por Isaías Washington
$ 3B + perdidos por explotaciones de contratos inteligentes en 2022 (Cadena de análisis) expone la inmadurez del panorama de la seguridad y la infrautilización de las prácticas de seguridad en web3. Las diferencias fundamentales entre las tecnologías web2 y web3 crean oportunidades novedosas para atacar y proteger los datos y activos de los usuarios que aprovechan blockchain. Hoy, el mercado global de ciberseguridad se estima en alrededor de $ 167 mil millones (McKinsey). A medida que web3 avanza en la curva S de adopción, incluirá datos financieros y no financieros, por lo que veremos un mercado de tamaño similar para la seguridad de web3 como mínimo.
La seguridad de Web3 no está rota, pero está subdesarrollada. El ecosistema actual de empresas de seguridad web3 semimaduras es incipiente en comparación con la amplitud de los tipos de soluciones de seguridad en web2. De todas las empresas de seguridad web3 que han obtenido una Serie A o tienen ingresos anuales superiores a los 3 millones de dólares, la mayoría se basan principalmente en servicios con auditorías de contratos inteligentes como principal propuesta de valor. La auditoría es un proceso manual para analizar el código de un proyecto y resaltar las vulnerabilidades de seguridad. Si bien la auditoría es un pilar importante de la seguridad web3, hubo 167 ataques importantes en 2022. La mitad de estos ataques fueron de contratos inteligentes auditados (Informe de seguridad Beosin Web3), lo que demuestra la necesidad de más infraestructura de seguridad y automatización.
El panorama actual de seguridad de Web3
El panorama en desarrollo de las empresas de seguridad web3 se puede dividir en tres categorías principales: auditoría, herramientas y comunidades. Dentro de las herramientas y las comunidades, algunas de las áreas en las que vemos mucha actividad temprana son el desarrollo de código seguro, el monitoreo continuo o en tiempo de ejecución, las recompensas por errores de seguridad y las comunidades de competencia, y la seguridad de las transacciones.
Desarrollo de código seguro: Los productos de seguridad deben integrarse en el flujo de desarrolladores. Las soluciones que ayudan a los desarrolladores a construir con una mentalidad de "primero la seguridad" y les permiten evitar la implementación de código incorrecto pueden ayudar a que la seguridad a nivel de auditoría sea más escalable en web3. Un gran ejemplo de una empresa que defiende esta tesis es la empresa de cartera de CoinFund. Certora, que proporciona herramientas para proteger los contratos inteligentes con una estrategia de verificación formal y está diseñado para minimizar las vulnerabilidades de los contratos inteligentes antes de la implementación y la auditoría previa. Los ejemplos de empresas que superan los límites de la innovación aquí incluyen herramientas de desarrollo de seguridad continua como Laboratorios Enigma que se está desarrollando Dev0x, una herramienta de desarrollo para la orquestación de productos de seguridad. También hay herramientas de prueba y simulación de transacciones y ecosistemas como Tiernamente, laboratorios del caosy Guantelete. Estos proyectos están contribuyendo al conjunto de herramientas de seguridad de los desarrolladores al permitirles administrar y predecir la salida de contratos inteligentes antes de su implementación.
Supervisión continua/en tiempo de ejecución: Compañías como Chainalysis y TRM Labs han recaudado $ 686.5 millones combinados para la detección, investigación y análisis de datos de AML post-mortem. Sin embargo, existe una brecha en el mercado de soluciones de monitoreo de tiempo de ejecución para la prevención proactiva de vulnerabilidades de seguridad. Al tomar el monitoreo en tiempo real y agregar capacidades predictivas para la detección y prevención de exploits, empresas como Forta y cyvers están construyendo para llenar este vacío. Forta es una red distribuida para el monitoreo continuo del tiempo de ejecución y CyVers es una solución que aprovecha el aprendizaje automático para monitorear continuamente múltiples redes y detectar automáticamente ataques en nombre de intercambios, custodios y protocolos DeFi. (Ver también La tesis de CoinFund sobre IA para obtener más información sobre la intersección de AI y crypto). Después de la detección, se pueden implementar técnicas como los interruptores de circuito automatizados y de ejecución anticipada de transacciones para mitigar la pérdida de activos.
Seguridad Redes/Comunidades: Web3 está impulsado por la participación de la comunidad. Hay comunidades de desarrolladores (es decir, Developer DAO), comunidades de inversores (es decir, FlamingoDAO) e infraestructura para comunidades financieras (es decir, SyndicateDAO, Juicebox). Habrá soluciones y plataformas de seguridad ganadoras que combinen y movilicen mejor a los profesionales centrados en la seguridad para participar en la protección de la web3. Por ejemplo, ImmuneFi, que recientemente recaudó $ 24 millones para su Serie A, ha demostrado el poder de aprovechar la comunidad para asegurar el código para web3 al crear e incentivar una red de hackers de sombrero blanco para identificar vulnerabilidades y errores en los contratos inteligentes. Hasta la fecha, Immunefi ha facilitado más de $ 65 millones en recompensas por errores pagado a los hackers éticos. Otros ejemplos tempranos como este incluyen codigo4rena, Seguro3y PwnedNoMás. La red distribuida de Forta incentiva a una red de profesionales de la seguridad y aficionados a construir e implementar bots de detección, contratos inteligentes que detectan y responden a contratos inteligentes maliciosos alertando a los usuarios o creadores del contrato. Forta aprovecha su red para crear soluciones basadas en aprendizaje automático para detectar contratos inteligentes maliciosos .
Soluciones de seguridad para transacciones institucionales y de consumidores: Los productos de seguridad de billetera y transacciones orientadas al usuario que son comprados por el usuario de un dApp/protocolo jugarán un papel importante en la seguridad de los activos web3 tanto para individuos como para instituciones. Las soluciones también se pueden vender a las billeteras como una forma de hacer que la experiencia general de usar la billetera sea más segura. Si bien las billeteras también pueden trabajar para incorporar funciones de seguridad en sus propios productos, las soluciones centradas en la seguridad que construyen un foso tecnológico mediante el uso de algoritmos patentados para detectar riesgos y hacer que la integración sea lo más fácil posible se destacarán sobre el resto y constituirán un caso sólido para la compra. en lugar de construir. Un gran ejemplo de una empresa que construye en esta dirección es Redefinir, que proporciona evaluaciones de riesgo de transacciones en tiempo real y alertas que se informan mediante una combinación de simulación de transacciones en tiempo real y mecanismos de monitoreo y se entregan directamente a la entidad más incentivada para proteger los fondos, el usuario. Algunas otras soluciones de tipo "firewall" que protegen al transactor incluyen específicamente Shield, Hexagon y TrustCheck de Web3Builders.
Más allá de la auditoría: A menudo, las principales firmas de auditoría reconocen la necesidad de la productización para expandir sus ofertas y hacer que sus empresas sean más escalables. Halborn, aunque hoy en día se centra principalmente en las auditorías manuales, está construyendo con la intención de traer herramientas de automatización de procesos para auditoría y desarrollo para el mercado. Empresas como Quantstamp y Sherlock, una empresa de cartera de CoinFund, están adoptando otro enfoque al explorar la intersección de la auditoría de seguridad y el seguro de activos.
¿Qué es importante en la seguridad web3?
A un alto nivel, hay algunos puntos de tesis clave que impulsan mi pensamiento hacia el desarrollo de seguridad web3:
- Identificación de las principales partes interesadas en la seguridad: Web3 introduce un cambio fundamental en nuestra forma de pensar sobre el mercado objetivo de productos y servicios de seguridad. Los desarrolladores y proyectos, motivados por la adopción del producto web3, y los usuarios, motivados por proteger sus activos, son los clientes de soluciones de seguridad más importantes. Esto es diferente de web2 donde las empresas eran legal y económicamente responsables de la protección de los datos de los usuarios. En un mundo donde los usuarios son dueños de sus propios datos, también heredan el desafío de protegerlos y utilizarán los protocolos más seguros y los nuevos productos que les permiten proteger sus propios activos directamente.
- Prevención, mitigación y respuesta: La seguridad es un enfoque en capas (IBM) y hay una necesidad de continua y estrategia de seguridad proactiva que no se logra con el enfoque actual (casi exclusivo) en la auditoría previa al lanzamiento en web3. El código nunca puede estar completamente libre de vulnerabilidades, lo que hace que la mitigación de exploits en tiempo real y la respuesta sean necesarias en web3 como lo es en web2.
- Una combinación de experiencia en seguridad tradicional y web3: Históricamente, la seguridad es un mercado muy desafiante y concurrido donde el talento y la estrategia de los piratas informáticos está en constante evolución. A pesar de los miles de nuevas empresas de seguridad en el mercado, solo unas pocas han alcanzado el potencial de ruptura. Los fundadores maleables y de iteración rápida que conocen íntimamente la seguridad tradicional y el panorama de seguridad web3 en desarrollo son los más atractivos. Aunque web3 es novedoso, los problemas y las soluciones de seguridad fundamentales se entienden bien. Por lo tanto, los investigadores de seguridad que han dedicado años a comprender las vulnerabilidades en la tecnología liderarán el camino para proteger web3.
Lo que buscamos en una oportunidad de seguridad invertible
En CoinFund, invertimos en empresas que hacen que las cadenas de bloques sean más fáciles de construir, usar y acceder de manera segura. Las soluciones escalables, los productos y las redes que impulsan la seguridad web3 son piezas importantes de esa visión. Los equipos que son más atractivos, desde una perspectiva de inversión, son equipos con (1) experiencia profunda en seguridad web2, así como una visión criptonativa, (2) la capacidad de identificar "a quién le importa" más la seguridad que brindan y venderla de manera efectiva a esas partes interesadas ya sean desarrolladores de protocolos o usuarios institucionales e individuales, (3) un producto o red que pueda escalar de acuerdo con la capacidad de la tecnología subyacente para servir a los clientes.
En el mercado de la seguridad web3, al igual que ocurrió con la seguridad web2, se crearán miles de soluciones. Sin embargo, comparativamente pocos crecerán hasta convertirse en negocios de miles de millones de dólares y CoinFund tiene como objetivo asociarse con los fundadores con la vista puesta en convertirse en estándares líderes de la industria a medida que se desarrolla el mercado de seguridad para la tecnología web3. Queremos invertir en equipos que estén expandiendo la pila de seguridad web3. Si está creando una herramienta de desarrollo para ayudar a los desarrolladores a crear con una mentalidad de seguridad primero, una solución que ayude a expandir el enfoque de seguridad de la prevención a la mitigación y respuesta, o una herramienta para ayudar a los usuarios de blockchain a proteger sus activos todos los días, estamos buscando tú.
Hay muchas áreas de seguridad web3 que dejamos fuera de esta publicación. La administración segura de claves, la custodia segura y la privacidad son profundas en sí mismas. ¿Qué es lo más importante para usted en la seguridad web3? Me encantaría escucharlo en los comentarios o en mis DM. Además, si está creando una solución en el espacio de seguridad web3, me encantaría conversar. ¡Salud!
TG: @isaiahwash
Correo electrónico: isaiah@coinfund.io
[Gracias al equipo de CoinFund, así como a Mooley Sagiv (Certora), Jesse Tasman (Redefine), Don Ho (Quantstamp), Catrina Wang (Protocol Labs) y otros por ayudarme a refinar mis pensamientos]
Las opiniones expresadas aquí son las del personal individual de CoinFund Management LLC ("CoinFund") citado y no son las opiniones de CoinFund o sus afiliados. Cierta información contenida en este documento se obtuvo de fuentes de terceros, incluso de compañías de cartera de fondos administrados por CoinFund. Si bien se tomó de fuentes que se consideran confiables, CoinFund no ha verificado de forma independiente dicha información y no hace declaraciones sobre la precisión duradera de la información o su idoneidad para una situación determinada. Además, este contenido puede incluir anuncios de terceros; CoinFund no ha revisado dichos anuncios y no respalda ningún contenido publicitario incluido en ellos.
Este contenido se proporciona solo con fines informativos y no debe considerarse como asesoramiento legal, comercial, de inversión o fiscal. Debe consultar a sus propios asesores sobre estos asuntos. Las referencias a cualquier valor o activo digital son solo para fines ilustrativos y no constituyen una recomendación de inversión ni una oferta para proporcionar servicios de asesoramiento de inversión. Además, este contenido no está dirigido ni destinado a ser utilizado por ningún inversionista o posible inversionista, y bajo ninguna circunstancia se puede confiar en él al tomar una decisión de invertir en cualquier fondo administrado por CoinFund. (Una oferta para invertir en un fondo CoinFund se realizará solo mediante el memorando de colocación privada, el acuerdo de suscripción y otra documentación relevante de dicho fondo y debe leerse en su totalidad). Cualquier inversión o compañía de cartera mencionada, referida o Las descritas no son representativas de todas las inversiones en vehículos administrados por CoinFund, y no puede garantizarse que las inversiones serán rentables o que otras inversiones realizadas en el futuro tendrán características o resultados similares. Una lista de inversiones realizadas por fondos administrados por CoinFund (excluyendo inversiones para las cuales el emisor no ha otorgado permiso para que CoinFund divulgue públicamente, así como inversiones no anunciadas en activos digitales que cotizan en bolsa) está disponible en https://www.coinfund.io/portfolio.
Los cuadros y gráficos proporcionados en el interior tienen únicamente fines informativos y no se debe confiar en ellos al tomar cualquier decisión de inversión. El rendimiento pasado no es indicativo de resultados futuros. El contenido habla sólo a partir de la fecha indicada. Todas las proyecciones, estimaciones, pronósticos, objetivos, perspectivas y/u opiniones expresadas en estos materiales están sujetas a cambios sin previo aviso y pueden diferir o ser contrarias a las opiniones expresadas por otros.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://blog.coinfund.io/web3-security-securing-the-path-to-crypto-adoption-e6552d0dd844?source=rss—-f5f136d48fc3—4
- 1
- 2022
- a
- capacidad
- Nuestra Empresa
- arriba
- de la máquina
- logrado
- la exactitud
- actividad
- adición
- Adopción
- Publicidad
- consejos
- asesor
- servicios de asesoramiento
- Afiliados
- Después
- AG
- Agreement
- AI
- paquete de capacitación DWoVH
- algoritmos
- Todos
- Permitir
- AML
- análisis
- y
- e infraestructura
- anual
- INGRESOS ANUALES
- Otra
- enfoque
- AR
- áreas
- evaluaciones
- activo
- Activos
- Seguro
- atacar
- ataques
- atractivo
- auditado
- auditoría
- auditorías
- Confirmación de Viaje
- automáticamente
- Automatización
- Hoy Disponibles
- Malo
- BD
- cada vez
- antes
- creído
- MEJOR
- entre
- Más allá de
- mil millones
- blockchain
- cadenas de bloqueo
- los robots
- límites
- recompensas
- amplitud
- Trayendo
- Roto
- Error
- bug bounties
- loco
- build
- Construir la
- negocios
- .
- Comprar
- capacidades
- case
- categoría
- a ciertos
- chainalysis
- Reto
- desafiante
- defendiendo
- el cambio
- características
- circunstancias
- clientes
- código
- coinfund
- combinación
- combinado
- comentarios
- Comunidades
- vibrante e inclusiva
- Empresas
- compañía
- relativamente
- en comparación con
- competencia
- completamente
- constantemente
- constituir
- contenido
- continuo
- continuamente
- contrato
- contrario
- contribuyendo
- Para crear
- creado
- Creamos
- creadores
- cripto
- Adopción criptográfica
- Current
- custodios
- Custodia
- Clientes
- La Ciberseguridad
- DAO
- datos
- análisis de los datos
- Fecha
- día
- Koops
- profundo
- DeFi
- Protocolos de DeFi
- liberado
- demostrado
- vas demostrando
- desplegar
- desplegado
- despliegue
- descrito
- diseñado
- A pesar de las
- Detección
- Dev
- Developer
- desarrolladores
- el desarrollo
- Desarrollo
- desarrolla el
- DevOps
- Devs
- diferir de
- diferencias
- una experiencia diferente
- digital
- Acciones digitales
- dirección
- directamente
- Revelar
- distribuidos
- Red distribuida
- documentación
- Dólar
- el lado de la transmisión
- impulsados
- Temprano en la
- más fácil
- EC
- ecosistema
- ed
- de manera eficaz
- endosar
- duradero
- y conseguir de esta manera
- de su negocio.
- totalidad
- entidad
- estimado
- estima
- Éter (ETH)
- ético
- Cada
- diario
- evolución
- ejemplo
- ejemplos
- Cambios
- excluyendo
- Exclusiva
- Expandir
- en expansión
- experience
- Experiencia
- Explotar
- exploits
- Explorar
- expresados
- Ojos
- facilitado
- FB
- fc
- pocos
- llenar
- financiero
- empresas
- cómodo
- de tus señales
- Focus
- enfoque
- seguir
- formal
- adelante
- fundadores
- Desde
- a la fatiga
- fondo
- fundamental
- fondos
- promover
- Además
- futuras
- brecha
- ge
- dado
- Buscar
- GM
- Go
- GP
- gráficos
- maravillosa
- GV
- los piratas informáticos
- hacks
- Halborn
- A Mitad
- puñado
- ayuda
- ayudando
- ayuda
- esta página
- hi
- Alta
- Destacar
- históricamente
- Cómo
- Sin embargo
- HT
- HTTPS
- IBM
- Identifique
- inmune
- importante
- in
- incentiva
- incluir
- Incluye
- independientemente
- INSTRUMENTO individual
- individuos
- energético
- información
- Informativo
- informó
- EN LA MINA
- Innovation
- Institucional
- instituciones
- aseguradora
- COMPLETAMENTE
- integración
- Intención
- intersección
- Presenta
- Invertir
- investigación
- inversión extranjera
- Inversiones
- inversor
- Inversionistas
- IP
- Emisor
- IT
- Clave
- Saber
- labs
- paisaje
- capas
- Lead
- líder
- Legal
- Nivel
- aprovechando
- LG
- línea
- Lista
- S.A (LLC)
- ln
- Mira
- mirando
- de
- Lote
- amar
- LP
- máquina
- hecho
- Inicio
- gran
- Mayoría
- para lograr
- HACE
- Realizar
- gestionan
- gestionado
- Management
- manual
- muchos
- Mercado
- materiales
- Cuestiones
- max-ancho
- McKinsey
- mediano
- Memorando
- mencionado
- Mentalidad
- mínimo
- Mitigar las
- mitigación
- MJ
- ML
- Monitorear
- monitoreo
- más,
- MEJOR DE TU
- motivado
- MS
- MT
- múltiples
- naciente
- necesario
- ¿ Necesita ayuda
- del sistema,
- telecomunicaciones
- Nuevo
- nuevos diseños y productos
- novela
- obtenido
- LANZAMIENTO
- que ofrece
- Lista de ofrendas
- a menudo
- ONE
- Opiniones
- Del Mañana
- orquestación
- Otro
- Otros
- total
- EL DESARROLLADOR
- dinero
- Socio
- pasado
- camino
- (PDF)
- actuación
- permiso
- Personal
- la perspectiva
- piezas
- Pillar
- Plataformas
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Jugar
- puntos
- portafolio
- posible
- Publicación
- posible
- industria
- prácticas
- predecir
- evitar
- Prevención
- Anterior
- política de privacidad
- privada
- Proactiva
- problemas
- Producto
- Productos
- Productos y Servicios
- profesionales
- rentable
- proyecciones
- proyecta
- valor.
- propietario
- futuro
- perspectivas
- proteger
- protector
- Protección
- protocolo
- Laboratorios de protocolo
- protocolos
- proporcionar
- previsto
- proporciona un
- en público
- comprado
- fines
- Push
- Emprendedor
- Quantstamp
- elevado
- alcanzado
- Leer
- en tiempo real
- reconocer
- Recomendación
- referencias
- referido
- confianza
- representante
- investigadores
- Responder
- respuesta
- RESTO
- Resultados
- ingresos
- revisado
- Riesgo
- Función
- ambiente seguro
- de manera segura
- escalable
- Escala
- seguro
- asegurar
- Valores
- EN LINEA
- investigadores de seguridad
- venta
- Serie
- Serie A
- ayudar
- Servicios
- set
- Proteccion
- Turno
- tienes
- similares
- simulación
- situación
- inteligente
- contrato inteligente
- So
- vendido
- a medida
- Soluciones
- algo
- Fuentes
- Espacio
- Habla
- específicamente
- gastado
- montón
- las partes interesadas
- stand
- estándares de salud
- Startups
- Estrategia
- fuerte
- sujeto
- suscripción
- tal
- toma
- Talent
- Target
- tiene como objetivo
- deuda
- equipo
- equipos
- técnicas
- tecnológico
- Tecnologías
- Tecnología
- Pruebas
- La
- el fondo de monedas
- El futuro de las
- la información
- su
- sí mismos
- por lo tanto
- en esto
- Ideas
- terceros.
- miles
- Tres
- a
- hoy
- de hoy
- del IRS
- hacia
- negocian
- tradicional
- transaccional
- verdadero
- tipos
- bajo
- subyacente
- comprensión
- utilizan el
- Usuario
- usuarios
- propuesta de
- Vehículos
- Verificación
- verificadas
- Ver
- vistas
- visión
- Vulnerabilidades
- Billetera
- Carteras
- Washington
- Web2
- Web3
- tecnologías web3
- tecnología web3
- ¿
- Que es
- que
- mientras
- QUIENES
- seguirá
- ganar
- dentro de
- sin
- Actividades:
- mundo
- años
- tú
- zephyrnet