Isaiah Washington tarafından

3'de akıllı sözleşme istismarları nedeniyle 2022 milyar $+ kayıp (Chainalysis), güvenlik ortamının olgunlaşmamışlığını ve web3'teki güvenlik uygulamalarının yeterince kullanılmadığını ortaya çıkarır. Web2 ve web3 teknolojileri arasındaki temel farklılıklar, blok zincirden yararlanan kullanıcıların verilerine ve varlıklarına hem saldırmak hem de bunları güvence altına almak için yeni fırsatlar yaratır. Bugün, küresel siber güvenlik pazarının yaklaşık 167 milyar dolar olduğu tahmin ediliyor (McKinsey). Web3, S-eğrisinde daha da ilerledikçe, hem finansal hem de finansal olmayan verileri içerecek, bu nedenle web3 güvenliği için minimumda benzer büyüklükte bir pazar göreceğiz.

Web3 güvenliği bozuk değil, az gelişmiş. Yarı olgun web3 güvenlik şirketlerinin mevcut ekosistemi, web2'deki güvenlik çözümü türlerinin genişliğine kıyasla yeni ortaya çıkıyor. A Serisi veya yıllık geliri 3 milyon doların üzerinde olan tüm web3 güvenlik şirketlerinin çoğunluğu, ana değer önerisi olarak akıllı sözleşme denetimleri ile çoğunlukla hizmet tabanlıdır. Denetim, bir projenin kodunu incelemek ve güvenlik açıklarını vurgulamak için yapılan manuel bir süreçtir. Denetim, web3 güvenliğinin önemli bir ayağı olsa da, 167'de 2022 büyük saldırı gerçekleşti. Bu saldırıların yarısı, denetlenen akıllı sözleşmelerden (Beosin Web3 Güvenlik Raporu), daha fazla güvenlik altyapısına ve otomasyona olan ihtiyacı gösteriyor.

Mevcut Web3 Güvenlik Görünümü

Web3 güvenlik şirketlerinin gelişen ortamı üç ana kategoriye ayrılabilir: denetim, araçlar ve topluluklar. Araçlar ve topluluklar içinde, çok sayıda erken etkinlik gördüğümüz alanlardan bazıları güvenli kod geliştirme, sürekli veya çalışma zamanı izleme, güvenlik hatası ödülleri ve rekabet toplulukları ve işlem güvenliğidir.

Güvenli Kod Geliştirme: Güvenlik ürünlerinin geliştirici akışına entegre edilmesi gerekir. Geliştiricilerin "önce güvenlik" zihniyetiyle geliştirmelerine yardımcı olan ve geliştiricilerin kötü kod dağıtımını önlemesine olanak tanıyan çözümler, web3'te denetim düzeyinde güvenliği daha ölçeklenebilir hale getirmeye yardımcı olabilir. Bu tezi savunan şirketlere harika bir örnek, CoinFund'un portföy şirketidir. Certoraresmi doğrulama stratejisiyle akıllı sözleşmelerin güvenliğini sağlamak için araçlar sağlayan ve dağıtım ve ön denetimden önce akıllı sözleşme güvenlik açıklarını en aza indirmek için tasarlanmıştır. Burada inovasyonun sınırlarını zorlayan şirketlere örnek olarak aşağıdakiler gibi sürekli güvenlik geliştirme araçları verilebilir: Enigma Laboratuvarları hangisi gelişiyor dev0x, güvenlik ürünü düzenlemesi için bir geliştirici aracı. İşlem ve ekosistem testi ve simülasyon araçları da vardır. Şefkatle, Kaos Laboratuvarları, ve iş eldiveni. Bu projeler, geliştiricilerin akıllı sözleşme çıktısını dağıtımdan önce yönetmesine ve tahmin etmesine olanak tanıyarak geliştirici güvenlik araç setine katkıda bulunuyor.

Sürekli/Çalışma Zamanı İzleme: Chainalysis ve TRM Labs gibi şirketler, ölüm sonrası AML tespiti, araştırması ve veri analizi için toplam 686.5 milyon dolar topladı. Ancak, güvenlik açıklarının proaktif olarak önlenmesi için çalışma zamanı izleme çözümleri pazarında bir boşluk vardır. Şirketler, gerçek zamanlı izleme alarak ve istismar tespiti ve önleme için tahmine dayalı yetenekler ekleyerek forta ve Cyvers'lar bu boşluğu doldurmak için inşa ediyorlar. Forta, sürekli çalışma zamanı izleme için dağıtılmış bir ağdır ve CyVers, makine öğreniminden yararlanır birden fazla ağı sürekli olarak izlemek ve borsalar, koruyucular ve DeFi protokolleri adına yapılan saldırıları otomatik olarak tespit etmek için. (Ayrıca bakınız CoinFund'un yapay zeka üzerine tezi AI ve kriptonun kesişimi hakkında daha fazla bilgi için). Tespitin ardından, varlık kaybını azaltmak için işlemi önden çalıştırma ve otomatik devre kesiciler gibi teknikler devreye alınabilir.

Güvenlik Ağları/Topluluklar: Web3, topluluk katılımı tarafından yönlendirilir. Geliştirici toplulukları (örn. Developer DAO), yatırımcı toplulukları (örn. FlamingoDAO) ve finansal topluluklar için altyapı (örn. SyndicateDAO, Juicebox) vardır. Web3'ü güvenli hale getirmek için güvenlik odaklı profesyonelleri en iyi şekilde bir araya getiren ve harekete geçiren kazanan güvenlik çözümleri ve platformları olacaktır. Örneğin, ImmuneFi, kim yakın zamanda A Serisi için 24 milyon dolar topladı, akıllı sözleşmelerdeki güvenlik açıklarını ve hataları belirlemek için beyaz şapkalı bilgisayar korsanlarından oluşan bir ağ oluşturup teşvik ederek web3 için kodun güvenliğini sağlamak üzere topluluktan yararlanmanın gücünü gösterdi. Bugüne kadar, Immunefi, böcek ödüllerinde 65 milyon doların üzerinde kolaylaştırdı etik hackerlara ödenir. Bunun gibi diğer erken örnekler şunları içerir: Code4rena, Güvenli3, ve PwnedHayırDaha fazla. Forta'nın dağıtılmış ağı, güvenlik uzmanları ve meraklılarından oluşan bir ağı, sözleşmenin kullanıcılarını veya oluşturucularını uyararak kötü niyetli akıllı sözleşmeleri algılayan ve bunlara yanıt veren algılama robotları, akıllı sözleşmeler oluşturmaya ve dağıtmaya teşvik eder. Forta, kötü amaçlı akıllı sözleşmeleri tespit etmek için makine öğrenimi tabanlı çözümler oluşturmak üzere ağından yararlanıyor .

Bireysel ve Kurumsal İşlem Güvenliği Çözümleri: Bir dApp/protokol kullanıcısı tarafından satın alınan kullanıcıya dönük işlem ve cüzdan güvenlik ürünleri, hem bireyler hem de kurumlar için web3 varlık güvenliğinde önemli bir rol oynayacaktır. Çözümler, genel cüzdan kullanım deneyimini daha güvenli hale getirmenin bir yolu olarak cüzdanlara da satılabilir. Cüzdanlar kendi ürünlerine güvenlik işlevselliği eklemek için de çalışabilirken, riski tespit etmek ve entegrasyonu olabildiğince kolay hale getirmek için tescilli algoritmalar kullanarak teknolojik bir hendek oluşturan güvenlik odaklı çözümler diğerlerinin üzerinde öne çıkacak ve satın alma için güçlü bir gerekçe oluşturacaktır. inşa etmek yerine. Bu yönde bir şirket binasının harika bir örneği, Yeniden Tanımlamagerçek zamanlı işlem simülasyonu ve izleme mekanizmalarının bir kombinasyonu tarafından bilgilendirilen ve fonları korumaya en çok teşvik edilen varlığa, yani kullanıcıya doğrudan iletilen gerçek zamanlı işlem riski değerlendirmeleri ve uyarıları sağlar. İşlemciyi koruyan diğer bazı “güvenlik duvarı” tipi çözümler özellikle Shield, Hexagon ve Web3Builders'ın TrustCheck'i.

Denetimin Ötesine Geçmek: Çoğu zaman büyük denetim firmaları, tekliflerini genişletmek ve şirketlerini daha ölçeklenebilir hale getirmek için ürünleştirme ihtiyacının farkındadır. Halborn, günümüzde esas olarak manuel denetimlere odaklansa da, denetim için süreç otomasyon araçları ve pazara devops. Quantstamp gibi şirketler ve SherlockCoinFund portföy şirketi olan , güvenlik denetimi ve varlık sigortasının kesişim noktasını keşfederek başka bir yaklaşım benimsiyor.

Web3 güvenliğinde önemli olan nedir?

Yüksek düzeyde, web3 güvenlik geliştirmeye yönelik düşüncemi yönlendiren birkaç temel tez noktası var:

• Kilit güvenlik paydaşlarının belirlenmesi: Web3, güvenlik ürünleri ve hizmetlerinin hedef pazarı hakkında nasıl düşündüğümüz konusunda temel bir değişiklik getiriyor. Web3 ürününün benimsenmesinden motive olan geliştiriciler ve projeler ile varlıklarını korumaya motive olan kullanıcılar, en önemli güvenlik çözümü müşterileridir. Bu, işletmelerin kullanıcı verilerinin korunmasından yasal ve ekonomik olarak sorumlu olduğu web2'den farklıdır. Kullanıcıların kendi verilerine sahip olduğu bir dünyada, verileri koruma zorluğunu da devralıyorlar ve kullanıcıların kendi varlıklarını doğrudan güvence altına almalarına olanak tanıyan en güvenli protokolleri ve yeni ürünleri kullanacaklar.
• Önleme, hafifletme ve müdahale: Güvenlik katmanlı bir yaklaşımdır (IBM) ve sürekli bir ihtiyaç vardır ve Web3'te lansman öncesi denetime günümüzün (neredeyse özel) odaklanmasıyla gerçekleştirilemeyen proaktif güvenlik stratejisi. Kod hiçbir zaman tamamen güvenlik açığından arınmış olamaz, bu da web3'de olduğu gibi web2'te de gerçek zamanlı istismar azaltma ve müdahaleyi gerekli kılar.
• Geleneksel güvenlik ve web3 uzmanlığının birleşimi: Güvenlik, tarihsel olarak, bilgisayar korsanlarının yetenek ve stratejilerinin sürekli geliştiği çok zorlu ve kalabalık bir pazardır. Piyasadaki binlerce güvenlik girişimine rağmen, yalnızca bir avuç tanesi patlama potansiyeline ulaştı. Geleneksel güvenliği ve gelişmekte olan web3 güvenlik ortamını yakından tanıyan esnek ve hızlı yinelenen kurucular en çekici olanlardır. Web3 yeni olmasına rağmen, temel güvenlik sorunları ve çözümleri iyi anlaşılmıştır. Bu nedenle, teknolojideki güvenlik açıklarını anlamak için yıllarını harcayan güvenlik araştırmacıları, web3 güvenliğini sağlamanın yolunu açacaktır.

Yatırım Yapılabilir Bir Güvenlik Fırsatında Aradıklarımız

CoinFund'da, blok zincirlerinin üzerine inşa edilmesini, kullanılmasını ve güvenli bir şekilde erişilmesini kolaylaştıran şirketlere yatırım yapıyoruz. web3 güvenliğini ileriye taşıyan ölçeklenebilir çözümler, ürünler ve ağlar bu vizyonun önemli parçalarıdır. Yatırım açısından en çekici ekipler, (1) derin web2 güvenlik uzmanlığının yanı sıra kriptonatif bir görüşe, (2) sağladıkları güvenlik konusunda "kimin umursadığını" belirleme ve bu paydaşlara etkili bir şekilde satış yapma becerisine sahip ekiplerdir. İster protokol geliştiricileri, ister kurumsal ve bireysel kullanıcılar, (3) altta yatan teknolojinin müşterilere hizmet verme becerisi doğrultusunda ölçeklenebilen bir ürün veya ağ.

web3 security'de olduğu gibi web2 security pazarında da binlerce çözüm üretilecek. Bununla birlikte, nispeten çok azı milyar dolarlık işletme olacak şekilde ölçeklenecek ve CoinFund, web3 teknolojisi için güvenlik pazarı geliştikçe endüstri lideri standartlar haline gelmeyi hedefleyen kurucularla ortaklık kurmayı hedefliyor. web3 güvenlik yığınını genişleten ekiplere yatırım yapmak istiyoruz. Geliştiricilerin önce güvenlik zihniyetiyle geliştirmelerine yardımcı olacak bir geliştirici aracı, güvenlik odağını önlemeden hafifletmeye ve yanıt vermeye genişletmeye yardımcı olan bir çözüm veya günlük blok zinciri kullanıcılarının varlıklarını korumalarına yardımcı olacak bir araç oluşturuyorsanız, arıyoruz. Sen.

Bu yazının dışında bıraktığımız birçok web3 güvenliği alanı var. Güvenli anahtar yönetimi, güvenli gözaltı ve mahremiyet kendi içinde derindir. Web3 güvenliğinde sizin için en önemli olan nedir? Yorumlarda veya DM'lerimde duymak isterim. Ayrıca web3 güvenlik alanında bir çözüm oluşturuyorsanız, sohbet etmeyi çok isterim. Şerefe!

TG: @isaiahwash

E-posta: isaiah@coinfund.io

[CoinFund ekibinin yanı sıra Mooley Sagiv(Certora), Jesse Tasman(Redefine), Don Ho(Quantstamp), Catrina Wang(Protocol Labs) ve diğerlerine düşüncelerimi düzeltmeme yardımcı oldukları için teşekkür ederim]

Burada ifade edilen görüşler, alıntı yapılan bireysel CoinFund Management LLC (“CoinFund”) personelinin görüşleridir ve CoinFund veya iştiraklerinin görüşleri değildir. Burada yer alan belirli bilgiler, CoinFund tarafından yönetilen fonların portföy şirketleri de dahil olmak üzere üçüncü taraf kaynaklardan elde edilmiştir. Güvenilir olduğuna inanılan kaynaklardan alınmış olsa da, CoinFund bu tür bilgileri bağımsız olarak doğrulamamıştır ve bilgilerin kalıcı doğruluğu veya belirli bir duruma uygunluğu hakkında hiçbir beyanda bulunmaz. Ayrıca, bu içerik üçüncü taraf reklamlarını içerebilir; CoinFund bu tür reklamları incelememiştir ve burada yer alan herhangi bir reklam içeriğini onaylamamaktadır.

Bu içerik yalnızca bilgilendirme amaçlıdır ve yasal, ticari, yatırım veya vergi tavsiyesi olarak kullanılmamalıdır. Bu konularda kendi danışmanlarınıza danışmalısınız. Herhangi bir menkul kıymete veya dijital varlığa yapılan atıflar yalnızca açıklama amaçlıdır ve yatırım tavsiyesi veya yatırım danışmanlığı hizmetleri sağlama teklifi teşkil etmez. Ayrıca, bu içerik herhangi bir yatırımcıya veya potansiyel yatırımcılara yönelik değildir veya bu içerik tarafından kullanılması amaçlanmamıştır ve CoinFund tarafından yönetilen herhangi bir fona yatırım yapma kararı verilirken hiçbir koşulda güvenilemez. (Bir CoinFund fonuna yatırım yapma teklifi, yalnızca tahsisli satış mutabakatı, abonelik sözleşmesi ve bu tür bir fonun diğer ilgili belgeleri ile yapılacaktır ve bunların tamamı okunmalıdır.) Bahsedilen, atıfta bulunulan veya atıfta bulunulan herhangi bir yatırım veya portföy şirketi veya açıklananlar CoinFund tarafından yönetilen araçlara yapılan tüm yatırımları temsil etmez ve yatırımların kârlı olacağına veya gelecekte yapılacak diğer yatırımların benzer özelliklere veya sonuçlara sahip olacağına dair hiçbir garanti verilemez. CoinFund tarafından yönetilen fonlar tarafından yapılan yatırımların bir listesi (ihraççının CoinFund'un kamuya ifşa etmesine izin vermediği yatırımlar ve halka açık dijital varlıklardaki habersiz yatırımlar hariç) şu adreste bulunabilir: https://www.coinfund.io/portfolio.

İçerisinde yer alan çizelgeler ve grafikler yalnızca bilgilendirme amaçlıdır ve herhangi bir yatırım kararı verirken bunlara güvenilmemelidir. Geçmiş performans gelecekteki sonuçların göstergesi değildir. İçerik yalnızca belirtilen tarih itibariyle konuşur. Bu materyallerde ifade edilen tüm tahminler, tahminler, tahminler, hedefler, beklentiler ve/veya görüşler önceden bildirilmeksizin değiştirilebilir ve farklı olabilir veya başkaları tarafından ifade edilen görüşlere aykırı olabilir.