di Isaia Washington
Oltre 3 miliardi di dollari persi a causa di exploit di contratti intelligenti nel 2022 (Chainalysis) espone l'immaturità del panorama della sicurezza e il sottoutilizzo delle pratiche di sicurezza in web3. Le differenze fondamentali tra le tecnologie web2 e web3 creano nuove opportunità sia per attaccare che per proteggere i dati e le risorse degli utenti che sfruttano la blockchain. Oggi, il mercato globale della sicurezza informatica è stimato a circa $ 167 miliardi (McKinsey). Man mano che web3 avanza lungo la curva a S dell'adozione, includerà sia dati finanziari che non finanziari, quindi vedremo come minimo un mercato di dimensioni simili per la sicurezza web3.
La sicurezza Web3 non è rotta, ma sottosviluppata. L'attuale ecosistema di società di sicurezza Web3 semi-mature è nascente rispetto all'ampiezza dei tipi di soluzioni di sicurezza in Web2. Di tutte le società di sicurezza web3 che hanno raccolto una serie A o superano i 3 milioni di dollari di entrate annuali, la maggior parte si basa principalmente sui servizi con audit dei contratti intelligenti come principale proposta di valore. Il controllo è un processo manuale per esaminare il codice di un progetto ed evidenziare le vulnerabilità della sicurezza. Sebbene l'auditing sia un pilastro importante della sicurezza web3, nel 167 si sono verificati 2022 hack importanti. La metà di questi hack riguardava contratti intelligenti controllati (Rapporto sulla sicurezza di Beosin Web3), a dimostrazione della necessità di maggiori infrastrutture di sicurezza e automazione.
L'attuale panorama della sicurezza Web3
Il panorama in via di sviluppo delle società di sicurezza web3 può essere suddiviso in tre categorie principali: controllo, strumenti e comunità. All'interno degli strumenti e delle comunità, alcune delle aree in cui vediamo molte attività iniziali sono lo sviluppo di codice sicuro, il monitoraggio continuo o in fase di esecuzione, i premi sui bug di sicurezza e le comunità della concorrenza e la sicurezza delle transazioni.
Sviluppo codice sicuro: I prodotti di sicurezza devono essere integrati nel flusso di sviluppo. Le soluzioni che aiutano gli sviluppatori a costruire con una mentalità "security-first" e consentono agli sviluppatori di impedire l'implementazione di codice errato possono aiutare a rendere la sicurezza a livello di audit più scalabile in web3. Un ottimo esempio di azienda che sostiene questa tesi è la società di portafoglio di CoinFund Certora, che fornisce strumenti per proteggere i contratti intelligenti con una strategia di verifica formale ed è progettato per ridurre al minimo le vulnerabilità dei contratti intelligenti prima dell'implementazione e del pre-audit. Esempi di aziende che spingono i confini dell'innovazione qui includono strumenti di sviluppo continuo della sicurezza come Laboratori Enigma che si sta sviluppando Dev0x, uno strumento per sviluppatori per l'orchestrazione dei prodotti di sicurezza. Esistono anche test di transazioni ed ecosistemi e strumenti di simulazione come Teneramente, Laboratori del caose guanto di sfida. Questi progetti stanno contribuendo al set di strumenti di sicurezza degli sviluppatori consentendo agli sviluppatori di gestire e prevedere l'output del contratto intelligente prima della sua implementazione.
Monitoraggio continuo/tempo di esecuzione: Aziende come Chainalysis e TRM Labs hanno raccolto un totale di 686.5 milioni di dollari per il rilevamento post mortem, l'indagine e l'analisi dei dati. Tuttavia, esiste una lacuna nel mercato delle soluzioni di monitoraggio in fase di esecuzione per la prevenzione proattiva degli exploit di sicurezza. Prendendo il monitoraggio in tempo reale e aggiungendo funzionalità predittive per il rilevamento e la prevenzione degli exploit, aziende come Forza ed Cyvers stanno costruendo per colmare questa lacuna. Forta è una rete distribuita per il monitoraggio continuo del runtime e CyVers è la soluzione sfrutta l'apprendimento automatico per monitorare continuamente più reti e rilevare automaticamente gli attacchi per conto di scambi, custodi e protocolli DeFi. (Guarda anche La tesi di CoinFund sull'intelligenza artificiale per ulteriori informazioni sull'intersezione tra AI e cripto). Dopo il rilevamento, è possibile implementare tecniche come il front-running delle transazioni e gli interruttori di circuito automatizzati per mitigare la perdita di asset.
Reti/comunità di sicurezza: Web3 è guidato dal coinvolgimento della comunità. Ci sono comunità di sviluppatori (es. Developer DAO), comunità di investitori (es. FlamingoDAO) e infrastrutture per comunità finanziarie (es. SyndicateDAO, Juicebox). Ci saranno soluzioni e piattaforme di sicurezza vincenti che aggregano e mobilitano al meglio i professionisti incentrati sulla sicurezza per impegnarsi nella protezione del web3. Ad esempio, ImmuneFi, che ha recentemente raccolto $ 24 milioni per la sua serie A, ha dimostrato il potere di sfruttare la comunità per proteggere il codice per web3 creando e incentivando una rete di hacker white-hat per identificare vulnerabilità e bug negli smart contract. Ad oggi, Immunefi ha facilitato oltre 65 milioni di dollari in ricompense per i bug pagato agli hacker etici. Altri primi esempi simili includono Codice4rena, Sicuro3e PwnedNoMore. La rete distribuita di Forta incentiva una rete di professionisti della sicurezza e hobbisti a creare e distribuire bot di rilevamento, contratti intelligenti che rilevano e rispondono a contratti intelligenti dannosi avvisando gli utenti o i creatori del contratto. Forta sfrutta la sua rete per creare soluzioni basate sull'apprendimento automatico per rilevare contratti intelligenti dannosi .
Soluzioni per la sicurezza delle transazioni dei consumatori e delle istituzioni: I prodotti per la sicurezza delle transazioni e dei portafogli rivolti all'utente acquistati dall'utente di una dApp/protocollo svolgeranno un ruolo importante nella sicurezza delle risorse Web3 sia per gli individui che per le istituzioni. Le soluzioni possono anche essere vendute ai portafogli stessi come un modo per rendere più sicura l'esperienza complessiva di utilizzo del portafoglio. Mentre i portafogli possono anche lavorare per integrare funzionalità di sicurezza nei propri prodotti, le soluzioni incentrate sulla sicurezza che costruiscono un fossato tecnologico utilizzando algoritmi proprietari per rilevare i rischi e rendere l'integrazione il più semplice possibile si distingueranno dalle altre e costituiranno un valido motivo per l'acquisto piuttosto che costruire. Un grande esempio di costruzione di un'azienda in questa direzione è Ridefinire, che fornisce valutazioni del rischio di transazione in tempo reale e avvisi che sono informati da una combinazione di meccanismi di simulazione e monitoraggio delle transazioni in tempo reale e vengono consegnati direttamente all'entità più incentivata a proteggere i fondi, l'utente. Alcune altre soluzioni di tipo "firewall" che proteggono il transactor includono specificamente Shield, Hexagon e TrustCheck di Web3Builders.
Andare oltre l'audit: Spesso le principali società di revisione riconoscono la necessità della productization per espandere le loro offerte e rendere le loro aziende più scalabili. Halborn, pur concentrandosi principalmente sugli audit manuali oggi, sta costruendo con l'intenzione di portare strumenti di automazione dei processi per l'auditing e lo sviluppo sul mercato. Aziende come Quantstamp e Sherlock, una società di portafoglio di CoinFund, sta adottando un altro approccio esplorando l'intersezione tra controllo della sicurezza e assicurazione patrimoniale.
Cosa è importante nella sicurezza web3?
Ad alto livello, ci sono alcuni punti chiave della tesi che guidano il mio pensiero verso lo sviluppo della sicurezza web3:
- Identificazione delle principali parti interessate per la sicurezza: Web3 introduce un cambiamento fondamentale nel modo in cui pensiamo al mercato di riferimento dei prodotti e servizi di sicurezza. Sviluppatori e progetti, motivati dall'adozione del prodotto Web3, e utenti, motivati a proteggere le proprie risorse, sono i clienti più importanti delle soluzioni di sicurezza. Questo è diverso dal web2 in cui le aziende erano legalmente ed economicamente responsabili della protezione dei dati degli utenti. In un mondo in cui gli utenti possiedono i propri dati, ereditano anche la sfida di proteggerli e utilizzeranno i protocolli più sicuri e i nuovi prodotti che consentono agli utenti di proteggere direttamente le proprie risorse.
- Prevenzione, mitigazione e risposta: La sicurezza è un approccio a più livelli (IBM) e vi è la necessità di un continuo ed strategia di sicurezza proattiva che non viene raggiunta dall'odierna (quasi esclusiva) attenzione al controllo pre-lancio in web3. Il codice non può mai essere completamente privo di vulnerabilità, il che rende necessaria la mitigazione e la risposta degli exploit in tempo reale in Web3 come in Web2.
- Una combinazione di sicurezza tradizionale e competenze web3: La sicurezza è storicamente un mercato molto impegnativo e affollato in cui il talento e la strategia degli hacker è in continua evoluzione. Nonostante le molte migliaia di startup di sicurezza sul mercato, solo una manciata ha raggiunto il potenziale di successo. I fondatori malleabili e dall'iterazione rapida che conoscono intimamente la sicurezza tradizionale e il panorama della sicurezza web3 in via di sviluppo sono i più attraenti. Sebbene web3 sia nuovo, i problemi e le soluzioni di sicurezza fondamentali sono ben compresi. Pertanto, i ricercatori di sicurezza che hanno trascorso anni a comprendere le vulnerabilità nella tecnologia apriranno la strada alla protezione del web3
Cosa cerchiamo in un'opportunità di sicurezza investibile
In CoinFund, investiamo in aziende che stanno rendendo le blockchain più facili da costruire, utilizzare e accedere in modo sicuro. Le soluzioni, i prodotti e le reti scalabili che promuovono la sicurezza web3 sono elementi importanti di questa visione. I team più attraenti, dal punto di vista degli investimenti, sono i team con (1) profonda esperienza nella sicurezza del Web2 e una visione crittografica, (2) la capacità di identificare "a chi importa" di più della sicurezza che forniscono e di venderla efficacemente a tali parti interessate siano essi sviluppatori di protocolli o utenti istituzionali e individuali, (3) un prodotto o una rete in grado di scalare in linea con la capacità della tecnologia sottostante di servire i clienti.
Nel mercato della sicurezza web3, così come è avvenuto per la sicurezza web2, verranno realizzate migliaia di soluzioni. Tuttavia, relativamente poche scaleranno fino a diventare aziende da miliardi di dollari e CoinFund mira a collaborare con i fondatori con gli occhi puntati a diventare standard leader del settore man mano che il mercato della sicurezza per la tecnologia web3 si sviluppa. Vogliamo investire in team che stanno espandendo lo stack di sicurezza web3. Se stai costruendo uno strumento per sviluppatori per aiutare gli sviluppatori a costruire con una mentalità che mette al primo posto la sicurezza, una soluzione che aiuti a espandere l'attenzione sulla sicurezza dalla prevenzione alla mitigazione e alla risposta o uno strumento per aiutare ogni giorno gli utenti blockchain a proteggere le proprie risorse, stiamo cercando Voi.
Ci sono molte aree della sicurezza web3 che abbiamo tralasciato in questo post. La gestione sicura delle chiavi, la custodia sicura e la privacy sono profonde in sé e per sé. Cosa è più importante per te nella sicurezza web3? Mi piacerebbe sentirlo nei commenti o nei miei DM. Inoltre, se stai costruendo una soluzione nello spazio di sicurezza web3, mi piacerebbe chattare. Saluti!
TG: @isaiawash
E-mail: isaiah@coinfund.io
[Grazie al team di CoinFund, nonché a Mooley Sagiv (Certora), Jesse Tasman (Redefine), Don Ho (Quantstamp), Catrina Wang (Protocol Labs) e altri per avermi aiutato a perfezionare i miei pensieri]
Le opinioni qui espresse sono quelle del personale individuale di CoinFund Management LLC ("CoinFund") citato e non sono le opinioni di CoinFund o dei suoi affiliati. Alcune informazioni qui contenute sono state ottenute da fonti di terze parti, incluse società in portafoglio di fondi gestiti da CoinFund. Sebbene tratti da fonti ritenute affidabili, CoinFund non ha verificato in modo indipendente tali informazioni e non fornisce dichiarazioni sull'accuratezza duratura delle informazioni o sulla loro adeguatezza per una determinata situazione. Inoltre, questo contenuto può includere pubblicità di terze parti; CoinFund non ha esaminato tali annunci pubblicitari e non approva alcun contenuto pubblicitario in essi contenuto.
Questo contenuto viene fornito solo a scopo informativo e non deve essere considerato come consulenza legale, commerciale, di investimento o fiscale. Dovresti consultare i tuoi consulenti in merito a tali questioni. I riferimenti a qualsiasi titolo o risorsa digitale sono solo a scopo illustrativo e non costituiscono una raccomandazione di investimento o un'offerta per fornire servizi di consulenza in materia di investimenti. Inoltre, questo contenuto non è diretto né destinato all'uso da parte di investitori o potenziali investitori e non può in nessun caso essere invocato quando si decide di investire in qualsiasi fondo gestito da CoinFund. (Un'offerta di investimento in un fondo CoinFund sarà fatta solo dal memorandum di collocamento privato, dal contratto di sottoscrizione e da altra documentazione pertinente di tale fondo e deve essere letta nella sua interezza.) Eventuali investimenti o società in portafoglio menzionati, citati o descritti non sono rappresentativi di tutti gli investimenti in veicoli gestiti da CoinFund, e non si può garantire che gli investimenti saranno redditizi o che altri investimenti effettuati in futuro avranno caratteristiche o risultati simili. Un elenco degli investimenti effettuati da fondi gestiti da CoinFund (esclusi gli investimenti per i quali l'emittente non ha fornito il permesso a CoinFund di divulgare pubblicamente e gli investimenti non annunciati in asset digitali quotati in borsa) è disponibile all'indirizzo https://www.coinfund.io/portfolio.
Grafici e grafici forniti all'interno sono esclusivamente a scopo informativo e non dovrebbero essere presi in considerazione quando si prende una decisione di investimento. I rendimenti passati non sono indicativi di risultati futuri. Il contenuto parla solo a partire dalla data indicata. Eventuali proiezioni, stime, previsioni, obiettivi, prospettive e/o opinioni espresse in questi materiali sono soggette a modifiche senza preavviso e possono differire o essere contrarie alle opinioni espresse da altri.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://blog.coinfund.io/web3-security-securing-the-path-to-crypto-adoption-e6552d0dd844?source=rss—-f5f136d48fc3—4
- 1
- 2022
- a
- capacità
- Chi siamo
- sopra
- accesso
- compiuto
- precisione
- attività
- aggiunta
- Adozione
- Pubblicità
- consigli
- consultivo
- servizi di consulenza
- affiliati
- Dopo shavasana, sedersi in silenzio; saluti;
- AG
- Accordo
- AI
- mira
- Algoritmi
- Tutti
- Consentire
- AML
- .
- ed
- e infrastruttura
- annuale
- ENTRATE ANNUALI
- Un altro
- approccio
- AR
- aree
- valutazioni
- attività
- Attività
- garanzia
- attacco
- attacchi
- attraente
- sottoposto a revisione contabile
- revisione
- audit
- Automatizzata
- automaticamente
- Automazione
- disponibile
- Vasca
- BD
- diventando
- prima
- creduto
- MIGLIORE
- fra
- Al di là di
- Miliardo
- blockchain
- blockchains
- bots
- confini
- taglie
- ampiezza
- Portare
- Rotto
- Insetto
- bug bounties
- bug
- costruire
- Costruzione
- affari
- aziende
- pulsante
- Acquisto
- funzionalità
- Custodie
- categoria
- certo
- chainalysis
- Challenge
- impegnativo
- championing
- il cambiamento
- caratteristiche
- condizioni
- clienti
- codice
- coinfund
- combinazione
- combinato
- Commenti
- Comunità
- comunità
- Aziende
- azienda
- comparativamente
- rispetto
- concorrenza
- completamente
- costantemente
- costituire
- contenuto
- continuo
- continuamente
- contratto
- contrario
- contribuendo
- creare
- creato
- Creazione
- creatori
- crypto
- Adozione crittografica
- Corrente
- custodi
- Custodia
- Clienti
- Cybersecurity
- DAO
- dati
- analisi dei dati
- Data
- giorno
- decisione
- deep
- DeFi
- Protocolli DeFi
- consegnato
- dimostrato
- dimostrando
- schierare
- schierato
- deployment
- descritta
- progettato
- Nonostante
- rivelazione
- Dev
- Costruttori
- sviluppatori
- in via di sviluppo
- Mercato
- sviluppa
- DevOps
- devs
- differire
- differenze
- diverso
- digitale
- Risorse digitali
- direzione
- direttamente
- Rilevare
- distribuito
- Rete distribuita
- documentazione
- Dollaro
- guidare
- spinto
- Presto
- più facile
- EC
- ecosistema
- ed
- in maniera efficace
- approvare
- duraturo
- impegnarsi
- Fidanzamento
- interezza
- entità
- stimato
- stime
- Etere (ETH)
- etico
- Ogni
- ogni giorno
- evoluzione
- esempio
- Esempi
- Cambi Merce
- esclusa
- Exclusive
- Espandere
- espansione
- esperienza
- competenza
- Sfruttare
- gesta
- Esplorare
- espresso
- Occhi
- facilitato
- FB
- fc
- pochi
- riempire
- finanziario
- Aziende
- in forma
- flusso
- Focus
- messa a fuoco
- seguire
- formale
- Avanti
- fondatori
- da
- funzionalità
- fondo
- fondamentale
- fondi
- ulteriormente
- Inoltre
- futuro
- divario
- ge
- dato
- globali
- GM
- Go
- GP
- grafici
- grande
- GV
- hacker
- hack
- Halborn
- Metà
- manciata
- Aiuto
- aiutare
- aiuta
- qui
- hi
- Alta
- Highlight
- storicamente
- Come
- Tuttavia
- HT
- HTTPS
- IBM
- identificare
- immunitario
- importante
- in
- incentiva
- includere
- Compreso
- indipendentemente
- individuale
- individui
- industria
- informazioni
- Informativo
- informati
- Infrastruttura
- Innovazione
- Istituzioni
- istituzioni
- assicurazione
- integrato
- integrazione
- Intenzione
- intersezione
- Introduce
- Investire
- indagine
- investimento
- Investimenti
- investitore
- Investitori
- IP
- Emittente
- IT
- Le
- Sapere
- Labs
- paesaggio
- stratificato
- portare
- principale
- Legale
- Livello
- leveraging
- LG
- linea
- Lista
- LLC
- ln
- Guarda
- cerca
- spento
- lotto
- amore
- LP
- macchina
- fatto
- Principale
- maggiore
- Maggioranza
- make
- FA
- Fare
- gestire
- gestito
- gestione
- Manuale
- molti
- Rappresentanza
- Materiale
- Matters
- max-width
- McKinsey
- medie
- Memorandum
- menzionato
- Mindset
- ordine
- Ridurre la perdita dienergia con una
- attenuazione
- MJ
- ML
- Monitorare
- monitoraggio
- Scopri di più
- maggior parte
- motivato
- MS
- MT
- multiplo
- nascente
- necessaria
- Bisogno
- Rete
- reti
- New
- prodotti nuovi
- romanzo
- ottenuto
- offrire
- offerta
- offerte
- spesso
- ONE
- Opinioni
- Opportunità
- orchestrazione
- Altro
- Altri
- complessivo
- proprio
- pagato
- partner
- passato
- sentiero
- performance
- autorizzazione
- Personale
- prospettiva
- pezzi
- Pilastro
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- Giocare
- punti
- lavori
- possibile
- Post
- potenziale
- energia
- pratiche
- predire
- prevenire
- Frodi
- Precedente
- Privacy
- un bagno
- Proactive
- problemi
- processi
- Prodotto
- Prodotti
- Prodotti e Servizi
- Scelto dai professionisti
- redditizio
- proiezioni
- progetti
- proposizione
- proprio
- potenziale
- prospettive
- protegge
- proteggere
- protezione
- protocollo
- Protocol Labs
- protocolli
- fornire
- purché
- fornisce
- pubblicamente
- acquistati
- fini
- Spingi
- spingendo
- Quantstamp
- sollevato
- a raggiunto
- Leggi
- tempo reale
- riconoscere
- Consigli
- Riferimenti
- di cui
- pertinente
- affidabile
- rappresentante
- ricercatori
- Rispondere
- risposta
- REST
- Risultati
- Le vendite
- rivisto
- Rischio
- Ruolo
- sicura
- tranquillamente
- scalabile
- Scala
- sicuro
- fissaggio
- Valori
- problemi di
- ricercatori di sicurezza
- venda
- Serie
- Serie A
- servire
- Servizi
- set
- Scudo
- spostamento
- dovrebbero
- simile
- simulazione
- situazione
- smart
- smart contract
- So
- venduto
- soluzione
- Soluzioni
- alcuni
- fonti
- lo spazio
- Parla
- in particolare
- esaurito
- pila
- stakeholder
- stare in piedi
- standard
- Startup
- Strategia
- forte
- soggetto
- sottoscrizione
- tale
- presa
- Talento
- Target
- obiettivi
- imposta
- team
- le squadre
- tecniche
- tecnologico
- Tecnologie
- Tecnologia
- Testing
- Il
- Il CoinFund
- Il futuro
- le informazioni
- loro
- si
- perciò
- in essa
- Pensiero
- di parti terze standard
- migliaia
- tre
- a
- oggi
- di oggi
- strumenti
- verso
- negoziate
- tradizionale
- delle transazioni
- vero
- Tipi di
- per
- sottostante
- e una comprensione reciproca
- uso
- Utente
- utenti
- APPREZZIAMO
- Veicoli
- Convalida
- verificato
- Visualizza
- visualizzazioni
- visione
- vulnerabilità
- Portafoglio
- Portafogli
- Washington
- Web2
- Web3
- tecnologie web3
- tecnologia web3
- Che
- Che cosa è l'
- quale
- while
- OMS
- volere
- vincente
- entro
- senza
- Lavora
- mondo
- anni
- Trasferimento da aeroporto a Sharm
- zefiro