Genudgivet af Platon

Abonnenter: 0

februar 6

8 min læses

af Isaiah Washington

$3B+ tabt på grund af smarte kontraktudnyttelser i 2022 (Chainalysis) afslører umodenhed i sikkerhedslandskabet og underbrug af sikkerhedspraksis i web3. Grundlæggende forskelle mellem web2- og web3-teknologier skaber nye muligheder for både at angribe og sikre data og aktiver hos brugere, der udnytter blockchain. I dag er det globale cybersikkerhedsmarked anslået til omkring $167 mia.McKinsey). Efterhånden som web3 kommer længere hen ad S-kurven for adoption, vil den inkludere både finansielle og ikke-finansielle data, så vi vil se et tilsvarende stort marked for web3-sikkerhed som minimum.

Web3-sikkerheden er ikke brudt, men underudviklet. Det nuværende økosystem af semi-modne web3-sikkerhedsvirksomheder er begyndende sammenlignet med bredden af sikkerhedsløsningstyper i web2. Af alle web3-sikkerhedsvirksomheder, der har rejst en serie A eller er over $3M i årlig omsætning, er størstedelen for det meste servicebaserede med smart kontraktrevision som det vigtigste værdiforslag. Revision er en manuel proces til at granske et projekts kode og fremhæve sikkerhedssårbarheder. Selvom revision er en vigtig søjle i web3-sikkerhed, var der 167 store hacks i 2022. Halvdelen af disse hacks var af reviderede smart-kontrakter (Beosin Web3 sikkerhedsrapport), der viser behovet for mere sikkerhedsinfrastruktur og automatisering.

Det nuværende Web3-sikkerhedslandskab

Web3-sikkerhedsvirksomhedernes udviklingslandskab kan opdeles i tre hovedkategorier: revision, værktøjer og fællesskaber. Inden for værktøj og fællesskaber er nogle af de områder, hvor vi ser en masse tidlig aktivitet, udvikling af sikker kode, kontinuerlig overvågning eller runtime-overvågning, sikkerhedsfejlsudbetalinger og konkurrencefællesskaber og transaktionssikkerhed.

Udvikling af sikker kode: Sikkerhedsprodukter skal integreres i udviklerflowet. Løsninger, der hjælper udviklere med at bygge med en "sikkerhed først"-tankegang og giver udviklere mulighed for at forhindre udrulning af dårlig kode, kan hjælpe med at gøre sikkerhed på revisionsniveau mere skalerbar i web3. Et godt eksempel på en virksomhed, der kæmper for denne afhandling, er CoinFunds porteføljevirksomhed Certora, som giver værktøjer til at sikre smart-kontrakter med formel verifikationsstrategi og er designet til at minimere smart-kontrakt sårbarheder før implementering og pre-audit. Eksempler på virksomheder, der flytter grænserne for innovation her, omfatter kontinuerlige sikkerhedsudviklingsværktøjer som Enigma Labs som udvikler sig Dev0x, et udviklerværktøj til orkestrering af sikkerhedsprodukter. Der er også transaktions- og økosystemtest- og simuleringsværktøjer som tenderly, Kaos Labsog Gauntlet. Disse projekter bidrager til udviklersikkerhedsværktøjssættet ved at give udviklere mulighed for at administrere og forudsige smart kontraktudgang før implementeringen.

Kontinuerlig/runtime overvågning: Virksomheder som Chainalysis og TRM Labs har rejst tilsammen $686.5 mio. til post-mortem AML-detektion, undersøgelse og dataanalyse. Der er dog et hul på markedet for runtime-overvågningsløsninger til proaktiv forebyggelse af sikkerhedsudnyttelse. Ved at tage overvågning i realtid og tilføje forudsigelige muligheder for udnyttelsesdetektering og -forebyggelse, f.eks stærk , Cyvers bygger for at udfylde dette hul. Forta er et distribueret netværk til kontinuerlig runtime-overvågning, og CyVers er løsningen udnytter maskinlæring til løbende at overvåge flere netværk og automatisk detektere angreb på vegne af børser, depotledere og DeFi-protokoller. (Se også CoinFunds speciale om AI for mere om skæringspunktet mellem AI og krypto). Efter detektering kan teknikker som frontløbende transaktioner og automatiserede afbrydere implementeres for at mindske tab af aktiver.

Sikkerhedsnetværk/fællesskaber: Web3 er drevet af samfundsengagement. Der er udviklerfællesskaber (dvs. udvikler-DAO), investor-fællesskaber (dvs. FlamingoDAO) og infrastruktur for finansielle fællesskaber (dvs. SyndicateDAO, Juicebox). Der vil være vindende sikkerhedsløsninger og platforme, der bedst samler og mobiliserer sikkerhedsfokuserede fagfolk til at engagere sig i at sikre web3. For eksempel ImmuneFi, som for nylig rejste $24M til sin Series A, har demonstreret kraften i at udnytte fællesskabet til at sikre kode til web3 ved at skabe og tilskynde et netværk af white-hat hackere til at identificere sårbarheder og fejl i smart-kontrakter. Til dato, Immunefi har faciliteret over $65 mio. i bug-bounties udbetalt til etiske hackere. Andre tidlige eksempler som det inkluderer Code4rena, Sikker 3og PwnedNoMore. Fortas distribuerede netværk tilskynder et netværk af sikkerhedsprofessionelle og hobbyfolk til at bygge og implementere detektionsbots, smart-kontrakter, der registrerer og reagerer på ondsindede smart-kontrakter ved at advare kontraktens brugere eller skabere. Forta udnytter sit netværk til at skabe maskinlæringsbaserede løsninger til at opdage ondsindede smarte kontrakter .

Forbruger- og institutionelle transaktionssikkerhedsløsninger: Brugervendte transaktions- og tegnebogssikkerhedsprodukter, som er købt af brugeren af en dApp/protokol, vil spille en vigtig rolle i web3-aktivers sikkerhed for både enkeltpersoner og institutioner. Løsninger kan også sælges til selve tegnebogen som en måde at gøre den samlede oplevelse af at bruge pungen mere sikker. Selvom tegnebøger også kan arbejde for at indbygge sikkerhedsfunktionalitet i deres produkter selv, vil sikkerhedsfokuserede løsninger, der bygger en teknologisk voldgrav ved at bruge proprietære algoritmer til at opdage risiko og gøre integration så let som muligt, skille sig ud over resten og være et stærkt argument for køb frem for at bygge. Et godt eksempel på en virksomhedsbygning i denne retning er Omdefiner, som leverer transaktionsrisikovurderinger og advarsler i realtid, der er informeret af en kombination af transaktionssimulering og overvågningsmekanismer i realtid, og som leveres direkte til den enhed, der har størst incitament til at beskytte midler, brugeren. Nogle andre løsninger af typen "firewall", der beskytter transaktoren, omfatter specifikt Shield, Hexagon og Web3Builders' TrustCheck.

Går ud over revision: Ofte erkender store revisionsfirmaer behovet for produktisering for at udvide deres tilbud og gøre deres virksomheder mere skalerbare. Selvom Halborn i dag hovedsageligt fokuserer på manuelle revisioner, bygger han med den hensigt at bringe procesautomatiseringsværktøjer til revision og devops til markedet. Virksomheder som Quantstamp og Sherlock, et CoinFund-porteføljeselskab, tager en anden tilgang ved at udforske skæringspunktet mellem sikkerhedsrevision og aktivforsikring.

Hvad er vigtigt i web3-sikkerhed?

På et højt niveau er der et par centrale afhandlingspunkter, der driver min tankegang i retning af web3-sikkerhedsudvikling:

Identifikation af vigtige sikkerhedsinteressenter: Web3 introducerer et grundlæggende skift i, hvordan vi tænker på målmarkedet for sikkerhedsprodukter og -tjenester. Udviklere og projekter, motiveret af web3-produktadoption, og brugere, der er motiveret til at beskytte deres aktiver, er de vigtigste sikkerhedsløsningskunder. Dette er forskelligt fra web2, hvor virksomheder var juridisk og økonomisk ansvarlige for beskyttelsen af brugerdata. I en verden, hvor brugere ejer deres egne data, arver de også udfordringen med at beskytte dem og vil bruge de mest sikre protokoller og nye produkter, der giver brugerne mulighed for at sikre deres egne aktiver direkte.
Forebyggelse, afbødning og reaktion: Sikkerhed er en lagdelt tilgang (IBM) og der er behov for løbende , proaktiv sikkerhedsstrategi, der ikke opnås af nutidens (næsten eksklusive) fokus på pre-lancering revision i web3. Kode kan aldrig være fuldstændig sårbarhedsfri, hvilket gør real-time udnyttelsesbegrænsning og respons nødvendig i web3, som det er i web2.
En kombination af traditionel sikkerhed og web3-ekspertise: Sikkerhed er historisk set et meget udfordrende og overfyldt marked, hvor hackernes talent og strategi er i konstant udvikling. På trods af de mange tusinde sikkerhedsstartups på markedet, har kun en håndfuld nået udbrudspotentiale. Smidbare og hurtigt-itererende grundlæggere, der indgående kender traditionel sikkerhed og det udviklende web3-sikkerhedslandskab, er mest attraktive. Selvom web3 er nyt, er grundlæggende sikkerhedsproblemer og løsninger velforståede. Derfor vil sikkerhedsforskere, der har brugt årevis på at forstå sårbarheder i teknologi, lede vejen til sikring af web3

Hvad vi leder efter i en investeringsmulighed for sikkerhed

Hos CoinFund investerer vi i virksomheder, der gør blockchains nemmere at bygge på, bruge og tilgå sikkert. Skalerbare løsninger, produkter og netværk, der skubber web3-sikkerhed fremad, er vigtige dele af den vision. Teams, der er mest attraktive set fra et investeringsperspektiv er teams med (1) dyb web2 sikkerhedsekspertise såvel som et kryptonativt synspunkt, (2) en evne til at identificere "hvem interesserer sig" mest for den sikkerhed, de leverer og effektivt sælge til disse interessenter det være sig protokoludviklere eller institutionelle og individuelle brugere, (3) et produkt eller netværk, der kan skaleres i overensstemmelse med den underliggende teknologis evne til at betjene kunder.

På web3-sikkerhedsmarkedet vil der, som det var tilfældet i web2-sikkerhed, blive skabt tusindvis af løsninger. Forholdsvis få vil dog skalere til milliardvirksomheder, og CoinFund sigter mod at samarbejde med grundlæggere med deres øjne rettet mod at blive brancheførende standarder, efterhånden som sikkerhedsmarkedet for web3-teknologi udvikler sig. Vi ønsker at investere i teams, der udvider web3-sikkerhedsstakken. Hvis du bygger et udviklerværktøj til at hjælpe udviklere med at bygge med et sikkerhedsorienteret tankesæt, en løsning, der hjælper med at udvide sikkerhedsfokus fra forebyggelse til afbødning og respons, eller et værktøj til at hjælpe hver dag blockchain-brugere med at beskytte deres aktiver, så leder vi efter du.

Der er mange områder af web3-sikkerhed, som vi har udeladt i dette indlæg. Sikker nøglehåndtering, sikker varetægt og privatliv ligger dybt i sig selv. Hvad er vigtigst for dig inden for web3-sikkerhed? Jeg vil meget gerne høre det i kommentarerne eller i mine DM'er. Hvis du bygger en løsning i web3-sikkerhedsområdet, vil jeg også gerne chatte. Skål!

TG: @isaiahwash

E-mail: isaiah@coinfund.io

[Tak til CoinFund-teamet samt Mooley Sagiv(Certora), Jesse Tasman(Redefine), Don Ho(Quantstamp), Catrina Wang(Protocol Labs) og andre for at hjælpe mig med at forfine mine tanker]

De synspunkter, der udtrykkes her, er dem fra det enkelte CoinFund Management LLC ("CoinFund") personale, der er citeret, og er ikke synspunkter fra CoinFund eller dets tilknyttede selskaber. Visse oplysninger indeholdt heri er indhentet fra tredjepartskilder, herunder fra porteføljeselskaber af fonde, der forvaltes af CoinFund. Selvom det er taget fra kilder, der menes at være pålidelige, har CoinFund ikke uafhængigt verificeret sådanne oplysninger og fremsætter ingen erklæringer om den vedvarende nøjagtighed af oplysningerne eller dens passende for en given situation. Derudover kan dette indhold omfatte tredjepartsreklamer; CoinFund har ikke gennemgået sådanne annoncer og støtter ikke noget reklameindhold indeholdt deri.

Dette indhold er kun givet til informationsformål og bør ikke påberåbes som juridisk, forretningsmæssig, investerings- eller skatterådgivning. Du bør rådføre dig med dine egne rådgivere om disse spørgsmål. Henvisninger til værdipapirer eller digitale aktiver er kun til illustrationsformål og udgør ikke en investeringsanbefaling eller tilbud om at levere investeringsrådgivningstjenester. Ydermere er dette indhold ikke rettet mod eller beregnet til brug af nogen investorer eller potentielle investorer og kan under ingen omstændigheder stoles på, når der træffes en beslutning om at investere i nogen fond, der administreres af CoinFund. (Et tilbud om at investere i en CoinFund-fond vil kun blive givet af det private placement-memorandum, tegningsaftale og anden relevant dokumentation for en sådan fond og bør læses i deres helhed.) Eventuelle investeringer eller porteføljeselskaber nævnt, refereret til eller beskrevne er ikke repræsentative for alle investeringer i køretøjer, der administreres af CoinFund, og der kan ikke være nogen garanti for, at investeringerne vil være rentable, eller at andre investeringer, der foretages i fremtiden, vil have lignende karakteristika eller resultater. En liste over investeringer foretaget af fonde forvaltet af CoinFund (undtagen investeringer, hvortil udstederen ikke har givet CoinFund tilladelse til at offentliggøre såvel som uanmeldte investeringer i offentligt handlede digitale aktiver) er tilgængelig på https://www.coinfund.io/portfolio.

Diagrammer og grafer, der er angivet i, er udelukkende til informationsformål og bør ikke stoles på, når der træffes nogen investeringsbeslutning. Tidligere resultater er ikke vejledende for fremtidige resultater. Indholdet taler kun fra den angivne dato. Alle fremskrivninger, estimater, prognoser, mål, udsigter og/eller meninger udtrykt i disse materialer kan ændres uden varsel og kan afvige fra eller være i modstrid med andres meninger.