Fév 6
par Isaiah Washington
Plus de 3 milliards de dollars perdus à cause d'exploits de contrats intelligents en 2022 (Réduction de la chaîne) expose l'immaturité du paysage de la sécurité et la sous-utilisation des pratiques de sécurité dans le web3. Les différences fondamentales entre les technologies web2 et web3 créent de nouvelles opportunités pour à la fois attaquer et sécuriser les données et les actifs des utilisateurs tirant parti de la blockchain. Aujourd'hui, le marché mondial de la cybersécurité est estimé à environ 167 milliards de dollars (McKinsey). Au fur et à mesure que Web3 progressera sur la courbe en S de l'adoption, il inclura à la fois des données financières et non financières, de sorte que nous verrons au minimum un marché de taille similaire pour la sécurité Web3.
La sécurité Web3 n'est pas cassée, mais sous-développée. L'écosystème actuel des sociétés de sécurité Web3 semi-matures est naissant par rapport à l'étendue des types de solutions de sécurité dans le Web2. De toutes les sociétés de sécurité Web3 qui ont levé une série A ou qui ont un chiffre d'affaires annuel supérieur à 3 millions de dollars, la majorité sont principalement basées sur les services avec des audits de contrats intelligents comme principale proposition de valeur. L'audit est un processus manuel permettant d'examiner le code d'un projet et de mettre en évidence les vulnérabilités de sécurité. Bien que l'audit soit un pilier important de la sécurité Web3, il y a eu 167 piratages majeurs en 2022. La moitié de ces piratages concernaient des contrats intelligents audités (Rapport de sécurité Beosin Web3), démontrant la nécessité d'une infrastructure de sécurité et d'une automatisation accrues.
Le paysage actuel de la sécurité Web3
Le paysage en développement des entreprises de sécurité Web3 peut être divisé en trois catégories principales : l'audit, les outils et les communautés. Au sein des outils et des communautés, certains des domaines où nous voyons beaucoup d'activités précoces sont le développement de code sécurisé, la surveillance continue ou d'exécution, les primes de bugs de sécurité et les communautés de concurrence, et la sécurité des transactions.
Développement de code sécurisé : Les produits de sécurité doivent être intégrés dans le flux des développeurs. Les solutions qui aident les développeurs à construire avec un état d'esprit "la sécurité d'abord" et permettent aux développeurs d'empêcher le déploiement de code malveillant peuvent aider à rendre la sécurité au niveau de l'audit plus évolutive dans web3. Un excellent exemple d'entreprise défendant cette thèse est la société de portefeuille de CoinFund Certora, qui fournit des outils pour sécuriser les contrats intelligents avec une stratégie de vérification formelle et est conçu pour minimiser les vulnérabilités des contrats intelligents avant le déploiement et le pré-audit. Des exemples d'entreprises repoussant les limites de l'innovation ici incluent des outils de développement de sécurité continus tels que Laboratoires d'énigmes qui se développe Dev0x, un outil de développement pour l'orchestration des produits de sécurité. Il existe également des outils de test et de simulation de transactions et d'écosystèmes tels que Tendrement, ChaosLabset Gant. Ces projets contribuent à l'ensemble d'outils de sécurité des développeurs en permettant aux développeurs de gérer et de prédire la sortie des contrats intelligents avant son déploiement.
Surveillance continue/d'exécution : Des entreprises comme Chainalysis et TRM Labs ont levé un total de 686.5 millions de dollars pour la détection post-mortem de la LMA, l'investigation et l'analyse des données. Cependant, il existe une lacune sur le marché des solutions de surveillance d'exécution pour la prévention proactive des exploits de sécurité. En adoptant une surveillance en temps réel et en ajoutant des capacités prédictives pour la détection et la prévention des exploits, les entreprises comme Forta ainsi que Cyvers construisent pour combler cette lacune. Forta est un réseau distribué pour la surveillance continue de l'exécution et CyVers est une solution qui exploite l'apprentissage automatique pour surveiller en permanence plusieurs réseaux et détecter automatiquement les attaques au nom des échanges, des dépositaires et des protocoles DeFi. (Voir également La thèse de CoinFund sur l'IA pour en savoir plus sur l'intersection de l'IA et de la cryptographie). Après la détection, des techniques telles que l'exécution frontale des transactions et les disjoncteurs automatisés peuvent être déployées pour atténuer la perte d'actifs.
Réseaux/Communautés de sécurité: Web3 est motivé par l'engagement de la communauté. Il existe des communautés de développeurs (c'est-à-dire Developer DAO), des communautés d'investisseurs (c'est-à-dire FlamingoDAO) et des infrastructures pour les communautés financières (c'est-à-dire SyndicateDAO, Juicebox). Il y aura des solutions et des plates-formes de sécurité gagnantes qui regroupent et mobilisent le mieux les professionnels axés sur la sécurité pour s'engager dans la sécurisation du web3. Par exemple, ImmuneFi, qui a récemment levé 24 millions de dollars pour sa série A, a démontré le pouvoir de tirer parti de la communauté pour sécuriser le code pour le Web3 en créant et en incitant un réseau de pirates informatiques à chapeau blanc à identifier les vulnérabilités et les bogues dans les contrats intelligents. À ce jour, Immunefi a facilité plus de 65 millions de dollars en primes de bogues versés à des pirates éthiques. D'autres premiers exemples comme celui-ci incluent Code4rena, Sécurisé3et PwnedNoPlus. Le réseau distribué de Forta incite un réseau de professionnels de la sécurité et d'amateurs à créer et à déployer des robots de détection, des contrats intelligents qui détectent et répondent aux contrats intelligents malveillants en alertant les utilisateurs ou les créateurs du contrat. Forta tire parti de son réseau pour créer des solutions basées sur l'apprentissage automatique afin de détecter les contrats intelligents malveillants .
Solutions de sécurité des transactions grand public et institutionnelles: Les produits de sécurité des transactions et des portefeuilles destinés à l'utilisateur qui sont achetés par l'utilisateur d'un dApp/protocole joueront un rôle important dans la sécurité des actifs Web3 pour les particuliers et les institutions. Les solutions peuvent également être vendues aux portefeuilles eux-mêmes afin de rendre l'expérience globale d'utilisation du portefeuille plus sûre. Alors que les portefeuilles peuvent également travailler pour intégrer eux-mêmes des fonctionnalités de sécurité dans leurs produits, les solutions axées sur la sécurité qui créent un fossé technologique en utilisant des algorithmes propriétaires pour détecter les risques et rendre l'intégration aussi simple que possible se démarqueront des autres et constitueront un argument solide pour l'achat. plutôt que de construire. Un excellent exemple d'une entreprise qui construit dans cette direction est Redéfinir, qui fournit des évaluations des risques de transaction en temps réel et des alertes qui sont informées par une combinaison de mécanismes de simulation et de surveillance des transactions en temps réel et qui sont transmises directement à l'entité la plus incitée à protéger les fonds, l'utilisateur. Certaines autres solutions de type « pare-feu » protégeant spécifiquement le transacteur incluent Shield, Hexagon et TrustCheck de Web3Builders.
Au-delà de l'audit : Souvent, les grands cabinets d'audit reconnaissent le besoin de productisation pour élargir leurs offres et rendre leurs entreprises plus évolutives. Halborn, bien que se concentrant principalement sur les audits manuels aujourd'hui, construit avec l'intention d'apporter outils d'automatisation des processus pour l'audit et les dévos sur le marché. Des entreprises comme Quantstamp et Sherlock, une société du portefeuille de CoinFund, adopte une autre approche en explorant l'intersection de l'audit de sécurité et de l'assurance des actifs.
Qu'est-ce qui est important dans la sécurité Web3 ?
À un niveau élevé, il y a quelques points de thèse clés qui orientent ma réflexion vers le développement de la sécurité Web3 :
- Identification des principaux acteurs de la sécurité : Web3 introduit un changement fondamental dans notre façon de penser le marché cible des produits et services de sécurité. Les développeurs et les projets, motivés par l'adoption des produits web3, et les utilisateurs, motivés pour protéger leurs actifs, sont les clients les plus importants des solutions de sécurité. Ceci est différent du web2 où les entreprises étaient juridiquement et économiquement responsables de la protection des données des utilisateurs. Dans un monde où les utilisateurs possèdent leurs propres données, ils héritent également du défi de les protéger et utiliseront les protocoles les plus sécurisés et les nouveaux produits qui permettent aux utilisateurs de sécuriser directement leurs propres actifs.
- Prévention, atténuation et réponse : La sécurité est une approche en couches (IBM) et il y a un besoin continu ainsi que stratégie de sécurité proactive qui n'est pas accomplie par la concentration actuelle (presque exclusive) sur l'audit de pré-lancement dans le web3. Le code ne peut jamais être complètement exempt de vulnérabilité, ce qui rend nécessaire l'atténuation et la réponse aux exploits en temps réel dans web3 comme dans web2.
- Une combinaison de sécurité traditionnelle et d'expertise web3 : La sécurité est historiquement un marché très difficile et encombré où le talent et la stratégie des pirates informatiques évoluent constamment. Malgré les milliers de startups de sécurité sur le marché, seule une poignée a atteint son potentiel de percée. Les fondateurs malléables et à itération rapide qui connaissent intimement la sécurité traditionnelle et le paysage de la sécurité Web3 en développement sont les plus attrayants. Bien que Web3 soit nouveau, les problèmes et solutions de sécurité fondamentaux sont bien compris. Par conséquent, les chercheurs en sécurité qui ont passé des années à comprendre les vulnérabilités de la technologie ouvriront la voie à la sécurisation du web3
Ce que nous recherchons dans une opportunité de sécurité investissable
Chez CoinFund, nous investissons dans des entreprises qui facilitent la construction, l'utilisation et l'accès sécurisés aux blockchains. Les solutions, produits et réseaux évolutifs qui font progresser la sécurité Web3 sont des éléments importants de cette vision. Les équipes les plus attrayantes, du point de vue de l'investissement, sont celles qui possèdent (1) une expertise approfondie en matière de sécurité Web2 ainsi qu'une vision cryptographique, (2) une capacité à identifier « qui se soucie le plus » de la sécurité qu'ils fournissent et à vendre efficacement à ces parties prenantes. qu'il s'agisse de développeurs de protocoles ou d'utilisateurs institutionnels et individuels, (3) un produit ou un réseau qui peut évoluer en fonction de la capacité de la technologie sous-jacente à servir les clients.
Sur le marché de la sécurité web3, comme ce fut le cas pour la sécurité web2, des milliers de solutions seront créées. Cependant, relativement peu d'entre elles évolueront pour devenir des entreprises d'un milliard de dollars et CoinFund vise à s'associer aux fondateurs dans le but de devenir des normes de pointe dans l'industrie à mesure que le marché de la sécurité pour la technologie Web3 se développe. Nous voulons investir dans des équipes qui étendent la pile de sécurité web3. Si vous créez un outil de développement pour aider les développeurs à construire avec un état d'esprit axé sur la sécurité, une solution qui aide à étendre l'accent mis sur la sécurité de la prévention à l'atténuation et à la réponse, ou un outil pour aider les utilisateurs quotidiens de la blockchain à protéger leurs actifs, nous recherchons toi.
Il existe de nombreux domaines de la sécurité Web3 que nous avons laissés de côté dans cet article. La gestion sécurisée des clés, la conservation sécurisée et la confidentialité sont profondes en elles-mêmes. Qu'est-ce qui est le plus important pour vous dans la sécurité Web3 ? J'adorerais l'entendre dans les commentaires ou dans mes DM. De plus, si vous construisez une solution dans l'espace de sécurité Web3, j'aimerais discuter. Acclamations!
TG : @isaiahwash
Courriel : isaiah@coinfund.io
[Merci à l'équipe CoinFund ainsi qu'à Mooley Sagiv(Certora), Jesse Tasman(Redefine), Don Ho(Quantstamp), Catrina Wang(Protocol Labs) et d'autres pour m'avoir aidé à affiner mes pensées]
Les opinions exprimées ici sont celles du personnel individuel de CoinFund Management LLC («CoinFund») cité et ne sont pas les opinions de CoinFund ou de ses sociétés affiliées. Certaines informations contenues dans ce document ont été obtenues auprès de sources tierces, y compris auprès de sociétés de portefeuille de fonds gérés par CoinFund. Bien qu'elles proviennent de sources considérées comme fiables, CoinFund n'a pas vérifié ces informations de manière indépendante et ne fait aucune déclaration quant à l'exactitude durable des informations ou à leur pertinence dans une situation donnée. De plus, ce contenu peut inclure des publicités de tiers ; CoinFund n'a pas examiné ces publicités et n'approuve aucun contenu publicitaire qu'elles contiennent.
Ce contenu est fourni à titre informatif uniquement et ne doit pas être considéré comme un conseil juridique, commercial, d'investissement ou fiscal. Vous devriez consulter vos propres conseillers sur ces questions. Les références à des titres ou à des actifs numériques sont uniquement à des fins d'illustration et ne constituent pas une recommandation d'investissement ou une offre de fournir des services de conseil en investissement. En outre, ce contenu n'est ni destiné ni destiné à être utilisé par des investisseurs ou des investisseurs potentiels, et ne peut en aucun cas être invoqué pour prendre une décision d'investir dans un fonds géré par CoinFund. (Une offre d'investissement dans un fonds CoinFund ne sera faite que par le mémorandum de placement privé, le contrat de souscription et toute autre documentation pertinente d'un tel fonds et doit être lu dans son intégralité.) Tous les investissements ou sociétés de portefeuille mentionnés, référencés ou décrits ne sont pas représentatifs de tous les investissements dans des véhicules gérés par CoinFund, et rien ne garantit que les investissements seront rentables ou que d'autres investissements réalisés à l'avenir auront des caractéristiques ou des résultats similaires. Une liste des investissements effectués par des fonds gérés par CoinFund (à l'exclusion des investissements pour lesquels l'émetteur n'a pas autorisé CoinFund à divulguer publiquement ainsi que des investissements non annoncés dans des actifs numériques cotés en bourse) est disponible sur https://www.coinfund.io/portfolio.
Les tableaux et graphiques fournis ici sont uniquement à des fins d'information et ne doivent pas être utilisés pour prendre une décision d'investissement. Les performances passées ne représentent pas les résultats futurs. Le contenu ne parle qu'à la date indiquée. Toutes les projections, estimations, prévisions, objectifs, perspectives et/ou opinions exprimées dans ces documents sont susceptibles d'être modifiées sans préavis et peuvent différer ou être contraires aux opinions exprimées par d'autres.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://blog.coinfund.io/web3-security-securing-the-path-to-crypto-adoption-e6552d0dd844?source=rss----f5f136d48fc3---4
- 1
- 2022
- a
- capacité
- Description
- au dessus de
- accès
- accompli
- précision
- activité
- ajout
- Adoption
- Numérique
- conseils
- consultatif
- services de conseil
- Affiliés
- Après
- AG
- contrat
- AI
- vise
- algorithmes
- Tous
- Permettre
- AML
- selon une analyse de l’Université de Princeton
- ainsi que
- et infrastructure
- annuel
- REVENU ANNUEL
- Une autre
- une approche
- AR
- domaines
- évaluations
- atout
- Outils
- assurance
- attaquer
- Attaques
- attrayant
- vérifié
- audit
- audits
- Automatisation
- automatiquement
- Automation
- disponibles
- Mal
- BD
- devenir
- before
- cru
- LES MEILLEURS
- jusqu'à XNUMX fois
- Au-delà
- Milliards
- blockchain
- blockchains
- les robots
- frontières
- primes
- largeur
- Apporter
- Cassé
- Punaise
- primes de bug
- bogues
- construire
- Développement
- la performance des entreprises
- entreprises
- bouton (dans la fenêtre de contrôle qui apparaît maintenant)
- Achat
- capacités
- maisons
- catégories
- certaines
- chainalise
- challenge
- difficile
- défendant
- Change
- caractéristiques
- conditions
- CLIENTS
- code
- coinfund
- combinaison
- combiné
- commentaires
- Communautés
- Communautés
- Sociétés
- Société
- relativement
- par rapport
- concurrence
- complètement
- constamment
- constituer
- contenu
- continu
- continuellement
- contrat
- contraire
- contribuant
- engendrent
- créée
- La création
- créateurs
- Crypto
- Adoption de la crypto
- Courant
- les gardiens
- Garde
- Clients
- Cybersécurité
- DAO
- données
- l'analyse des données
- Date
- journée
- décision
- profond
- DeFi
- Protocoles DeFi
- livré
- démontré
- démontrer
- déployer
- déployé
- déploiement
- décrit
- un
- Malgré
- Détection
- dev
- Développeur
- mobiles
- développement
- Développement
- développe
- DevOps
- Devs
- différer
- différences
- différent
- numérique
- Actifs numériques
- direction
- directement
- Divulguer
- distribué
- Réseau distribué
- Documentation
- Dollar
- motivation
- entraîné
- "Early Bird"
- plus facilement
- EC
- risque numérique
- ed
- de manière efficace
- endosser
- durable
- s'engager
- participation
- intégralité
- entité
- estimé
- estimations
- Ether (ETH)
- éthique
- Chaque
- tous les jours
- évolution
- exemple
- exemples
- Échanges
- à l'exclusion
- Exclusive
- Développer vous
- expansion
- Découvrez
- nous a permis de concevoir
- Exploiter
- exploits
- Explorant
- exprimé
- Yeux
- facilité
- FB
- fc
- few
- remplir
- la traduction de documents financiers
- entreprises
- s'adapter
- flux
- Focus
- mettant l'accent
- suivre
- formel
- Avant
- fondateurs
- de
- fund
- fondamental
- fonds
- plus
- En outre
- avenir
- écart
- ge
- donné
- Global
- GM
- Go
- GP
- graphiques
- l'
- GV
- les pirates
- hacks
- Halborn
- Half
- poignée
- aider
- aider
- aide
- ici
- hi
- Haute
- Souligner
- historiquement
- Comment
- Cependant
- HT
- HTTPS
- IBM
- identifier
- Immunitaire
- important
- in
- incite
- comprendre
- Y compris
- indépendamment
- individuel
- individus
- industrie
- d'information
- D'information
- Actualités
- Infrastructure
- Innovation
- DOCUMENTS
- les établissements privés
- Assurance
- des services
- l'intégration
- Intention
- intersection
- Introduit
- Investir
- enquête
- un investissement
- Investissements
- investor
- Investisseurs
- IP
- Emetteur
- IT
- clés / KEY :
- Savoir
- Labs
- paysage d'été
- couches
- conduire
- conduisant
- Légal
- Niveau
- en tirant parti
- LG
- Gamme
- Liste
- LLC
- ln
- Style
- recherchez-
- perte
- Lot
- love
- LP
- click
- LES PLANTES
- Entrée
- majeur
- Majorité
- faire
- FAIT DU
- Fabrication
- gérer
- gérés
- gestion
- Manuel
- de nombreuses
- Marché
- matières premières.
- compte
- largeur maximale
- McKinsey
- moyenne
- Mémorandum
- mentionné
- Mindset
- minimum
- Réduire les
- atténuation
- MJ
- ML
- Surveiller
- Stack monitoring
- PLUS
- (en fait, presque toutes)
- motivés
- MS
- MT
- plusieurs
- naissant
- nécessaire
- Besoin
- réseau et
- réseaux
- Nouveauté
- produits nouveaux
- roman
- obtenu
- code
- offrant
- Offrandes
- souvent
- ONE
- Avis
- Opportunités
- orchestration
- Autre
- Autres
- global
- propre
- payé
- les partenaires
- passé
- chemin
- performant
- autorisation
- personnel
- objectifs
- pièces
- Pilier
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Jouez
- des notes bonus
- portefeuille
- possible
- Post
- défaillances
- power
- pratiques
- prévoir
- empêcher
- Prévention
- Avant
- la confidentialité
- Privé
- Cybersécurité
- d'ouvrabilité
- processus
- Produit
- Produits
- Produits et services
- ,une équipe de professionnels qualifiés
- rentable
- projections
- projets
- proposition
- propriétaire
- éventuel
- perspectives
- protéger
- L'utilisation de sélénite dans un espace est un excellent moyen de neutraliser l'énergie instable ou négative.
- protection
- protocole
- Laboratoires de protocole
- protocoles
- fournir
- à condition de
- fournit
- publiquement
- acheté
- des fins
- Push
- Poussant
- Quantstamp
- collectés
- atteint
- Lire
- en temps réel
- reconnaître
- Recommandation
- visée
- pertinent
- fiable
- représentant
- chercheurs
- Réagir
- réponse
- REST
- Résultats
- de revenus
- examiné
- Analyse
- Rôle
- des
- en toute sécurité
- évolutive
- Escaliers intérieurs
- sécurisé
- sécurisation
- titres
- sécurité
- chercheurs en sécurité
- vendre
- Série
- de série A
- besoin
- Services
- set
- bouclier
- décalage
- devrait
- similaires
- simulation
- situation
- smart
- contrat intelligent
- So
- vendu
- sur mesure
- Solutions
- quelques
- Sources
- Space
- parle
- spécifiquement
- dépensé
- empiler
- parties prenantes
- Utilisation d'un
- Normes
- Startups
- de Marketing
- STRONG
- sujet
- abonnement
- tel
- prise
- Talent
- Target
- objectifs
- impôt
- équipe
- équipes
- techniques
- technologique
- Les technologies
- Technologie
- Essais
- La
- Le CoinFund
- El futuro
- les informations
- leur
- se
- donc
- la bride
- En pensant
- des tiers.
- milliers
- trois
- à
- aujourd'hui
- aujourd'hui
- outil
- les outils
- vers
- échangés
- traditionnel
- transaction
- oui
- types
- sous
- sous-jacent
- compréhension
- utilisé
- Utilisateur
- utilisateurs
- Plus-value
- Véhicules
- Vérification
- vérifié
- Voir
- vues
- vision
- vulnérabilités
- Wallet
- Portefeuilles
- Washington
- Web2
- Web3
- technologie web3
- technologie web3
- Quoi
- Qu’est ce qu'
- qui
- tout en
- WHO
- sera
- une équipe qui gagne ?
- dans les
- sans
- Activités:
- world
- années
- Votre
- zéphyrnet
