oleh Isaiah Washington

$3B+ hilang karena eksploitasi kontrak pintar pada tahun 2022 (Rantai) memaparkan ketidakdewasaan lanskap keamanan dan praktik keamanan yang kurang digunakan di web3. Perbedaan mendasar antara teknologi web2 dan web3 menciptakan peluang baru untuk menyerang dan mengamankan data dan aset pengguna yang memanfaatkan blockchain. Saat ini, pasar keamanan siber global diperkirakan sekitar $167 miliar (McKinsey). Saat web3 melangkah lebih jauh di sepanjang kurva S adopsi, itu akan mencakup data keuangan dan non-keuangan sehingga kita akan melihat pasar dengan ukuran yang sama untuk keamanan web3 minimal.

Keamanan Web3 tidak rusak, tetapi kurang berkembang. Ekosistem perusahaan keamanan web3 semi-matang saat ini baru lahir dibandingkan dengan luasnya jenis solusi keamanan di web2. Dari semua perusahaan keamanan web3 yang telah meningkatkan pendapatan tahunan Seri A atau di atas $3 juta, mayoritas sebagian besar berbasis layanan dengan audit kontrak cerdas sebagai proposisi nilai utama. Audit adalah proses manual untuk meneliti kode proyek dan menyoroti kerentanan keamanan. Meskipun audit merupakan pilar penting keamanan web3, ada 167 peretasan besar pada tahun 2022. Setengah dari peretasan ini adalah kontrak cerdas yang diaudit (Laporan Keamanan Beosin Web3), menunjukkan perlunya infrastruktur dan otomatisasi keamanan yang lebih banyak.

Lanskap Keamanan Web3 Saat Ini

Lanskap berkembang perusahaan keamanan web3 dapat dipisahkan menjadi tiga kategori utama: audit, alat, dan komunitas. Dalam perkakas dan komunitas, beberapa area di mana kami melihat banyak aktivitas awal adalah pengembangan kode yang aman, pemantauan berkelanjutan atau runtime, komunitas persaingan dan bounty bug keamanan, dan keamanan transaksi.

Pengembangan Kode Aman: Produk keamanan perlu diintegrasikan ke dalam aliran pengembang. Solusi yang membantu pengembang untuk membangun dengan pola pikir "mengutamakan keamanan" dan memungkinkan pengembang mencegah penyebaran kode buruk dapat membantu membuat keamanan tingkat audit lebih terukur di web3. Contoh bagus dari perusahaan yang memperjuangkan tesis ini adalah perusahaan portofolio CoinFund Certora, yang menyediakan alat untuk mengamankan kontrak pintar dengan strategi verifikasi formal dan dirancang untuk meminimalkan kerentanan kontrak pintar sebelum penerapan dan pra-audit. Contoh perusahaan yang mendorong batas inovasi di sini termasuk alat pengembang keamanan berkelanjutan seperti Lab Enigma yang sedang berkembang Dev0x, alat pengembang untuk orkestrasi produk keamanan. Ada juga alat pengujian dan simulasi transaksi dan ekosistem seperti Dengan lembut, Lab Kekacauan, dan Sarung tangan. Proyek-proyek ini berkontribusi pada perangkat keamanan pengembang dengan memungkinkan pengembang mengelola dan memprediksi hasil kontrak pintar sebelum penerapannya.

Pemantauan Berkelanjutan/Waktu Proses: Perusahaan seperti Chainalysis dan TRM Labs telah mengumpulkan gabungan $686.5 juta untuk deteksi, investigasi, dan analisis data AML post-mortem. Namun, ada celah di pasar untuk solusi pemantauan runtime untuk pencegahan proaktif eksploitasi keamanan. Dengan mengambil pemantauan waktu nyata dan menambahkan kemampuan prediktif untuk mengeksploitasi deteksi dan pencegahan, perusahaan menyukainya Memaksa dan Cyvers sedang membangun untuk mengisi kesenjangan ini. Forta adalah jaringan terdistribusi untuk pemantauan runtime berkelanjutan dan CyVers adalah solusinya memanfaatkan pembelajaran mesin untuk terus memantau beberapa jaringan dan secara otomatis mendeteksi serangan atas nama pertukaran, penjaga, dan protokol DeFi. (Lihat juga Tesis CoinFund tentang AI untuk lebih lanjut tentang persimpangan AI dan crypto). Setelah deteksi, teknik seperti transaksi yang berjalan di depan dan pemutus sirkuit otomatis dapat digunakan untuk mengurangi kerugian aset.

Jaringan/Komunitas Keamanan: Web3 didorong oleh keterlibatan komunitas. Ada komunitas pengembang (yaitu Pengembang DAO), komunitas investor (yaitu FlamingoDAO) dan infrastruktur untuk komunitas keuangan (yaitu SyndicateDAO, Juicebox). Akan ada solusi dan platform keamanan terbaik yang menggabungkan dan memobilisasi para profesional yang berfokus pada keamanan untuk terlibat dalam mengamankan web3. Misalnya, ImmuneFi, siapa baru-baru ini mengumpulkan $24 juta untuk Seri A, telah mendemonstrasikan kekuatan memanfaatkan komunitas untuk mengamankan kode untuk web3 dengan membuat dan memberi insentif pada jaringan peretas topi putih untuk mengidentifikasi kerentanan dan bug dalam kontrak pintar. Hingga saat ini, Immunefi telah memfasilitasi lebih dari $65 juta dalam bentuk hadiah bug dibayarkan kepada peretas etis. Contoh awal lainnya seperti itu termasuk kode4rena, Aman3, dan PwnedNoMore. Jaringan terdistribusi Forta memberikan insentif kepada jaringan profesional keamanan dan penghobi untuk membangun dan menyebarkan bot deteksi, kontrak pintar yang mendeteksi dan menanggapi kontrak pintar berbahaya dengan memberi tahu pengguna atau pembuat kontrak. Forta memanfaatkan jaringannya untuk membuat solusi berbasis pembelajaran mesin untuk mendeteksi kontrak pintar berbahaya .

Solusi Keamanan Transaksi Konsumen dan Kelembagaan: Produk keamanan dompet dan transaksi yang dihadapi pengguna yang dibeli oleh pengguna dApp/protokol, akan memainkan peran penting dalam keamanan aset web3 baik untuk individu maupun institusi. Solusi juga bisa dijual ke dompet itu sendiri sebagai cara untuk membuat keseluruhan pengalaman menggunakan dompet lebih aman. Sementara dompet juga dapat bekerja untuk membangun fungsionalitas keamanan ke dalam produk mereka sendiri, solusi yang berfokus pada keamanan yang membangun parit teknologi dengan menggunakan algoritme eksklusif untuk mendeteksi risiko dan membuat integrasi semudah mungkin akan menonjol di atas yang lain dan menjadi alasan yang kuat untuk membeli ketimbang membangun. Salah satu contoh bagus dari bangunan perusahaan ke arah ini adalah Redefine, yang memberikan penilaian dan peringatan risiko transaksi waktu nyata yang diinformasikan oleh kombinasi simulasi transaksi waktu nyata dan mekanisme pemantauan dan dikirimkan langsung ke entitas yang paling berinsentif untuk melindungi dana, pengguna. Beberapa solusi jenis "firewall" lain yang melindungi transactor secara khusus mencakup Shield, Hexagon, dan Pemeriksaan Kepercayaan Web3Builders.

Melampaui Audit: Seringkali perusahaan audit besar menyadari perlunya produkisasi untuk memperluas penawaran mereka dan membuat perusahaan mereka lebih terukur. Halborn, meskipun saat ini berfokus terutama pada audit manual, sedang membangun dengan niat untuk membawa alat otomasi proses untuk audit dan devops ke pasar. Perusahaan seperti Quantstamp dan Sherlock, sebuah perusahaan portofolio CoinFund, mengambil pendekatan lain dengan menjelajahi persimpangan audit keamanan dan asuransi aset.

Apa yang penting dalam keamanan web3?

Pada tingkat tinggi, ada beberapa poin tesis utama yang mendorong pemikiran saya menuju pengembangan keamanan web3:

• Identifikasi pemangku kepentingan keamanan utama: Web3 memperkenalkan perubahan mendasar dalam cara kami berpikir tentang target pasar produk dan layanan keamanan. Pengembang dan proyek, yang termotivasi oleh pengadopsian produk web3, dan pengguna, yang termotivasi untuk melindungi aset mereka, adalah pelanggan solusi keamanan yang paling penting. Ini berbeda dari web2 di mana bisnis bertanggung jawab secara hukum dan ekonomi untuk melindungi data pengguna. Di dunia di mana pengguna memiliki datanya sendiri, mereka juga mewarisi tantangan untuk melindunginya dan akan menggunakan protokol paling aman dan produk baru yang memungkinkan pengguna mengamankan aset mereka sendiri secara langsung.
• Pencegahan, mitigasi, dan respons: Keamanan adalah pendekatan berlapis (IBM) dan ada kebutuhan untuk terus menerus dan strategi keamanan proaktif yang tidak dicapai oleh fokus hari ini (hampir eksklusif) pada audit pra-peluncuran di web3. Kode tidak pernah bisa sepenuhnya bebas dari kerentanan, yang membuat mitigasi dan respons eksploit waktu-nyata diperlukan di web3 seperti di web2.
• Kombinasi keamanan tradisional dan keahlian web3: Keamanan secara historis merupakan pasar yang sangat menantang dan ramai di mana bakat dan strategi peretas terus berkembang. Terlepas dari ribuan startup keamanan di pasar, hanya segelintir yang telah mencapai potensi terobosan. Pendiri yang mudah dibentuk dan cepat yang sangat mengetahui keamanan tradisional dan lanskap keamanan web3 yang sedang berkembang adalah yang paling menarik. Meskipun web3 adalah novel, masalah dan solusi keamanan mendasar dipahami dengan baik. Oleh karena itu, peneliti keamanan yang telah menghabiskan waktu bertahun-tahun untuk memahami kerentanan dalam teknologi akan membuka jalan untuk mengamankan web3

Yang Kami Cari dalam Peluang Keamanan yang Dapat Diinvestasikan

Di CoinFund, kami berinvestasi di perusahaan yang membuat blockchain lebih mudah dibangun, digunakan, dan diakses dengan aman. Solusi, produk, dan jaringan yang dapat diskalakan yang mendorong keamanan web3 ke depan adalah bagian penting dari visi tersebut. Tim yang paling menarik, dari perspektif investasi adalah tim dengan (1) keahlian keamanan web2 yang dalam serta pandangan kriptonatif, (2) kemampuan untuk mengidentifikasi “siapa yang paling peduli” tentang keamanan yang mereka sediakan dan menjualnya secara efektif kepada pemangku kepentingan tersebut baik itu pengembang protokol atau pengguna institusional dan individu, (3) produk atau jaringan yang dapat disesuaikan dengan kemampuan teknologi dasar untuk melayani klien.

Di pasar keamanan web3, seperti halnya keamanan web2, ribuan solusi akan dibuat. Namun, secara komparatif hanya sedikit yang akan menjadi bisnis bernilai miliaran dolar dan CoinFund bertujuan untuk bermitra dengan para pendiri dengan pandangan mereka untuk menjadi standar industri terkemuka saat pasar keamanan untuk teknologi web3 berkembang. Kami ingin berinvestasi dalam tim yang memperluas tumpukan keamanan web3. Jika Anda membuat alat pengembang untuk membantu pengembang membangun dengan pola pikir mengutamakan keamanan, solusi yang membantu memperluas fokus keamanan dari pencegahan menjadi mitigasi dan respons, atau alat untuk membantu setiap hari pengguna blockchain melindungi aset mereka, kami sedang mencari Anda.

Ada banyak area keamanan web3 yang kami tinggalkan di postingan ini. Manajemen kunci yang aman, hak asuh yang aman, dan privasi berada jauh di dalam dan dari diri mereka sendiri. Apa yang paling penting dalam keamanan web3 bagi Anda? Saya ingin mendengarnya di komentar atau di DM saya. Juga, jika Anda sedang membangun solusi di ruang keamanan web3, saya ingin mengobrol. Bersulang!

TG: @isaiahwash

Email: yesaya@coinfund.io

[Terima kasih kepada tim CoinFund serta Mooley Sagiv(Certora), Jesse Tasman(Redefine), Don Ho(Quantstamp), Catrina Wang(Protocol Labs), dan lainnya yang telah membantu saya menyempurnakan pemikiran saya]

Pandangan yang diungkapkan di sini adalah pandangan individu CoinFund Management LLC (“CoinFund”) yang dikutip dan bukan pandangan CoinFund atau afiliasinya. Informasi tertentu yang terkandung di sini telah diperoleh dari sumber pihak ketiga, termasuk dari perusahaan portofolio dana yang dikelola oleh CoinFund. Meskipun diambil dari sumber yang diyakini dapat dipercaya, CoinFund belum memverifikasi informasi tersebut secara independen dan tidak membuat pernyataan tentang keakuratan informasi yang bertahan lama atau kesesuaiannya untuk situasi tertentu. Selain itu, konten ini mungkin termasuk iklan pihak ketiga; CoinFund belum meninjau iklan tersebut dan tidak mendukung konten iklan apa pun yang terkandung di dalamnya.

Konten ini disediakan untuk tujuan informasi saja, dan tidak boleh diandalkan sebagai nasihat hukum, bisnis, investasi, atau pajak. Anda harus berkonsultasi dengan penasihat Anda sendiri mengenai hal-hal itu. Referensi ke sekuritas atau aset digital apa pun hanya untuk tujuan ilustrasi, dan bukan merupakan rekomendasi investasi atau penawaran untuk menyediakan layanan konsultasi investasi. Selain itu, konten ini tidak ditujukan atau dimaksudkan untuk digunakan oleh investor atau calon investor mana pun, dan dalam keadaan apa pun tidak dapat diandalkan saat membuat keputusan untuk berinvestasi dalam dana apa pun yang dikelola oleh CoinFund. (Penawaran untuk berinvestasi dalam dana CoinFund hanya akan dilakukan dengan memorandum penempatan pribadi, perjanjian berlangganan, dan dokumentasi relevan lainnya dari dana tersebut dan harus dibaca secara keseluruhan.) Setiap investasi atau perusahaan portofolio yang disebutkan, dirujuk, atau dijelaskan tidak mewakili semua investasi dalam kendaraan yang dikelola oleh CoinFund, dan tidak ada jaminan bahwa investasi tersebut akan menguntungkan atau bahwa investasi lain yang dilakukan di masa depan akan memiliki karakteristik atau hasil yang serupa. Daftar investasi yang dilakukan oleh dana yang dikelola oleh CoinFund (tidak termasuk investasi yang penerbitnya belum memberikan izin kepada CoinFund untuk mengungkapkan secara publik serta investasi yang tidak diumumkan dalam aset digital yang diperdagangkan secara publik) tersedia di https://www.coinfund.io/portfolio.

Bagan dan grafik yang disediakan di dalamnya hanya untuk tujuan informasi dan tidak boleh diandalkan saat membuat keputusan investasi apa pun. Kinerja masa lalu tidak menunjukkan hasil di masa depan. Konten berbicara hanya pada tanggal yang ditunjukkan. Setiap proyeksi, perkiraan, prakiraan, target, prospek, dan/atau pendapat yang diungkapkan dalam materi ini dapat berubah tanpa pemberitahuan dan mungkin berbeda atau bertentangan dengan pendapat yang diungkapkan oleh orang lain.