por Isaías Washington
$ 3 bilhões + perdidos para explorações de contratos inteligentes em 2022 (Chainalysis) expõe a imaturidade do cenário de segurança e a subutilização de práticas de segurança em web3. As diferenças fundamentais entre as tecnologias web2 e web3 criam novas oportunidades para atacar e proteger os dados e ativos dos usuários que utilizam o blockchain. Hoje, o mercado global de segurança cibernética é estimado em cerca de US$ 167 bilhões (McKinsey). À medida que o web3 avança na curva S de adoção, ele incluirá dados financeiros e não financeiros, de modo que veremos um mercado de tamanho semelhante para a segurança do web3, no mínimo.
A segurança do Web3 não está quebrada, mas subdesenvolvida. O ecossistema atual de empresas de segurança web3 semi-maduras é incipiente em comparação com a variedade de tipos de soluções de segurança na web2. De todas as empresas de segurança da web3 que levantaram uma Série A ou estão acima de US$ 3 milhões em receita anual, a maioria é baseada em serviços com auditorias de contratos inteligentes como a principal proposta de valor. A auditoria é um processo manual para examinar o código de um projeto e destacar as vulnerabilidades de segurança. Embora a auditoria seja um pilar importante da segurança da web3, houve 167 grandes hacks em 2022. Metade desses hacks foram de contratos inteligentes auditados (Beosin Web3 Relatório de Segurança), demonstrando a necessidade de mais infraestrutura de segurança e automação.
O Cenário Atual de Segurança Web3
O cenário em desenvolvimento das empresas de segurança web3 pode ser separado em três categorias principais: auditoria, ferramentas e comunidades. Dentro de ferramentas e comunidades, algumas das áreas em que vemos muita atividade inicial são desenvolvimento de código seguro, monitoramento contínuo ou em tempo de execução, recompensas de bugs de segurança e comunidades de competição e segurança de transação.
Desenvolvimento de código seguro: Os produtos de segurança precisam ser integrados ao fluxo do desenvolvedor. As soluções que ajudam os desenvolvedores a criar com uma mentalidade de “segurança em primeiro lugar” e permitem que os desenvolvedores evitem a implantação de códigos ruins podem ajudar a tornar a segurança em nível de auditoria mais escalável na web3. Um ótimo exemplo de empresa que defende essa tese é a empresa do portfólio da CoinFund Certora, que fornece ferramentas para proteger contratos inteligentes com estratégia de verificação formal e é projetado para minimizar vulnerabilidades de contratos inteligentes antes da implantação e pré-auditoria. Exemplos de empresas que ultrapassam os limites da inovação aqui incluem ferramentas de desenvolvimento de segurança contínua, como Laboratórios Enigma que está se desenvolvendo Dev0x, uma ferramenta de desenvolvedor para orquestração de produtos de segurança. Existem também ferramentas de teste e simulação de transações e ecossistemas, como Ternamente, ChaosLabs e Gauntlet. Esses projetos estão contribuindo para o conjunto de ferramentas de segurança do desenvolvedor, permitindo que os desenvolvedores gerenciem e prevejam a saída do contrato inteligente antes de sua implantação.
Monitoramento Contínuo/Tempo de Execução: Empresas como Chainalysis e TRM Labs arrecadaram US$ 686.5 milhões para detecção, investigação e análise de dados de AML post-mortem. No entanto, há uma lacuna no mercado de soluções de monitoramento de tempo de execução para a prevenção proativa de exploits de segurança. Ao adotar o monitoramento em tempo real e adicionar recursos preditivos para detecção e prevenção de exploits, empresas como Fortaleza e Civers estão construindo para preencher essa lacuna. Forta é uma rede distribuída para monitoramento contínuo em tempo de execução e CyVers é uma solução que aproveita o aprendizado de máquina para monitorar continuamente várias redes e detectar automaticamente ataques em nome de trocas, custodiantes e protocolos DeFi. (Veja também Tese da CoinFund sobre IA para saber mais sobre a interseção de IA e criptografia). Após a detecção, técnicas como front-running de transação e disjuntores automatizados podem ser implantados para mitigar a perda de ativos.
Redes/Comunidades de Segurança: Web3 é impulsionado pelo envolvimento da comunidade. Existem comunidades de desenvolvedores (ou seja, Developer DAO), comunidades de investidores (ou seja, FlamingoDAO) e infraestrutura para comunidades financeiras (ou seja, SyndicateDAO, Juicebox). Haverá soluções e plataformas de segurança vencedoras que melhor agregam e mobilizam profissionais focados em segurança para se envolverem na proteção da web3. Por exemplo, ImmuneFi, que levantou recentemente $ 24M para sua Série A, demonstrou o poder de alavancar a comunidade para proteger o código da web3 criando e incentivando uma rede de hackers de chapéu branco para identificar vulnerabilidades e bugs em contratos inteligentes. A data, Immunefi facilitou mais de $ 65 milhões em recompensas de bugs pagos a hackers éticos. Outros exemplos iniciais como este incluem Code4rena, Seguro 3 e PwnedNoMais. A rede distribuída da Forta incentiva uma rede de profissionais de segurança e amadores a criar e implantar bots de detecção, contratos inteligentes que detectam e respondem a contratos inteligentes maliciosos, alertando os usuários ou criadores do contrato. Forta aproveitando sua rede para criar soluções baseadas em aprendizado de máquina para detectar contratos inteligentes maliciosos .
Soluções de segurança para transações institucionais e de consumo: os produtos de segurança de carteira e transação voltados para o usuário que são adquiridos pelo usuário de um dApp/protocolo desempenharão um papel importante na segurança de ativos da web3 para indivíduos e instituições. As soluções também podem ser vendidas para as próprias carteiras como forma de tornar a experiência geral de uso da carteira mais segura. Embora as carteiras também possam trabalhar para incorporar a funcionalidade de segurança em seus próprios produtos, as soluções focadas em segurança que constroem um fosso tecnológico usando algoritmos proprietários para detectar riscos e tornar a integração o mais fácil possível se destacarão acima do resto e serão um forte argumento para a compra em vez de construir. Um grande exemplo de uma empresa construindo nessa direção é redefinir, que fornece avaliações de risco de transação em tempo real e alertas que são informados por uma combinação de simulação de transação em tempo real e mecanismos de monitoramento e são entregues diretamente à entidade mais incentivada a proteger os fundos, o usuário. Algumas outras soluções do tipo “firewall” que protegem o transactor incluem especificamente Shield, Hexagon e Verificação de confiança do Web3Builders.
Indo além da auditoria: Muitas vezes, as principais empresas de auditoria reconhecem a necessidade de produtização para expandir suas ofertas e tornar suas empresas mais escaláveis. A Halborn, embora focando principalmente em auditorias manuais hoje, está construindo com a intenção de trazer ferramentas de automação de processos para auditoria e devops para o mercado. Empresas como Quantstamp e Sherlock, uma empresa do portfólio da CoinFund, está adotando outra abordagem, explorando a interseção de auditoria de segurança e seguro de ativos.
O que é importante na segurança web3?
Em um alto nível, existem alguns pontos-chave de tese que direcionam meu pensamento para o desenvolvimento de segurança web3:
- Identificação das principais partes interessadas na segurança: Web3 introduz uma mudança fundamental na forma como pensamos sobre o mercado-alvo de produtos e serviços de segurança. Desenvolvedores e projetos, motivados pela adoção de produtos web3, e usuários, motivados a proteger seus ativos, são os clientes mais importantes de soluções de segurança. Isso é diferente da web2, onde as empresas eram legal e economicamente responsáveis pela proteção dos dados do usuário. Em um mundo onde os usuários possuem seus próprios dados, eles também herdam o desafio de protegê-los e usarão os protocolos mais seguros e novos produtos que permitem aos usuários proteger seus próprios ativos diretamente.
- Prevenção, mitigação e resposta: A segurança é uma abordagem em camadas (IBM) e há uma necessidade de contínua e estratégia de segurança proativa que não é alcançada pelo foco atual (quase exclusivo) na auditoria de pré-lançamento na web3. O código nunca pode estar completamente livre de vulnerabilidades, o que torna a mitigação e a resposta de exploits em tempo real necessárias tanto na web3 quanto na web2.
- Uma combinação de segurança tradicional e experiência em web3: A segurança é historicamente um mercado muito desafiador e lotado, onde o talento e a estratégia dos hackers estão em constante evolução. Apesar dos muitos milhares de startups de segurança no mercado, apenas um punhado atingiu o potencial de ruptura. Os fundadores maleáveis e de iteração rápida que conhecem intimamente a segurança tradicional e o cenário de segurança web3 em desenvolvimento são os mais atraentes. Embora o web3 seja novo, problemas e soluções de segurança fundamentais são bem compreendidos. Portanto, os pesquisadores de segurança que passaram anos entendendo as vulnerabilidades na tecnologia liderarão o caminho para proteger o web3
O que procuramos em uma oportunidade de segurança que pode ser investida
No CoinFund, investimos em empresas que estão tornando as blockchains mais fáceis de construir, usar e acessar com segurança. Soluções, produtos e redes escalonáveis que impulsionam a segurança da web3 são partes importantes dessa visão. As equipes mais atraentes, do ponto de vista do investimento, são equipes com (1) profundo conhecimento em segurança da Web2, bem como uma visão criptoativa, (2) uma capacidade de identificar “quem se importa” mais com a segurança que eles fornecem e vender efetivamente para essas partes interessadas sejam eles desenvolvedores de protocolos ou usuários institucionais e individuais, (3) um produto ou rede que pode escalar de acordo com a capacidade da tecnologia subjacente de atender os clientes.
No mercado de segurança web3, como foi o caso da segurança web2, milhares de soluções serão criadas. No entanto, comparativamente poucos serão escalados para negócios de bilhões de dólares e o CoinFund pretende fazer parceria com fundadores com o objetivo de se tornarem os principais padrões do setor à medida que o mercado de segurança para a tecnologia web3 se desenvolve. Queremos investir em equipes que estão expandindo a pilha de segurança web3. Se você está criando uma ferramenta de desenvolvedor para ajudar os desenvolvedores a criar com uma mentalidade de segurança em primeiro lugar, uma solução que ajuda a expandir o foco de segurança da prevenção para a mitigação e resposta, ou uma ferramenta para ajudar todos os dias os usuários de blockchain a proteger seus ativos, estamos procurando você.
Existem muitas áreas de segurança web3 que deixamos de fora deste post. O gerenciamento seguro de chaves, a custódia segura e a privacidade são profundos por si mesmos. O que é mais importante em segurança web3 para você? Adoraria ouvir nos comentários ou nas minhas DMs. Além disso, se você estiver criando uma solução no espaço de segurança web3, adoraria conversar. Saúde!
TG: @isaiahwash
E-mail: isaiah@coinfund.io
[Obrigado à equipe CoinFund, bem como a Mooley Sagiv (Certora), Jesse Tasman (Redefine), Don Ho (Quantstamp), Catrina Wang (Protocol Labs) e outros por me ajudarem a refinar meus pensamentos]
As opiniões expressas aqui são as do pessoal individual da CoinFund Management LLC (“CoinFund”) citadas e não são as opiniões da CoinFund ou de suas afiliadas. Certas informações aqui contidas foram obtidas de fontes de terceiros, inclusive de empresas do portfólio de fundos administrados pela CoinFund. Embora retirado de fontes consideradas confiáveis, o CoinFund não verificou essas informações de forma independente e não faz representações sobre a precisão duradoura das informações ou sua adequação a uma determinada situação. Além disso, esse conteúdo pode incluir anúncios de terceiros; A CoinFund não revisou tais anúncios e não endossa nenhum conteúdo publicitário neles contido.
Este conteúdo é fornecido apenas para fins informativos e não deve ser considerado como aconselhamento jurídico, comercial, de investimento ou fiscal. Você deve consultar seus próprios conselheiros sobre esses assuntos. As referências a quaisquer valores mobiliários ou ativos digitais são apenas para fins ilustrativos e não constituem uma recomendação de investimento ou oferta para fornecer serviços de consultoria de investimento. Além disso, este conteúdo não é direcionado nem destinado ao uso por quaisquer investidores ou potenciais investidores, e não pode, em nenhuma circunstância, ser invocado ao tomar uma decisão de investir em qualquer fundo administrado pela CoinFund. (Uma oferta para investir em um fundo CoinFund será feita apenas pelo memorando de colocação privada, contrato de subscrição e outra documentação relevante de tal fundo e deve ser lida na íntegra.) Quaisquer investimentos ou empresas de portfólio mencionados, referidos ou descritos não são representativos de todos os investimentos em veículos administrados pela CoinFund, e não pode haver garantia de que os investimentos serão rentáveis ou que outros investimentos feitos no futuro terão características ou resultados semelhantes. Uma lista de investimentos feitos por fundos administrados pela CoinFund (excluindo investimentos para os quais o emissor não deu permissão para a CoinFund divulgar publicamente, bem como investimentos não anunciados em ativos digitais negociados publicamente) está disponível em https://www.coinfund.io/portfolio.
Os gráficos e gráficos fornecidos são apenas para fins informativos e não devem ser considerados ao tomar qualquer decisão de investimento. O desempenho passado não é indicativo de resultados futuros. O conteúdo fala apenas a partir da data indicada. Quaisquer projeções, estimativas, previsões, metas, perspectivas e/ou opiniões expressas nestes materiais estão sujeitas a alterações sem aviso prévio e podem diferir ou ser contrárias às opiniões expressas por outros.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://blog.coinfund.io/web3-security-securing-the-path-to-crypto-adoption-e6552d0dd844?source=rss—-f5f136d48fc3—4
- 1
- 2022
- a
- habilidade
- Sobre
- acima
- Acesso
- realizado
- precisão
- atividade
- Adição
- Adoção
- Publicidade
- conselho
- consultivo
- serviços de consultoria
- Afiliados
- Depois de
- AG
- Acordo
- AI
- visa
- algoritmos
- Todos os Produtos
- Permitindo
- AML
- análise
- e
- e infra-estrutura
- anual
- RECEITA ANUAL
- Outro
- abordagem
- AR
- áreas
- avaliações
- ativo
- Ativos
- garantia
- ataque
- Ataques
- atraente
- auditadas
- auditoria
- auditorias
- Automatizado
- automaticamente
- Automação
- disponível
- Mau
- BD
- tornando-se
- antes
- Acredita
- MELHOR
- entre
- Pós
- bilhão
- blockchain
- blockchains
- bots
- limites
- recompensas
- largura
- Trazendo
- Quebrado
- Bug
- recompensas de bugs
- erros
- construir
- Prédio
- negócio
- negócios
- botão
- Comprar
- capacidades
- casas
- Categorias
- certo
- chainalysis
- desafiar
- desafiante
- campeão
- alterar
- características
- circunstâncias
- clientes
- código
- coinfund
- combinação
- combinado
- comentários
- Comunidades
- comunidade
- Empresas
- Empresa
- comparativamente
- comparado
- competição
- completamente
- constantemente
- constituir
- conteúdo
- contínuo
- continuamente
- contract
- contrário
- contribuindo
- crio
- criado
- Criar
- criadores
- cripto
- Adoção de criptografia
- Atual
- custódios
- Custódia
- Clientes
- Cíber segurança
- DAO
- dados,
- análise de dados
- Data
- dia
- decisão
- profundo
- DeFi
- Protocolos DeFi
- entregue
- demonstraram
- demonstrando
- implantar
- implantado
- desenvolvimento
- descrito
- projetado
- Apesar de
- Detecção
- Dev
- Developer
- desenvolvedores
- em desenvolvimento
- Desenvolvimento
- desenvolve
- DevOps
- Devs
- diferir
- diferenças
- diferente
- digital
- Ativos Digitais
- direção
- diretamente
- Divulgar
- distribuído
- Rede Distribuída
- documentação
- Dólar
- distância
- dirigido
- Cedo
- mais fácil
- EC
- ecossistema
- ed
- efetivamente
- endossar
- duradouro
- engajar
- COMPROMETIMENTO
- totalidade
- entidade
- estimado
- estimativas
- Éter (ETH)
- considerações éticas
- Cada
- todo dia
- evolução
- exemplo
- exemplos
- Trocas
- excluindo
- Exclusivo
- Expandir
- expansão
- vasta experiência
- experiência
- Explorar
- façanhas
- Explorando
- expressa
- Olhos
- facilitado
- FB
- fc
- poucos
- preencher
- financeiro
- empresas
- caber
- fluxo
- Foco
- focando
- seguir
- formal
- para a frente
- fundadores
- da
- funcionalidade
- fundo
- fundamental
- fundos
- mais distante
- Além disso
- futuro
- lacuna
- ge
- dado
- Global
- GM
- Go
- GP
- gráficos
- ótimo
- GV
- hackers
- hacks
- Halborn
- Metade
- punhado
- ajudar
- ajuda
- ajuda
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- hi
- Alta
- Destaques
- historicamente
- Como funciona o dobrador de carta de canal
- Contudo
- HT
- HTTPS
- IBM
- identificar
- Imune
- importante
- in
- incentiva
- incluir
- Incluindo
- independentemente
- Individual
- indivíduos
- indústria
- INFORMAÇÕES
- Informativa
- informado
- Infraestrutura
- Inovação
- DOCUMENTOS
- instituições
- com seguro
- integrado
- integração
- Intenção
- interseção
- Introduz
- Investir
- investigação
- investimento
- Investimentos
- investidor
- Investidores
- IP
- Emissora
- IT
- Chave
- Saber
- Laboratório
- paisagem
- em camadas
- conduzir
- principal
- Legal
- Nível
- aproveitando
- LG
- Line
- Lista
- LLC
- ln
- olhar
- procurando
- fora
- lote
- gosta,
- LP
- máquina
- moldadas
- a Principal
- principal
- Maioria
- fazer
- FAZ
- Fazendo
- gerencia
- gerenciados
- de grupos
- manual
- muitos
- mercado
- materiais
- Matéria
- max-width
- McKinsey
- média
- Memorando
- mencionado
- Mindset
- mínimo
- Mitigar
- mitigação
- MJ
- ML
- Monitore
- monitoração
- mais
- a maioria
- motivados
- MS
- MT
- múltiplo
- nascente
- necessário
- você merece...
- rede
- redes
- Novo
- novos produtos
- romance
- obtido
- oferecer
- oferecendo treinamento para distância
- Ofertas
- muitas vezes
- ONE
- Opiniões
- oportunidades
- orquestração
- Outros
- Outros
- global
- próprio
- pago
- parceiro
- passado
- caminho
- atuação
- permissão
- Pessoal
- perspectiva
- peças
- Pilar
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- Jogar
- pontos
- pasta
- possível
- Publique
- potencial
- poder
- práticas
- predizer
- evitar
- Prevenção
- Prévio
- política de privacidade
- privado
- Proactive
- problemas
- processo
- Produto
- Produtos
- Produtos e Serviços
- rentável
- projeções
- projetos
- proposição
- proprietário
- em perspectiva
- perspectivas
- proteger
- proteger
- proteção
- protocolo
- Protocol Labs
- protocolos
- fornecer
- fornecido
- fornece
- publicamente
- comprado
- fins
- Empurrar
- Empurrando
- Quantstamp
- angariado
- alcançado
- Leia
- em tempo real
- reconhecer
- Recomendação
- referências
- a que se refere
- relevante
- confiável
- representante
- pesquisadores
- Responder
- resposta
- DESCANSO
- Resultados
- receita
- Comentários
- Risco
- Tipo
- seguro
- seguramente
- escalável
- Escala
- seguro
- assegurando
- Valores mobiliários
- segurança
- pesquisadores de segurança
- vender
- Série
- Série A
- servir
- Serviços
- conjunto
- Proteger
- mudança
- rede de apoio social
- semelhante
- simulação
- situação
- smart
- smart contract
- So
- vendido
- solução
- Soluções
- alguns
- Fontes
- Espaço
- fala
- especificamente
- gasto
- pilha
- partes interessadas
- suporte
- padrões
- Startups
- Estratégia
- mais forte,
- sujeito
- tudo incluso
- tal
- tomar
- Talento
- Target
- tem como alvo
- imposto
- Profissionais
- equipes
- técnicas
- tecnológica
- Tecnologias
- Tecnologia
- ensaio
- A
- O CoinFund
- O Futuro
- as informações
- deles
- si mesmos
- assim sendo
- lá no
- Pensando
- De terceiros
- milhares
- três
- para
- hoje
- hoje
- ferramenta
- ferramentas
- para
- negociadas
- tradicional
- transação
- verdadeiro
- tipos
- para
- subjacente
- compreensão
- usar
- Utilizador
- usuários
- valor
- Veículos
- Verificação
- verificado
- Ver
- visualizações
- visão
- vulnerabilidades
- Wallet
- Carteiras
- Washington
- Web2
- Web3
- tecnologias web3
- tecnologia web3
- O Quê
- O que é a
- qual
- enquanto
- QUEM
- precisarão
- vitória
- dentro
- sem
- Atividades:
- mundo
- anos
- investimentos
- zefirnet