door Isaiah Washington

$ 3 miljard + verloren door exploits van slimme contracten in 2022 (Chainalysis) legt de onvolwassenheid van het beveiligingslandschap en het ondergebruik van beveiligingspraktijken in web3 bloot. Fundamentele verschillen tussen web2- en web3-technologieën creëren nieuwe mogelijkheden om zowel de gegevens als de activa van gebruikers die gebruik maken van blockchain aan te vallen en te beveiligen. Vandaag de dag wordt de wereldwijde markt voor cyberbeveiliging geschat op ongeveer 167 miljard dollar (McKinsey). Naarmate web3 verder komt op de S-curve van acceptatie, zal het zowel financiële als niet-financiële gegevens bevatten, zodat we minimaal een vergelijkbare markt voor web3-beveiliging zullen zien.

De beveiliging van Web3 is niet kapot, maar onderontwikkeld. Het huidige ecosysteem van semi-volwassen web3-beveiligingsbedrijven staat in de kinderschoenen vergeleken met de breedte van soorten beveiligingsoplossingen in web2. Van alle web3-beveiligingsbedrijven die een Serie A hebben behaald of meer dan $ 3 miljoen aan jaaromzet hebben, zijn de meeste voornamelijk op services gebaseerd met slimme contractaudits als belangrijkste waardevoorstel. Auditing is een handmatig proces om de code van een project onder de loep te nemen en beveiligingsproblemen op te sporen. Hoewel auditing een belangrijke pijler is van web3-beveiliging, waren er in 167 2022 grote hacks. De helft van deze hacks betrof gecontroleerde slimme contracten (Beosin Web3-beveiligingsrapport), wat de behoefte aan meer beveiligingsinfrastructuur en automatisering aantoont.

Het huidige Web3-beveiligingslandschap

Het zich ontwikkelende landschap van web3-beveiligingsbedrijven kan worden onderverdeeld in drie hoofdcategorieën: auditing, tools en communities. Enkele van de gebieden waar we binnen tooling en community's veel vroege activiteit zien, zijn de ontwikkeling van veilige code, continue of runtime-monitoring, premies voor beveiligingsbugs en concurrentiecommunities, en transactiebeveiliging.

Veilige codeontwikkeling: Beveiligingsproducten moeten worden geïntegreerd in de ontwikkelaarsstroom. Oplossingen die ontwikkelaars helpen om te bouwen met een "security-first"-mentaliteit en waarmee ontwikkelaars de implementatie van slechte code kunnen voorkomen, kunnen helpen om beveiliging op auditniveau schaalbaarder te maken in web3. Een goed voorbeeld van een bedrijf dat deze stelling verdedigt, is het portefeuillebedrijf van CoinFund Certora, dat tools biedt voor het beveiligen van slimme contracten met een formele verificatiestrategie en is ontworpen om kwetsbaarheden voor slimme contracten te minimaliseren vóór implementatie en pre-audit. Voorbeelden van bedrijven die hier de grenzen van innovatie verleggen, zijn onder meer tools voor continue beveiligingsontwikkeling zoals Enigma Labs die zich ontwikkelt Ontwikkelaar0x, een ontwikkelaarstool voor orkestratie van beveiligingsproducten. Er zijn ook transactie- en ecosysteemtests en simulatietools zoals Teder, Chaoslaboratoria en Handschoen. Deze projecten dragen bij aan de beveiligingstoolset voor ontwikkelaars door ontwikkelaars in staat te stellen slimme contractoutput te beheren en te voorspellen voordat deze wordt geïmplementeerd.

Continue/runtime-bewaking: Bedrijven als Chainalysis en TRM Labs hebben samen $ 686.5 miljoen opgehaald voor post-mortem AML-detectie, onderzoek en data-analyse. Er is echter een gat in de markt voor runtime monitoring-oplossingen voor het proactief voorkomen van beveiligingsexploits. Door real-time monitoring toe te passen en voorspellende mogelijkheden toe te voegen voor het opsporen en voorkomen van exploits, vinden bedrijven dat leuk Kracht en cyvers bouwen om deze leemte op te vullen. Forta is een gedistribueerd netwerk voor continue runtime-bewaking en CyVers is de oplossing maakt gebruik van machine learning om continu meerdere netwerken te bewaken en automatisch aanvallen te detecteren namens uitwisselingen, beheerders en DeFi-protocollen. (Zie ook CoinFund's proefschrift over AI voor meer informatie over de kruising van AI en crypto). Na detectie kunnen technieken zoals front-running van transacties en geautomatiseerde stroomonderbrekers worden ingezet om activaverlies te beperken.

Beveiligingsnetwerken/gemeenschappen: Web3 wordt gedreven door betrokkenheid van de gemeenschap. Er zijn ontwikkelaarsgemeenschappen (dwz Developer DAO), investeerdersgemeenschappen (dwz FlamingoDAO) en infrastructuur voor financiële gemeenschappen (dwz SyndicateDAO, Juicebox). Er zullen winnende beveiligingsoplossingen en -platforms zijn die beveiligingsgerichte professionals het beste samenbrengen en mobiliseren om zich bezig te houden met het beveiligen van web3. Bijvoorbeeld ImmuneFi, wie heeft onlangs $ 24 miljoen opgehaald voor zijn Series A, heeft de kracht aangetoond van het gebruik van community om code voor web3 te beveiligen door een netwerk van white-hat hackers te creëren en te stimuleren om kwetsbaarheden en bugs in slimme contracten te identificeren. Daten, Immunefi heeft meer dan $ 65 miljoen aan beloningen voor bugs gefaciliteerd uitbetaald aan ethische hackers. Andere vroege voorbeelden zoals deze omvatten Code4rena, Veilig3 en PwnedNoMore. Het gedistribueerde netwerk van Forta stimuleert een netwerk van beveiligingsprofessionals en hobbyisten om detectiebots te bouwen en in te zetten, slimme contracten die kwaadwillende slimme contracten detecteren en erop reageren door de gebruikers of makers van het contract te waarschuwen. Forta maakt gebruik van zijn netwerk om op machine learning gebaseerde oplossingen te creëren om kwaadaardige slimme contracten te detecteren .

Oplossingen voor transactiebeveiliging voor consumenten en instellingen: Gebruikersgerichte transactie- en portemonneebeveiligingsproducten die worden gekocht door de gebruiker van een dApp/protocol, zullen een belangrijke rol spelen in de beveiliging van web3-activa voor zowel individuen als instellingen. Oplossingen kunnen ook aan portemonnees zelf worden verkocht om de algemene ervaring van het gebruik van de portemonnee veiliger te maken. Hoewel portemonnees ook kunnen werken om beveiligingsfunctionaliteit in hun producten in te bouwen, zullen op beveiliging gerichte oplossingen die een technologische slotgracht bouwen door eigen algoritmen te gebruiken om risico's te detecteren en integratie zo eenvoudig mogelijk te maken, boven de rest uitsteken en een sterk argument vormen om te kopen in plaats van te bouwen. Een goed voorbeeld van een bedrijf dat in deze richting bouwt is Herdefiniëren, dat real-time transactierisicobeoordelingen en -waarschuwingen biedt die worden geïnformeerd door een combinatie van real-time transactiesimulatie en monitoringmechanismen en rechtstreeks worden geleverd aan de entiteit die het meest geneigd is om fondsen te beschermen, de gebruiker. Enkele andere oplossingen van het type "firewall" die de transactie beschermen, zijn met name Shield, Hexagon en De TrustCheck van Web3Builders.

Verder gaan dan auditen: Vaak erkennen grote accountantskantoren de noodzaak van productisering om hun aanbod uit te breiden en hun bedrijven schaalbaarder te maken. Hoewel Halborn zich tegenwoordig voornamelijk richt op handmatige audits, bouwt het met de bedoeling om te brengen procesautomatiseringstools voor auditing en devops op de markt. Bedrijven als Quantstamp en Sherlock, een CoinFund-portfoliobedrijf, kiezen voor een andere benadering door het snijvlak van beveiligingsaudits en activaverzekering te verkennen.

Wat is belangrijk bij web3-beveiliging?

Op een hoog niveau zijn er een paar belangrijke thesispunten die mijn denken richting web3-beveiligingsontwikkeling sturen:

• Identificatie van de belangrijkste belanghebbenden op het gebied van beveiliging: Web3 introduceert een fundamentele verschuiving in hoe we denken over de doelmarkt van beveiligingsproducten en -diensten. Ontwikkelaars en projecten, gemotiveerd door de acceptatie van web3-producten, en gebruikers, gemotiveerd om hun bedrijfsmiddelen te beschermen, zijn de belangrijkste klanten voor beveiligingsoplossingen. Dit is anders dan bij web2, waar bedrijven wettelijk en economisch aansprakelijk waren voor de bescherming van gebruikersgegevens. In een wereld waarin gebruikers eigenaar zijn van hun eigen gegevens, erven ze ook de uitdaging om deze te beschermen en zullen ze de veiligste protocollen en nieuwe producten gebruiken waarmee gebruikers hun eigen activa rechtstreeks kunnen beveiligen.
• Preventie, beperking en respons: Beveiliging is een gelaagde aanpak (IBM) en er is behoefte aan continu en proactieve beveiligingsstrategie die niet wordt bereikt door de huidige (bijna exclusieve) focus op pre-launch auditing in web3. Code kan nooit volledig vrij van kwetsbaarheden zijn, waardoor real-time beperking van exploits en respons in web3 net zo noodzakelijk is als in web2.
• Een combinatie van traditionele security en web3 expertise: Beveiliging is van oudsher een zeer uitdagende en drukke markt waar het talent en de strategie van hackers voortdurend evolueert. Ondanks de vele duizenden beveiligingsstartups op de markt, heeft slechts een handjevol het doorbraakpotentieel bereikt. Kneedbare en snel itererende oprichters die traditionele beveiliging en het zich ontwikkelende web3-beveiligingslandschap door en door kennen, zijn zeer aantrekkelijk. Hoewel web3 nieuw is, zijn de fundamentele beveiligingsproblemen en -oplossingen goed begrepen. Daarom zullen beveiligingsonderzoekers die zich jarenlang hebben bezig gehouden met het begrijpen van kwetsbaarheden in technologie, de weg wijzen naar het beveiligen van web3

Waar we naar op zoek zijn in een investeringsmogelijkheid voor beveiliging

Bij CoinFund investeren we in bedrijven die blockchains gemakkelijker maken om op te bouwen, te gebruiken en veilig toegankelijk te maken. Schaalbare oplossingen, producten en netwerken die web3-beveiliging vooruit helpen, zijn belangrijke onderdelen van die visie. Teams die vanuit investeringsperspectief het meest aantrekkelijk zijn, zijn teams met (1) diepgaande web2-beveiligingsexpertise en een cryptonatieve kijk, (2) een vermogen om te identificeren "wie het meest geeft" om de beveiliging die ze bieden en effectief te verkopen aan die belanghebbenden of het nu gaat om protocolontwikkelaars of institutionele en individuele gebruikers, (3) een product of netwerk dat kan worden geschaald in overeenstemming met het vermogen van de onderliggende technologie om klanten te bedienen.

In de web3-beveiligingsmarkt zullen, net als in web2-beveiliging, duizenden oplossingen worden gecreëerd. Relatief weinigen zullen echter opschalen tot miljardenbedrijven en CoinFund streeft ernaar samen te werken met oprichters die ernaar streven om toonaangevende normen te worden naarmate de beveiligingsmarkt voor web3-technologie zich ontwikkelt. We willen investeren in teams die de web3-beveiligingstack uitbreiden. Als u een ontwikkelaarstool bouwt om ontwikkelaars te helpen bouwen met een security-first-mentaliteit, een oplossing die helpt de beveiligingsfocus uit te breiden van preventie naar mitigatie en respons, of een tool om dagelijkse blockchain-gebruikers te helpen hun activa te beschermen, dan zijn we op zoek naar Jij.

Er zijn veel gebieden van web3-beveiliging die we in dit bericht hebben weggelaten. Veilig sleutelbeheer, veilige bewaring en privacy zijn diep op zichzelf. Wat is voor u het belangrijkst op het gebied van web3-beveiliging? Ik hoor het graag in de comments of in mijn DM's. Ook als u een oplossing bouwt in de web3-beveiligingsruimte, zou ik graag met u willen praten. Proost!

TG: @isaiahwash

E-mail: isaiah@coinfund.io

[Bedankt aan het CoinFund-team en aan Mooley Sagiv(Certora), Jesse Tasman(Redefine), Don Ho(Quantstamp), Catrina Wang(Protocol Labs) en anderen voor hun hulp bij het verfijnen van mijn gedachten]

De standpunten die hier worden uitgedrukt, zijn die van het individuele personeel van CoinFund Management LLC ("CoinFund") dat wordt geciteerd en zijn niet de standpunten van CoinFund of zijn gelieerde ondernemingen. Bepaalde informatie in dit document is verkregen van externe bronnen, waaronder van portfoliobedrijven van fondsen die worden beheerd door CoinFund. Hoewel het is ontleend aan bronnen die betrouwbaar worden geacht, heeft CoinFund dergelijke informatie niet onafhankelijk geverifieerd en doet het geen uitspraken over de blijvende nauwkeurigheid van de informatie of de geschiktheid ervan voor een bepaalde situatie. Bovendien kan deze inhoud advertenties van derden bevatten; CoinFund heeft dergelijke advertenties niet beoordeeld en keurt de daarin opgenomen advertentie-inhoud niet goed.

Deze inhoud is uitsluitend bedoeld voor informatieve doeleinden en mag niet worden beschouwd als juridisch, zakelijk, investerings- of belastingadvies. U dient hierover uw eigen adviseurs te raadplegen. Verwijzingen naar effecten of digitale activa zijn alleen voor illustratieve doeleinden en vormen geen beleggingsaanbeveling of aanbod om beleggingsadviesdiensten te verlenen. Bovendien is deze inhoud niet gericht op of bedoeld voor gebruik door beleggers of potentiële beleggers, en mag er in geen geval op worden vertrouwd bij het nemen van een beslissing om te beleggen in een fonds dat wordt beheerd door CoinFund. (Een aanbod om te beleggen in een CoinFund-fonds wordt alleen gedaan door middel van het memorandum voor onderhandse plaatsing, de inschrijvingsovereenkomst en andere relevante documentatie van een dergelijk fonds en moet in hun geheel worden gelezen.) Alle genoemde, genoemde of genoemde beleggings- of portfoliobedrijven beschreven zijn niet representatief voor alle investeringen in voertuigen die door CoinFund worden beheerd, en er kan geen garantie worden gegeven dat de investeringen winstgevend zullen zijn of dat andere investeringen die in de toekomst worden gedaan vergelijkbare kenmerken of resultaten zullen hebben. Een lijst van investeringen die zijn gedaan door fondsen die worden beheerd door CoinFund (met uitzondering van investeringen waarvoor de uitgevende instelling CoinFund geen toestemming heeft gegeven om openbaar te maken, evenals onaangekondigde investeringen in openbaar verhandelde digitale activa) is beschikbaar op https://www.coinfund.io/portfolio.

De grafieken en grafieken die hierin worden verstrekt, zijn uitsluitend voor informatieve doeleinden en er mag niet op worden vertrouwd bij het nemen van een investeringsbeslissing. In het verleden behaalde resultaten zijn geen indicatie voor toekomstige resultaten. De inhoud spreekt alleen vanaf de aangegeven datum. Alle projecties, schattingen, voorspellingen, doelstellingen, vooruitzichten en/of meningen die in deze materialen worden uitgedrukt, kunnen zonder voorafgaande kennisgeving worden gewijzigd en kunnen verschillen of in strijd zijn met meningen van anderen.