autor Isaiah Washington

3. aastal kaotati nutikate lepingute ärakasutamise tõttu üle 2022 miljardi dollari (Chainalysis) paljastab turbemaastiku ebaküpsuse ja web3 turbepraktikate alakasutamise. Põhilised erinevused web2 ja web3 tehnoloogiate vahel loovad uudsed võimalused nii rünnata kui ka kaitsta plokiahelat kasutavate kasutajate andmeid ja varasid. Praegu on globaalse küberjulgeoleku turu suuruseks hinnanguliselt umbes 167 miljardit dollarit (McKinsey). Kuna web3 jõuab S-kõveral edasi, hõlmab see nii finants- kui ka mitterahalisi andmeid, nii et näeme minimaalselt sarnase suurusega turgu web3 turvalisuse osas.

Web3 turvalisus pole katki, vaid vähearenenud. Praegune poolküpsete web3 turvaettevõtete ökosüsteem on tekkimas, võrreldes web2 turvalahenduste tüüpide laiusega. Kõigist web3 turvaettevõtetest, mis on kogunud A-seeria või mille aastakäive ületab 3 miljonit dollarit, on enamik enamasti teenustepõhised, mille peamiseks väärtuspakkumiseks on nutikad lepinguauditid. Auditeerimine on käsitsi tehtav protsess projekti koodi kontrollimiseks ja turvaaukude esiletoomiseks. Kuigi auditeerimine on web3 turvalisuse oluline tugisammas, toimus 167. aastal 2022 suurt häkkimist. Pooled nendest häkkidest olid seotud auditeeritud nutikate lepingutega (Beosini Web3 turvaaruanne), mis näitab vajadust suurema turvainfrastruktuuri ja automatiseerimise järele.

Praegune Web3 turbemaastik

Web3 turvaettevõtete areneva maastiku võib jagada kolme põhikategooriasse: auditeerimine, tööriistad ja kogukonnad. Tööriistade ja kommuunide puhul on mõned valdkonnad, kus näeme palju varakult tegevust, turvaline koodiarendus, pidev või käitusaegne jälgimine, turvavigade preemiad ja konkurentsikommuunid ning tehingute turvalisus.

Turvaline koodiarendus: Turbetooted tuleb integreerida arendaja voogu. Lahendused, mis aitavad arendajatel luua turvalisusest lähtuva mõtteviisi ja võimaldavad arendajatel takistada halva koodi juurutamist, võivad aidata muuta audititaseme turbe Web3-s skaleeritavamaks. Suurepärane näide selle väitekirja pooldavast ettevõttest on CoinFundi portfelliettevõte Certora, mis pakub tööriistu nutikate lepingute kindlustamiseks ametliku kontrollistrateegiaga ja on loodud nutikate lepingute haavatavuste minimeerimiseks enne juurutamist ja eelauditit. Näited ettevõtetest, kes nihutavad siin innovatsiooni piire, hõlmavad pidevaid turbearendustööriistu, nagu Enigma laborid mis areneb Dev0x, arendustööriist turbetoodete korraldamiseks. Samuti on olemas tehingute ja ökosüsteemide testimise ja simulatsiooni tööriistad, nagu Hellalt, Chaose laboridja Kaitserõngas. Need projektid aitavad kaasa arendaja turbetööriistade komplektile, võimaldades arendajatel hallata ja ennustada nutika lepingu väljundit enne selle kasutuselevõttu.

Pidev/tööaegne jälgimine: Sellised ettevõtted nagu Chainalysis ja TRM Labs on kogunud surmajärgseks AML-i tuvastamiseks, uurimiseks ja andmete analüüsiks kokku 686.5 miljonit dollarit. Turvalisuse ärakasutamise ennetamiseks mõeldud käitusaja monitooringulahenduste turul on aga tühimik. Võttes kasutusele reaalajas jälgimise ja lisades ennustamisvõimalusi ärakasutamise tuvastamiseks ja ennetamiseks, meeldib ettevõtetele Jõud ja Cyvers ehitavad selle tühimiku täitmiseks. Forta on hajutatud võrk pidevaks käitusaja jälgimiseks ja CyVers on selle lahendus võimendab masinõpet mitme võrgu pidevaks jälgimiseks ja rünnakute automaatseks tuvastamiseks börside, haldurite ja DeFi protokollide nimel. (Vaata ka CoinFundi lõputöö AI-st AI ja krüpto ristumiskoha kohta lisateabe saamiseks). Pärast tuvastamist saab varakao leevendamiseks kasutada selliseid tehnikaid nagu tehingute juhtimine ja automatiseeritud kaitselülitid.

Turvavõrgud/-kogukonnad: Web3 on ajendatud kogukonna kaasamisest. Seal on arendajate kogukonnad (st Developer DAO), investorite kogukonnad (nt FlamingoDAO) ja finantskogukondade infrastruktuur (st SyndicateDAO, Juicebox). Võidavad turvalahendused ja platvormid, mis kõige paremini koondavad ja mobiliseerivad turvalisusele keskendunud spetsialiste veebi3 turvalisusega tegelema. Näiteks ImmuneFi, kes kogus hiljuti oma A-seeria jaoks 24 miljonit dollarit, on demonstreerinud kogukonna võimendamist veebi3 koodi turvalisuse tagamiseks, luues valge mütsiga häkkerite võrgustiku ja ergutades seda, et tuvastada nutikate lepingute haavatavused ja vead. Tänaseks Immunefi on andnud veatoetusi üle 65 miljoni dollari makstakse eetilistele häkkeritele. Teised varasemad näited, nagu see, hõlmavad Code4rena, Turvaline3ja PwnedNoMore. Forta hajutatud võrk motiveerib turbespetsialistide ja harrastajate võrgustikku looma ja juurutama tuvastusrotte, nutikaid lepinguid, mis tuvastavad pahatahtlikud nutikad lepingud ja reageerivad neile, hoiatades lepingu kasutajaid või loojaid. Forta kasutab oma võrku, et luua masinõppepõhiseid lahendusi pahatahtlike nutikate lepingute tuvastamiseks .

Tarbijate ja asutuste tehingute turvalahendused: kasutajale suunatud tehingu- ja rahakotiturbetooted, mille dApp/protokolli kasutaja ostab, mängivad web3 varade turvalisuses olulist rolli nii üksikisikute kui ka asutuste jaoks. Lahendusi saab müüa ka rahakottidesse, et muuta rahakoti üldine kasutuskogemus turvalisemaks. Kuigi rahakotid võivad töötada ka selle nimel, et oma toodetesse ise turvafunktsioone lisada, paistavad turvalisusele keskendunud lahendused, mis loovad tehnoloogilise vallikraavi, kasutades riski tuvastamiseks ja integreerimise võimalikult lihtsaks muutmiseks patenteeritud algoritme. selle asemel, et ehitada. Üks suurepärane näide ettevõtte ehitamisest selles suunas on Määratlege uuesti, mis pakub reaalajas tehinguriski hinnanguid ja hoiatusi, millest teavitatakse reaalajas tehingute simulatsiooni- ja jälgimismehhanismide kombinatsiooni ning mis edastatakse otse ettevõttele, kes on kõige rohkem motiveeritud raha kaitsma, st kasutajat. Mõned muud transaktorit kaitsvad "tulemüüri" tüüpi lahendused hõlmavad spetsiaalselt kilpi, kuusnurka ja Web3Buildersi usalduskontroll.

Auditist kaugemale jõudmine: Sageli tunnistavad suuremad audiitorfirmad vajadust tootestamise järele, et laiendada oma pakkumist ja muuta oma ettevõtted skaleeritavamaks. Halborn, kuigi keskendub täna peamiselt käsitsi audititele, ehitab kavatsusega tuua protsesside automatiseerimise tööriistad auditeerimiseks ja turuleviimiseks. Sellised ettevõtted nagu Quantstamp ja SherlockCoinFundi portfelliettevõte kasutab teistsugust lähenemist, uurides turvaauditi ja varakindlustuse ristumiskohta.

Mis on web3 turvalisuses oluline?

Kõrgel tasemel on mõned põhiteemalised punktid, mis juhivad minu mõtlemist web3 turvalisuse arendamise suunas:

• Peamiste turvalisuse sidusrühmade tuvastamine: Web3 tutvustab põhjalikku nihet selles, kuidas me mõtleme turvatoodete ja -teenuste sihtturule. Web3 toote kasutuselevõtust motiveeritud arendajad ja projektid ning oma vara kaitsma motiveeritud kasutajad on kõige olulisemad turvalahenduste kliendid. See erineb web2-st, kus ettevõtted vastutasid õiguslikult ja majanduslikult kasutajaandmete kaitse eest. Maailmas, kus kasutajad omavad oma andmeid, pärivad nad ka nende kaitsmise väljakutse ning kasutavad kõige turvalisemaid protokolle ja uusi tooteid, mis võimaldavad kasutajatel oma varasid otse kaitsta.
• Ennetamine, leevendamine ja reageerimine: Turvalisus on mitmekihiline lähenemine (IBM) ja on vaja pidevat ja ennetav turbestrateegia, mida ei saavuta tänane (peaaegu eksklusiivne) keskendumine veebi3 lansseerimiseelsele auditeerimisele. Kood ei saa kunagi olla täiesti haavatavusvaba, mistõttu on reaalajas ärakasutamise leevendamine ja reageerimine vajalik ka web3-s, nagu ka web2-s.
• Kombinatsioon traditsioonilisest turvalisusest ja veebi3 asjatundlikkusest: Turvalisus on ajalooliselt väga väljakutseid pakkuv ja rahvarohke turg, kus häkkerite talent ja strateegia arenevad pidevalt. Vaatamata paljudele tuhandetele turul olevatele turbe-idufirmadele on väljamurdepotentsiaali saavutanud vaid käputäis. Kõige atraktiivsemad on tempermalmist ja kiiresti itereerivad asutajad, kes tunnevad põhjalikult traditsioonilist turvalisust ja arenevat web3 turvamaastikku. Kuigi web3 on uudne, on põhilised turvaprobleemid ja lahendused hästi mõistetavad. Seetõttu juhivad turvateadlased, kes on aastaid tehnoloogia haavatavust mõistnud, teed web3 turvalisuse poole

Mida me otsime investeeritavast turbevõimalusest

CoinFundis investeerime ettevõtetesse, mis muudavad plokiahelate ehitamise, kasutamise ja turvalise juurdepääsu lihtsamaks. Skaleeritavad lahendused, tooted ja võrgud, mis edendavad web3 turvalisust, on selle visiooni olulised osad. Investeerimise seisukohast on kõige atraktiivsemad meeskonnad meeskonnad, kellel on (1) sügav veebi2 turbealane asjatundlikkus ja krüptonatiivne vaade, (2) võime tuvastada, kes hoolib kõige rohkem nende pakutavast turvalisusest ja müüa neile sidusrühmadele tõhusalt. olgu need siis protokolli arendajad või institutsionaalsed ja üksikkasutajad, (3) toode või võrk, mida saab skaleerida vastavalt aluseks oleva tehnoloogia võimele teenindada kliente.

Web3 turvaturul, nagu ka web2 turvalisuse puhul, luuakse tuhandeid lahendusi. Siiski on suhteliselt vähesed ettevõtted, mis ulatuvad miljardi dollari suuruseni, ja CoinFundi eesmärk on asutajatega partnerlus luua, et saada veebi3 tehnoloogia turvaturu arenedes tööstusharu juhtivaks standardiks. Soovime investeerida meeskondadesse, kes laiendavad web3 turbepakki. Kui loote arendajatööriista, mis aitab arendajatel luua turvalisusele keskenduva mõtteviisi, lahendust, mis aitab laiendada turvalisuse fookust ennetamiselt leevendamisele ja reageerimisele, või tööriista, mis aitab iga päev plokiahela kasutajatel oma varasid kaitsta, otsime sina.

Sellest postitusest jätsime välja paljud web3 turvalisuse valdkonnad. Turvaline võtmehaldus, turvaline hoidmine ja privaatsus on iseenesest sügavad. Mis on teie jaoks web3 turvalisuses kõige olulisem? Hea meelega kuulen seda kommentaarides või oma DM-ides. Samuti, kui loote lahendust web3 turvaruumis, tahaksin hea meelega vestelda. Tervist!

TG: @isaiahwash

E-post: isaiah@coinfund.io

[Täname CoinFundi meeskonda, aga ka Mooley Sagivit (Certora), Jesse Tasmanit (Redefine), Don Hot (Quantstamp), Catrina Wangi (Protocol Labs) ja teisi, kes aitasid mul oma mõtteid täpsustada]

Siin avaldatud seisukohad on tsiteeritud CoinFund Management LLC (“CoinFund”) töötajate omad ega ole CoinFundi ega selle sidusettevõtete seisukohad. Teatud siin sisalduv teave on saadud kolmandate osapoolte allikatest, sealhulgas CoinFundi hallatavate fondide portfelliettevõtetelt. Kuigi CoinFund on võetud usaldusväärsetest allikatest, ei ole seda teavet iseseisvalt kontrollinud ega kinnita teabe püsivat täpsust ega selle sobivust antud olukorras. Lisaks võib see sisu sisaldada kolmandate isikute reklaame; CoinFund ei ole selliseid reklaame üle vaadanud ega toeta nendes sisalduvat reklaamisisu.

See sisu on esitatud ainult informatiivsel eesmärgil ja sellele ei tohiks tugineda kui juriidilisele, äri-, investeerimis- ega maksunõustamisele. Nendes küsimustes peaksite konsulteerima oma nõustajatega. Viited mis tahes väärtpaberitele või digitaalsetele varadele on illustratiivse tähendusega ega kujuta endast investeerimissoovitust ega investeerimisnõustamisteenuste pakkumist. Lisaks ei ole see sisu suunatud ega mõeldud kasutamiseks ühelegi investorile ega potentsiaalsetele investoritele ning sellele ei või mingil juhul tugineda CoinFundi hallatavasse fondi investeerimisotsuse tegemisel. (Pakkumine CoinFundi fondi investeerimiseks tehakse ainult sellise fondi erainvesteeringute memorandumi, märkimislepingu ja muu asjakohase dokumentatsiooni alusel ning neid tuleks lugeda tervikuna.) Kõik mainitud, viidatud investeeringud või portfelliettevõtted või kirjeldatud ei esinda kõiki CoinFundi hallatavatesse sõidukitesse tehtud investeeringuid ning ei saa olla kindlust, et investeeringud on kasumlikud või et teistel tulevikus tehtavatel investeeringutel on sarnased omadused või tulemused. CoinFundi hallatavate fondide tehtud investeeringute loend (v.a investeeringud, mille puhul emitent ei ole andnud CoinFundile avalikuks avalikustamise luba, samuti etteteatamata investeeringud avalikult kaubeldavatesse digitaalvaradesse) on saadaval aadressil https://www.coinfund.io/portfolio.

Siin esitatud diagrammid ja graafikud on üksnes informatiivsel eesmärgil ja neile ei tohiks investeerimisotsuse tegemisel tugineda. Varasemad tulemused ei näita tulevasi tulemusi. Sisu räägib ainult märgitud kuupäeva seisuga. Kõik nendes materjalides väljendatud prognoosid, hinnangud, prognoosid, eesmärgid, väljavaated ja/või arvamused võivad muutuda ilma ette teatamata ja võivad erineda või olla vastuolus teiste väljendatud arvamustega.