和 Web2 中都需要实时漏洞利用的缓解和响应方案。
  • 传统安全和 Web3 专业知识的结合:安全在历史上是一个非常具有挑战性和拥挤的市场,黑客人才和前沿策略在不断发展。尽管市场上有成千上万的安全初创公司,但只有少数具有突破潜力。尽管 Web3 很新颖,但基本的安全问题和解决方案已广为人知。因此,花费数年时间了解技术漏洞的安全研究人员将引领保护 Web3 的道路。

 

Web3安全投资机会

 

可扩展解决方案、产品和网络是构建 Web3 安全的重要组成部分。从投资的角度来看,最具吸引力的团队是具有 (1) 深厚的 Web2 安全专业知识和密码学观点的团队,(2) 能够桥接 Web3安全的协议与开发人员、机构和个人用户的平台,可以为Web3安全人员的能力提供价值。(3) 可以根据底层技术服务客户的产品或网络。

在 Web3 安全市场,就像 Web2 安全一样,将创建数以千计的解决方案,或许相对较少的企业会扩展到十亿美元的企业,CoinFund 的目标是与创始人合作,我们希望投资于正在扩展 Web3 安全堆栈的团队。

免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。

评论

暂时没有评论,赶紧抢沙发吧!