Исайя Вашингтон
Более 3 миллиардов долларов было потеряно из-за эксплойтов смарт-контрактов в 2022 году (Chainalysis) демонстрирует незрелость ландшафта безопасности и недостаточное использование методов безопасности в web3. Фундаментальные различия между технологиями web2 и web3 создают новые возможности как для атаки, так и для защиты данных и активов пользователей, использующих блокчейн. Сегодня мировой рынок кибербезопасности оценивается примерно в 167 миллиардов долларов (McKinsey). По мере того, как web3 продвигается дальше по S-образной кривой внедрения, она будет включать как финансовые, так и нефинансовые данные, поэтому мы увидим как минимум рынок аналогичного размера для безопасности web3.
Безопасность Web3 не нарушена, но недостаточно развита. Нынешняя экосистема полузрелых компаний, занимающихся безопасностью веб-3, находится в зачаточном состоянии по сравнению с разнообразием типов решений безопасности в веб-2. Из всех компаний, занимающихся безопасностью web3, которые подняли серию A или имеют годовой доход более 3 миллионов долларов, большинство в основном основано на услугах, а аудит смарт-контрактов является основным ценностным предложением. Аудит — это ручной процесс тщательной проверки кода проекта и выявления уязвимостей безопасности. Хотя аудит является важной составляющей безопасности web3, в 167 году было зарегистрировано 2022 крупных взломов. Половина этих взломов касалась проверенных смарт-контрактов (Отчет о безопасности Beosin Web3), демонстрируя потребность в большей инфраструктуре безопасности и автоматизации.
Текущий ландшафт безопасности Web3
Развивающийся ландшафт компаний, занимающихся безопасностью web3, можно разделить на три основные категории: аудит, инструменты и сообщества. В инструментах и сообществах некоторые из областей, в которых мы видим большую активность на раннем этапе, — это разработка безопасного кода, непрерывный мониторинг или мониторинг во время выполнения, награды за ошибки безопасности и сообщества конкурентов, а также безопасность транзакций.
Безопасная разработка кода: Продукты безопасности должны быть интегрированы в процесс разработки. Решения, которые помогают разработчикам создавать с мышлением «прежде всего безопасность» и позволяют разработчикам предотвращать развертывание плохого кода, могут помочь сделать безопасность на уровне аудита более масштабируемой в web3. Отличным примером компании, отстаивающей этот тезис, является портфельная компания CoinFund. Certora, который предоставляет инструменты для защиты смарт-контрактов с формальной стратегией проверки и предназначен для минимизации уязвимостей смарт-контрактов перед развертыванием и предварительным аудитом. Примеры компаний, раздвигающих границы инноваций, включают инструменты непрерывной разработки безопасности, такие как Лаборатории Энигмы который развивается Dev0x, инструмент разработчика для оркестровки продуктов безопасности. Существуют также инструменты для тестирования и моделирования транзакций и экосистем, такие как Ласково, ХаосЛабскачества рукавица. Эти проекты вносят свой вклад в набор инструментов безопасности для разработчиков, позволяя разработчикам управлять выводом смарт-контракта и прогнозировать его до его развертывания.
Непрерывный/рабочий мониторинг: Такие компании, как Chainalysis и TRM Labs, собрали в общей сложности 686.5 млн долларов на посмертное обнаружение, расследование и анализ данных о борьбе с отмыванием денег. Однако на рынке существует пробел в решениях для мониторинга во время выполнения для упреждающего предотвращения эксплойтов безопасности. Осуществляя мониторинг в режиме реального времени и добавляя возможности прогнозирования для обнаружения и предотвращения эксплойтов, такие компании, как Форта и Сайверс строятся, чтобы восполнить этот пробел. Forta — это распределенная сеть для непрерывного мониторинга во время работы, а CyVers — это решение, которое использует машинное обучение для постоянного мониторинга нескольких сетей и автоматического обнаружения атак от имени бирж, хранителей и протоколов DeFi. (Смотрите также Диссертация CoinFund об ИИ подробнее о пересечении ИИ и криптографии). После обнаружения могут быть развернуты такие методы, как опережающее выполнение транзакций и автоматические прерыватели цепи, чтобы уменьшить потерю активов.
Сети безопасности/сообщества: Web3 развивается благодаря участию сообщества. Существуют сообщества разработчиков (например, Developer DAO), сообщества инвесторов (например, FlamingoDAO) и инфраструктура для финансовых сообществ (например, SyndicateDAO, Juicebox). Будут выигрышные решения и платформы для обеспечения безопасности, которые лучше всего объединят и мобилизуют профессионалов, занимающихся вопросами безопасности, для участия в обеспечении безопасности web3. Например, ImmuneFi, который недавно собрал 24 миллиона долларов для своей серии A, продемонстрировал силу использования сообщества для защиты кода для web3 путем создания и стимулирования сети белых хакеров для выявления уязвимостей и ошибок в смарт-контрактах. На сегодняшний день, Immunefi помог получить более 65 миллионов долларов в виде вознаграждений за обнаружение ошибок выплачивается этическим хакерам. Другие ранние примеры, подобные этому, включают Код4рена, Secure3качества PwnedNoMore. Распределенная сеть Forta стимулирует сеть специалистов по безопасности и любителей создавать и развертывать роботов-детекторов, смарт-контракты, которые обнаруживают вредоносные смарт-контракты и реагируют на них, предупреждая пользователей или создателей контракта. Forta использует свою сеть для создания решений на основе машинного обучения для обнаружения вредоносных смарт-контрактов .
Решения для безопасности потребительских и институциональных транзакций: продукты для обеспечения безопасности транзакций и кошельков, которые приобретаются пользователем dApp/протокола, будут играть важную роль в безопасности активов web3 как для частных лиц, так и для организаций. Решения также могут быть проданы самим кошелькам, чтобы сделать общий опыт использования кошелька более безопасным. В то время как кошельки также могут сами встраивать функции безопасности в свои продукты, ориентированные на безопасность решения, которые создают технологический ров с использованием проприетарных алгоритмов для обнаружения рисков и максимально упрощают интеграцию, будут выделяться среди остальных и послужат веским аргументом в пользу покупки. а не строить. Отличным примером построения компании в этом направлении является Пересмотрите, который обеспечивает оценку рисков транзакций в реальном времени и оповещения, которые информируются комбинацией механизмов моделирования и мониторинга транзакций в реальном времени и доставляются непосредственно пользователю, наиболее заинтересованному в защите средств. Некоторые другие решения типа «брандмауэра», специально защищающие транзакцию, включают Shield, Hexagon и Проверка доверия Web3Builders.
Выходя за рамки аудита: Часто крупные аудиторские фирмы признают необходимость продуктовизации, чтобы расширить свои предложения и сделать свои компании более масштабируемыми. Halborn, хотя сегодня и занимается в основном ручным аудитом, строит с намерением принести инструменты автоматизации процессов для аудита и devops на рынок. Такие компании, как Quantstamp и Шерлок, портфельная компания CoinFund, использует другой подход, исследуя пересечение аудита безопасности и страхования активов.
Что важно в безопасности web3?
На высоком уровне есть несколько ключевых тезисов, которые подталкивают меня к разработке безопасности для веб-3:
- Определение ключевых заинтересованных сторон в области безопасности: Web3 вносит фундаментальный сдвиг в наши представления о целевом рынке продуктов и услуг в области безопасности. Разработчики и проекты, мотивированные внедрением продуктов web3, и пользователи, заинтересованные в защите своих активов, являются наиболее важными клиентами решений для обеспечения безопасности. Это отличается от web2, где предприятия несут юридическую и экономическую ответственность за защиту пользовательских данных. В мире, где пользователи владеют своими собственными данными, они также унаследовали проблему их защиты и будут использовать самые безопасные протоколы и новые продукты, которые позволяют пользователям напрямую защищать свои собственные активы.
- Предотвращение, смягчение последствий и реагирование: Безопасность — это многоуровневый подход (IBM) и необходимо непрерывное и упреждающая стратегия безопасности, которая не достигается сегодняшним (почти исключительным) акцентом на аудит перед запуском в web3. Код никогда не может быть полностью свободен от уязвимостей, поэтому устранение эксплойтов в режиме реального времени и реагирование на них необходимы в web3, как и в web2.
- Сочетание традиционной безопасности и опыта web3: Безопасность исторически является очень сложным и переполненным рынком, где талант и стратегия хакеров постоянно развиваются. Несмотря на многие тысячи стартапов в области безопасности на рынке, лишь немногие достигли прорывного потенциала. Податливые и быстро меняющиеся основатели, хорошо знакомые с традиционной безопасностью и развивающимся ландшафтом безопасности web3, наиболее привлекательны. Хотя web3 является новым, основные проблемы безопасности и решения хорошо известны. Таким образом, исследователи безопасности, которые потратили годы на изучение уязвимостей в технологиях, проложат путь к обеспечению безопасности web3.
Что мы ищем в инвестиционной возможности безопасности
В CoinFund мы инвестируем в компании, которые упрощают создание, использование и безопасный доступ к блокчейнам. Масштабируемые решения, продукты и сети, продвигающие безопасность web3 вперед, являются важными элементами этого видения. Команды, которые наиболее привлекательны с точки зрения инвестиций, — это команды с (1) глубокими знаниями в области безопасности web2, а также криптографическим взглядом, (2) способностью определять, «кто больше всего заботится» о безопасности, которую они обеспечивают, и эффективно продавать этим заинтересованным сторонам. будь то разработчики протокола или институциональные и индивидуальные пользователи, (3) продукт или сеть, которые могут масштабироваться в соответствии со способностью базовой технологии обслуживать клиентов.
На рынке безопасности web3, как и в случае с безопасностью web2, будут созданы тысячи решений. Тем не менее, сравнительно немногие из них будут масштабироваться до миллиардных предприятий, и CoinFund стремится сотрудничать с основателями, стремящимися стать ведущими в отрасли стандартами по мере развития рынка безопасности для технологии web3. Мы хотим инвестировать в команды, которые расширяют стек безопасности web3. Если вы создаете инструмент разработчика, чтобы помочь разработчикам создавать с мышлением, ориентированным на безопасность, решение, которое помогает расширить фокус безопасности с предотвращения на смягчение последствий и реагирование, или инструмент, который поможет повседневным пользователям блокчейна защищать свои активы, мы ищем ты.
Есть много областей безопасности web3, которые мы не рассмотрели в этом посте. Безопасное управление ключами, безопасное хранение и конфиденциальность важны сами по себе. Что для вас важнее всего в безопасности web3? Буду рад услышать в комментариях или в личных сообщениях. Кроме того, если вы создаете решение в области безопасности web3, я бы хотел пообщаться. Ваше здоровье!
ХГ: @isaiahwash
Электронная почта: isaiah@coinfund.io
[Спасибо команде CoinFund, а также Мули Сагиву (Certora), Джесси Тасману (Redefine), Дону Хо (Quantstamp), Катрине Ванг (Protocol Labs) и другим за помощь в уточнении моих мыслей]
Высказанные здесь мнения принадлежат отдельным цитируемым сотрудникам CoinFund Management LLC («CoinFund») и не являются мнением CoinFund или его аффилированных лиц. Определенная информация, содержащаяся здесь, была получена из сторонних источников, в том числе от портфельных компаний фондов, управляемых CoinFund. Несмотря на то, что CoinFund брала информацию из источников, считающихся надежными, она не проверяла эту информацию независимо и не делала никаких заявлений о неизменной точности информации или ее уместности в данной ситуации. Кроме того, этот контент может включать стороннюю рекламу; CoinFund не просматривал такие рекламные объявления и не одобрял какой-либо рекламный контент, содержащийся в них.
Этот контент предоставляется только в информационных целях и не может рассматриваться как юридическая, деловая, инвестиционная или налоговая консультация. Вы должны проконсультироваться со своими советниками по этим вопросам. Ссылки на любые ценные бумаги или цифровые активы предназначены только для иллюстративных целей и не представляют собой инвестиционную рекомендацию или предложение предоставить консультационные услуги по инвестициям. Кроме того, этот контент не предназначен и не предназначен для использования какими-либо инвесторами или потенциальными инвесторами, и на него ни при каких обстоятельствах нельзя полагаться при принятии решения об инвестировании в какой-либо фонд, управляемый CoinFund. (Предложение инвестировать в фонд CoinFund будет сделано только в меморандуме о частном размещении, договоре о подписке и другой соответствующей документации любого такого фонда, и их следует читать полностью.) Любые инвестиции или портфельные компании, упомянутые, упомянутые или описанные не являются репрезентативными для всех инвестиций в транспортные средства, управляемые CoinFund, и нет никаких гарантий, что инвестиции будут прибыльными или что другие инвестиции, сделанные в будущем, будут иметь аналогичные характеристики или результаты. Список инвестиций, сделанных фондами, управляемыми CoinFund (за исключением инвестиций, для которых эмитент не предоставил CoinFund разрешение на публичное раскрытие, а также необъявленных инвестиций в публично торгуемые цифровые активы), доступен по адресу https://www.coinfund.io/portfolio.
Диаграммы и графики, представленные в нем, предназначены исключительно для информационных целей, и на них не следует полагаться при принятии каких-либо инвестиционных решений. Прошлые показатели не свидетельствуют о будущих результатах. Содержание говорит только по состоянию на указанную дату. Любые прогнозы, оценки, прогнозы, цели, перспективы и/или мнения, выраженные в этих материалах, могут быть изменены без предварительного уведомления и могут отличаться или противоречить мнениям, выраженным другими.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://blog.coinfund.io/web3-security-securing-the-path-to-crypto-adoption-e6552d0dd844?source=rss----f5f136d48fc3---4
- 1
- 2022
- a
- способность
- О нас
- выше
- доступ
- выполнено
- точность
- деятельность
- дополнение
- Принятие
- Реклама
- совет
- консультативный
- консультационные услуги
- филиалы
- После
- AG
- ДОГОВОР
- AI
- Цель
- алгоритмы
- Все
- Позволяющий
- AML
- анализ
- и
- и инфраструктура
- годовой
- ГОДОВОЙ ДОХОД
- Другой
- подхода
- AR
- области
- оценки
- активы
- Активы
- гарантия
- атаковать
- нападки
- привлекательный
- аудит
- аудит
- аудит
- Автоматизированный
- автоматически
- автоматизация
- доступен
- Плохой
- BD
- становление
- до
- распространенной
- ЛУЧШЕЕ
- между
- Beyond
- миллиард
- блокчейн
- блокчейны
- боты
- Границы
- щедроты
- ширина
- Приведение
- Сломанный
- Ошибка
- баги
- ошибки
- строить
- Строительство
- бизнес
- бизнес
- кнопка
- покупка
- возможности
- случаев
- категории
- определенный
- chainalysis
- вызов
- сложные
- Отстаивание
- изменение
- характеристика
- обстоятельства
- клиентов
- код
- coinfund
- сочетание
- сочетании
- Комментарии
- Сообщества
- сообщество
- Компании
- Компания
- сравнительно
- сравненный
- конкурс
- полностью
- постоянно
- составлять
- содержание
- (CIJ)
- непрерывно
- контракт
- вопреки
- содействие
- Создайте
- создали
- Создающий
- Создатели
- крипто-
- Криптопринятие
- Текущий
- хранители
- Содержание под стражей
- Клиенты
- Информационная безопасность
- DAO
- данным
- анализ данных
- Время
- день
- решение
- глубоко
- Defi
- Протоколы DeFi
- поставляется
- убивают
- демонстрирующий
- развертывание
- развернуть
- развертывание
- описано
- предназначенный
- Несмотря на
- обнаружение
- Дев
- Застройщик
- застройщиков
- развивающийся
- Разработка
- развивается
- DevOps
- Devs
- отличаться
- Различия
- различный
- Интернет
- Цифровые активы
- направление
- непосредственно
- Раскрывать
- распределенный
- Распределенная сеть
- документации
- Доллар
- управлять
- управляемый
- Рано
- легче
- EC
- экосистема
- ed
- фактически
- одобрять
- выносливый
- заниматься
- обязательство
- цельность
- организация
- По оценкам,
- Оценки
- Эфир (ETH)
- этический
- Каждая
- каждый день
- развивается
- пример
- Примеры
- Биржи
- без учета
- Эксклюзивные
- Расширьте
- расширяющийся
- опыт
- опыта
- Эксплуатировать
- использует
- Исследование
- выраженный
- Глаза
- облегчается
- FB
- fc
- несколько
- заполнять
- финансовый
- Компаний
- соответствовать
- поток
- Фокус
- фокусировка
- следовать
- формальный
- вперед
- Учредителями
- от
- функциональность
- фонд
- фундаментальный
- средства
- далее
- Более того
- будущее
- разрыв
- ge
- данный
- Глобальный
- GM
- Go
- GP
- Графики
- большой
- GV
- Хакеры
- взломы
- Халборн
- Половина
- горсть
- помощь
- помощь
- помогает
- здесь
- hi
- High
- Выделите
- исторически
- Как
- Однако
- HT
- HTTPS
- IBM
- определения
- Иммунофи
- важную
- in
- incentivizes
- включают
- В том числе
- самостоятельно
- individual
- лиц
- промышленность
- информация
- Информационный
- сообщил
- Инфраструктура
- Инновации
- Институциональная
- учреждения
- страхование
- интегрированный
- интеграции.
- Намерение
- пересечение
- Представляет
- Грин- карта инвестору
- ходе расследования,
- инвестиций
- Вложения
- инвестор
- Инвесторы
- IP
- эмитент
- IT
- Основные
- Знать
- Labs
- пейзаж
- слоистый
- вести
- ведущий
- Юр. Информация
- уровень
- Используя
- LG
- линия
- Список
- ООО
- ln
- посмотреть
- искать
- от
- серия
- любят
- LP
- машина
- сделанный
- Главная
- основной
- Большинство
- сделать
- ДЕЛАЕТ
- Создание
- управлять
- управляемого
- управление
- руководство
- многих
- рынок
- материалы
- Вопросы
- макс-ширина
- McKinsey
- средний
- Меморандум
- упомянутый
- Мышление
- минимальный
- смягчать
- смягчение
- MJ
- ML
- монитор
- Мониторинг
- БОЛЕЕ
- самых
- мотивированные
- MS
- MT
- с разными
- рождающийся
- необходимо
- Необходимость
- сеть
- сетей
- Новые
- новые продукты
- роман
- полученный
- предлагают
- предлагающий
- Предложения
- часто
- ONE
- Мнения
- Возможности
- оркестровка
- Другие контрактные услуги
- Другое
- общий
- собственный
- выплачен
- партнер
- мимо
- путь
- производительность
- разрешение
- Персонал
- перспектива
- штук
- мародерство
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- пунктов
- «портфель»
- возможное
- После
- потенциал
- мощностью
- практиками
- предсказывать
- предотвращать
- предотвращение
- Предварительный
- политикой конфиденциальности.
- частная
- Проактивная
- проблемам
- процесс
- Продукт
- Продукция
- Продукты и услуги
- профессионалы
- выгодную
- Прогнозы
- проектов
- предложение.
- ( изучите наши патенты),
- предполагаемый
- перспектива
- для защиты
- защищающий
- защиту
- протокол
- Лаборатории протоколов
- протоколы
- обеспечивать
- при условии
- приводит
- публично
- купленный
- целей
- Push
- Нажимать
- Quantstamp
- поднятый
- достиг
- Читать
- реального времени
- признавать
- Рекомендация
- Рекомендации
- назвало
- соответствующие
- складская
- представитель
- исследователи
- Реагируйте
- ответ
- ОТДЫХ
- Итоги
- доходы
- отзывы
- Снижение
- Роли
- безопасный
- безопасно
- масштабируемые
- Шкала
- безопасный
- обеспечение
- Ценные бумаги
- безопасность
- исследователи безопасности
- продаем
- Серии
- Серия A
- служить
- Услуги
- набор
- Щит
- сдвиг
- должен
- аналогичный
- моделирование
- ситуация
- умный
- умный контракт
- So
- проданный
- Решение
- Решения
- некоторые
- Источники
- Space
- Говорит
- конкретно
- потраченный
- стек
- заинтересованных сторон
- стоять
- стандартов
- Стартапы
- Стратегия
- сильный
- предмет
- подписка
- такие
- с
- Талант
- цель
- направлена против
- налог
- команда
- команды
- снижения вреда
- технологический
- технологии
- Технологии
- Тестирование
- Ассоциация
- CoinFund
- Будущее
- информация
- их
- сами
- следовательно
- в нем
- мышление
- сторонние
- тысячи
- три
- в
- сегодня
- Сегодняшних
- инструментом
- инструменты
- к
- торговал
- традиционный
- сделка
- правда
- Типы
- под
- лежащий в основе
- понимание
- использование
- Информация о пользователе
- пользователей
- ценностное
- Транспорт
- проверка
- проверено
- Вид
- Просмотры
- видение
- Уязвимости
- Кошелек
- Кошельки
- Вашингтон
- Web2
- Web3
- веб3 технологии
- технология web3
- Что
- Что такое
- который
- в то время как
- КТО
- будете
- победа
- в
- без
- Работа
- Мир
- лет
- ВАШЕ
- зефирнет