avtorja Isaiah Washington

V letu 3 zaradi izkoriščanja pametnih pogodb izgubljenih več kot 2022 milijarde USD (Haainaliza) razkriva nezrelost varnostnega okolja in premajhno uporabo varnostnih praks v web3. Temeljne razlike med tehnologijama web2 in web3 ustvarjajo nove priložnosti za napad in zaščito podatkov in sredstev uporabnikov, ki uporabljajo blockchain. Danes je svetovni trg kibernetske varnosti ocenjen na približno 167 milijard USD (McKinsey). Ko bo web3 napredoval po S-krivulji sprejemanja, bo vključeval tako finančne kot nefinančne podatke, tako da bomo videli najmanj podobno velik trg za varnost web3.

Varnost Web3 ni poškodovana, ampak premalo razvita. Trenutni ekosistem napol zrelih varnostnih podjetij web3 je v nastajanju v primerjavi s širino vrst varnostnih rešitev v web2. Med vsemi varnostnimi podjetji web3, ki so pridobila serijo A ali imajo letne prihodke nad 3 milijone dolarjev, jih večina večinoma temelji na storitvah z revizijami pametnih pogodb kot glavno vrednostno ponudbo. Revizija je ročni postopek za natančno pregledovanje kode projekta in poudarjanje varnostnih ranljivosti. Čeprav je revizija pomemben steber varnosti web3, je bilo leta 167 2022 večjih vdorov. Polovica teh vdorov je bila revidiranih pametnih pogodb (Varnostno poročilo Beosin Web3), kar dokazuje potrebo po večji varnostni infrastrukturi in avtomatizaciji.

Trenutna varnostna pokrajina Web3

Razvijajočo se pokrajino varnostnih podjetij web3 lahko razdelimo v tri glavne kategorije: revizija, orodja in skupnosti. Znotraj orodij in skupnosti so nekatera od področij, na katerih opazimo veliko zgodnjih dejavnosti, varen razvoj kode, stalno spremljanje ali spremljanje med izvajanjem, nagrade za varnostne napake in tekmovalne skupnosti ter varnost transakcij.

Razvoj varne kode: Varnostne izdelke je treba integrirati v potek razvijalcev. Rešitve, ki razvijalcem pomagajo graditi z miselnostjo »varnost na prvem mestu« in razvijalcem omogočajo, da preprečijo uvajanje slabe kode, lahko pripomorejo k večji prilagodljivosti varnosti na ravni revizije v web3. Odličen primer podjetja, ki zagovarja to tezo, je portfeljsko podjetje CoinFund Certora, ki ponuja orodja za varovanje pametnih pogodb s formalno strategijo preverjanja in je zasnovana tako, da zmanjša ranljivosti pametnih pogodb pred uvedbo in predhodno revizijo. Primeri podjetij, ki tukaj premikajo meje inovativnosti, vključujejo orodja za nenehni varnostni razvoj, kot je Enigma Labs ki se razvija Dev0x, razvijalsko orodje za orkestracijo varnostnih izdelkov. Obstajajo tudi orodja za testiranje in simulacijo transakcij in ekosistemov, kot je Nežno, Laboratoriji kaosain Rokavica. Ti projekti prispevajo k naboru varnostnih orodij za razvijalce, saj razvijalcem omogočajo upravljanje in predvidevanje izhoda pametne pogodbe pred njeno uvedbo.

Neprekinjeno/izvajalno spremljanje: Podjetji, kot sta Chainalysis in TRM Labs, sta skupaj zbrali 686.5 milijona USD za posmrtno odkrivanje AML, preiskavo in analizo podatkov. Vendar pa na trgu obstaja vrzel za rešitve za spremljanje izvajalnega časa za proaktivno preprečevanje varnostnih zlorab. S spremljanjem v realnem času in dodajanjem napovednih zmožnosti za odkrivanje in preprečevanje izkoriščanja so podjetja všeč Sila in Cyvers gradijo, da bi zapolnili to vrzel. Forta je porazdeljeno omrežje za neprekinjeno spremljanje časa izvajanja in CyVers je rešitev za to izkorišča strojno učenje za stalno spremljanje več omrežij in samodejno zaznavanje napadov v imenu borz, skrbnikov in protokolov DeFi. (Poglej tudi CoinFundova teza o AI za več o presečišču AI in kripto). Po zaznavi se lahko uporabijo tehnike, kot so predhodna transakcija in avtomatizirani odklopniki tokokroga, da ublažijo izgubo sredstev.

Varnostna omrežja/skupnosti: Web3 poganja sodelovanje skupnosti. Obstajajo skupnosti razvijalcev (tj. Developer DAO), skupnosti vlagateljev (tj. FlamingoDAO) in infrastruktura za finančne skupnosti (tj. SyndicateDAO, Juicebox). Zmagovalne varnostne rešitve in platforme bodo najbolje združile in mobilizirale strokovnjake, osredotočene na varnost, da sodelujejo pri varovanju web3. Na primer ImmuneFi, ki pred kratkim zbral 24 milijonov dolarjev za svojo serijo A, je dokazal moč izkoriščanja skupnosti za varovanje kode za web3 z ustvarjanjem in spodbujanjem mreže belih hekerjev za odkrivanje ranljivosti in hroščev v pametnih pogodbah. do danes, Immunefi je prispeval več kot 65 milijonov dolarjev nagrad za hrošče plačan etičnim hekerjem. Drugi podobni zgodnji primeri vključujejo Code4rena, Varno3in PwnedNoMore. Porazdeljeno omrežje Forta spodbuja mrežo varnostnih strokovnjakov in hobistov, da zgradijo in uvedejo robote za odkrivanje, pametne pogodbe, ki zaznajo zlonamerne pametne pogodbe in se nanje odzovejo tako, da opozorijo uporabnike ali ustvarjalce pogodbe. Forta izkorišča svoje omrežje za ustvarjanje rešitev, ki temeljijo na strojnem učenju, za odkrivanje zlonamernih pametnih pogodb .

Varnostne rešitve za potrošniške in institucionalne transakcije: Uporabniški varnostni izdelki za transakcije in denarnico, ki jih kupi uporabnik dApp/protokola, bodo imeli pomembno vlogo pri varnosti sredstev web3 za posameznike in ustanove. Rešitve se lahko prodajajo tudi denarnicam samim kot način za bolj varno splošno izkušnjo uporabe denarnice. Medtem ko si lahko denarnice tudi same prizadevajo za vgradnjo varnostne funkcionalnosti v svoje izdelke, bodo rešitve, osredotočene na varnost, ki gradijo tehnološki jarek z uporabo lastniških algoritmov za odkrivanje tveganja in čim lažjo integracijo, izstopale nad ostalimi in predstavljale močan razlog za nakup namesto gradnje. Eden odličnih primerov gradnje podjetja v tej smeri je Redefinirati, ki zagotavlja ocene transakcijskega tveganja in opozorila v realnem času, ki so obveščeni s kombinacijo mehanizmov za simulacijo transakcij v realnem času in nadzora ter so dostavljeni neposredno subjektu, ki je najbolj nagnjen k zaščiti sredstev, uporabniku. Nekatere druge rešitve tipa "požarni zid", ki ščitijo transaktor, vključujejo Shield, Hexagon in Web3Builders TrustCheck.

Preseganje revizije: Večja revizijska podjetja pogosto prepoznajo potrebo po produktizaciji, da razširijo svojo ponudbo in naredijo svoja podjetja bolj razširljiva. Halborn, čeprav se danes osredotoča predvsem na ročne revizije, gradi z namenom pripeljati orodja za avtomatizacijo procesov za revizijo in devops na trg. Podjetja, kot sta Quantstamp in Sherlock, portfeljsko podjetje CoinFund, ubirajo drug pristop z raziskovanjem presečišča varnostne revizije in zavarovanja sredstev.

Kaj je pomembno pri varnosti web3?

Na visoki ravni obstaja nekaj ključnih točk teze, ki vodijo moje razmišljanje k razvoju varnosti web3:

• Identifikacija ključnih varnostnih deležnikov: Web3 uvaja temeljni premik v našem razmišljanju o ciljnem trgu varnostnih izdelkov in storitev. Razvijalci in projekti, motivirani s sprejetjem izdelka web3, ter uporabniki, motivirani za zaščito svojih sredstev, so najpomembnejši kupci varnostnih rešitev. To se razlikuje od web2, kjer so bila podjetja pravno in ekonomsko odgovorna za varstvo uporabniških podatkov. V svetu, kjer imajo uporabniki lastne podatke, podedujejo tudi izziv njihove zaščite in bodo uporabljali najbolj varne protokole in nove izdelke, ki uporabnikom omogočajo neposredno zaščito lastnih sredstev.
• Preprečevanje, ublažitev in odziv: Varnost je večplasten pristop (IBM) in obstaja potreba po neprekinjenem in proaktivna varnostna strategija, ki je ne doseže današnja (skoraj izključna) osredotočenost na revizijo pred zagonom v web3. Koda nikoli ne more biti popolnoma brez ranljivosti, zaradi česar sta v web3 tako kot v web2 potrebna sprotna ublažitev izkoriščanja in odziv.
• Kombinacija tradicionalne varnosti in strokovnega znanja web3: Varnost je zgodovinsko gledano zelo zahteven in natrpan trg, kjer se talent in strategija hekerjev nenehno razvijata. Kljub več tisoč novoustanovljenim varnostnim podjetjem na trgu jih je le peščica dosegla potencial preboja. Prilagodljivi in ​​hitri ustanovitelji, ki dobro poznajo tradicionalno varnost in razvijajočo se varnostno pokrajino web3, so najbolj privlačni. Čeprav je web3 nov, so temeljni varnostni problemi in rešitve dobro razumljeni. Zato bodo varnostni raziskovalci, ki so leta porabili za razumevanje ranljivosti v tehnologiji, pripeljali do zaščite web3

Kaj iščemo v naložbeni varnostni priložnosti

Pri CoinFundu vlagamo v podjetja, ki omogočajo lažjo gradnjo, uporabo in varen dostop do verig blokov. Razširljive rešitve, izdelki in omrežja, ki spodbujajo varnost web3 naprej, so pomembni deli te vizije. Ekipe, ki so z naložbenega vidika najbolj privlačne, so ekipe z (1) globokim strokovnim znanjem in znanjem o varnosti web2 ter s kriptonimi pogledi, (2) zmožnostjo prepoznati, »komu je najbolj mar« varnost, ki jo zagotavljajo, in učinkovito prodajo tem deležnikom ne glede na to, ali so razvijalci protokolov ali institucionalni in individualni uporabniki, (3) izdelek ali omrežje, ki se lahko poveča v skladu z zmožnostjo osnovne tehnologije, da služi strankam.

Na trgu varnosti web3, kot je bilo v primeru varnosti web2, bo ustvarjenih na tisoče rešitev. Vendar pa jih bo razmeroma malo doseglo milijarde dolarjev vrednih podjetij in CoinFund želi sodelovati z ustanovitelji, katerih oči so usmerjene v to, da postanejo vodilni standardi v industriji, ko se varnostni trg za tehnologijo web3 razvija. Želimo vlagati v ekipe, ki širijo varnostni sklad web3. Če gradite orodje za razvijalce, ki razvijalcem pomaga graditi z miselnostjo, ki je na prvem mestu varnost, rešitev, ki pomaga razširiti osredotočenost na varnost s preprečevanja na ublažitev in odziv, ali orodje, ki vsakodnevnim uporabnikom verige blokov pomaga zaščititi svoja sredstva, iščemo ti.

V tej objavi smo izpustili številna področja varnosti web3. Varno upravljanje ključev, varno skrbništvo in zasebnost so globoko sami po sebi. Kaj je za vas najpomembnejše pri varnosti web3? Rad bi to slišal v komentarjih ali v DM-jih. Tudi, če gradite rešitev v varnostnem prostoru web3, bi rad klepetal. Na zdravje!

TG: @isaiahwash

E-pošta: isaiah@coinfund.io

[Hvala ekipi CoinFund kot tudi Mooley Sagiv (Certora), Jesse Tasman (Redefine), Don Ho (Quantstamp), Catrina Wang (Protocol Labs) in drugim, ker so mi pomagali izboljšati moje misli]

Tukaj izražena mnenja so stališča posameznega citiranega osebja CoinFund Management LLC (»CoinFund«) in niso stališča CoinFunda ali njegovih podružnic. Nekatere informacije v tem dokumentu so bile pridobljene iz virov tretjih oseb, vključno s portfeljskimi družbami skladov, ki jih upravlja CoinFund. Čeprav so vzeti iz virov, za katere menijo, da so zanesljivi, CoinFund ni neodvisno preveril takih informacij in ne daje nobenih zagotovil o trajni točnosti informacij ali njihovi ustreznosti za dano situacijo. Poleg tega lahko ta vsebina vključuje oglase tretjih oseb; CoinFund ni pregledal takšnih oglasov in ne podpira nobene oglaševalske vsebine v njih.

Ta vsebina je na voljo samo v informativne namene in se je ne smete zanašati kot pravni, poslovni, naložbeni ali davčni nasvet. Glede teh zadev se morate posvetovati s svojimi svetovalci. Sklici na katere koli vrednostne papirje ali digitalna sredstva so samo v ilustrativne namene in ne predstavljajo naložbenega priporočila ali ponudbe za zagotavljanje investicijskih svetovalnih storitev. Poleg tega ta vsebina ni namenjena nobenim vlagateljem ali bodočim vlagateljem niti ji ni namenjena in se nanjo v nobenem primeru ne smete zanašati, ko se odločate za vlaganje v kateri koli sklad, ki ga upravlja CoinFund. (Ponudba za vlaganje v sklad CoinFund bo podana le z memorandumom o zasebni plasiranju, pogodbo o vpisu in drugo ustrezno dokumentacijo katerega koli takega sklada in jo je treba brati v celoti.) Vse naložbe ali portfeljske družbe, omenjene, navedene ali opisani niso reprezentativni za vse naložbe v vozila, ki jih upravlja CoinFund, in ni nobenega zagotovila, da bodo naložbe donosne ali da bodo imele druge naložbe v prihodnosti podobne lastnosti ali rezultate. Seznam naložb skladov, ki jih upravlja CoinFund (razen naložb, za katere izdajatelj ni dal dovoljenja CoinFundu za javno razkritje, kot tudi nenapovedanih naložb v digitalna sredstva, s katerimi se javno trguje), je na voljo na https://www.coinfund.io/portfolio.

Grafi in grafi, ki so navedeni znotraj, so izključno informativne narave in se nanje ne bi smeli zanašati pri sprejemanju kakršnih koli investicijskih odločitev. Pretekla uspešnost ni pokazatelj prihodnjih rezultatov. Vsebina govori samo od navedenega datuma. Vse projekcije, ocene, napovedi, cilji, obeti in/ali mnenja, izražena v tem gradivu, se lahko spremenijo brez predhodnega obvestila in se lahko razlikujejo ali so v nasprotju z mnenji, ki so jih izrazili drugi.