Ісайя Вашингтон

У 3 році через використання смарт-контрактів було втрачено 2022 мільярди доларів США (Chainalysis) викриває незрілість ландшафту безпеки та недостатнє використання практик безпеки в web3. Фундаментальні відмінності між технологіями web2 і web3 створюють нові можливості як для атаки, так і для захисту даних і активів користувачів, які використовують блокчейн. Сьогодні світовий ринок кібербезпеки оцінюється приблизно в 167 мільярдів доларів (McKinsey). У міру того як web3 просувається далі по S-кривій впровадження, він включатиме як фінансові, так і нефінансові дані, тому ми побачимо ринок безпеки web3 як мінімум такого ж розміру.

Безпека Web3 не зламана, але недостатньо розвинена. Поточна екосистема напівзрілих компаній безпеки web3 лише зароджується порівняно з широким набором типів рішень безпеки у web2. З усіх компаній безпеки web3, які отримали серію A або мають річний дохід понад 3 мільйони доларів, більшість здебільшого надають послуги з аудитом смарт-контрактів як основною цінною пропозицією. Аудит — це ручний процес ретельного вивчення коду проекту та виявлення вразливостей безпеки. Хоча аудит є важливою опорою безпеки web3, у 167 році було зареєстровано 2022 великих хакерів. Половина цих хакерів стосувалася перевірених смарт-контрактів (Звіт про безпеку Beosin Web3), демонструючи потребу в більшій інфраструктурі безпеки та автоматизації.

Сучасний ландшафт безпеки Web3

Ландшафт компаній із захисту web3, що розвиваються, можна розділити на три основні категорії: аудит, інструменти та спільноти. Серед інструментів і спільнот деякі з сфер, де ми бачимо велику активність на ранніх етапах, — це безпечна розробка коду, безперервний моніторинг або моніторинг під час виконання, винагороди за помилки безпеки та змагальні спільноти, а також безпека транзакцій.

Розробка безпечного коду: Продукти безпеки мають бути інтегровані в потік розробників. Рішення, які допомагають розробникам будувати безпеку на першому місці та дозволяють розробникам запобігати розгортанню поганого коду, можуть допомогти зробити безпеку на рівні аудиту більш масштабованою у web3. Чудовим прикладом компанії, яка підтримує цю тезу, є портфельна компанія CoinFund Certora, який надає інструменти для захисту смарт-контрактів із формальною стратегією перевірки та призначений для мінімізації вразливості смарт-контрактів перед розгортанням і попереднім аудитом. Приклади компаній, які розширюють межі інновацій, включають інструменти безперервної розробки безпеки, такі як Лабораторії Enigma яка розвивається Dev0x, інструмент розробника для оркестровки продуктів безпеки. Існують також такі інструменти, як тестування транзакцій і екосистем, а також інструменти моделювання Ніжно, ChaosLabs та Рукавичка. Ці проекти вносять внесок у набір інструментів безпеки розробників, дозволяючи розробникам керувати та прогнозувати вихід смарт-контракту до його розгортання.

Безперервний/постійний моніторинг: Такі компанії, як Chainalysis і TRM Labs, разом залучили 686.5 млн доларів США для посмертного виявлення, розслідування та аналізу даних проти боротьби з відмиванням коштів. Однак на ринку існує прогалина для рішень моніторингу часу виконання для проактивного запобігання експлойтам безпеки. Застосовуючи моніторинг у реальному часі та додаючи можливості прогнозування для виявлення та запобігання експлойтам, компаніям подобається Форта та Cyvers будують, щоб заповнити цю прогалину. Forta — це розподілена мережа для постійного моніторингу часу виконання, а CyVers — це рішення використовує машинне навчання для постійного моніторингу кількох мереж і автоматичного виявлення атак від імені бірж, зберігачів і протоколів DeFi. (Дивись також Дисертація CoinFund про ШІ докладніше про взаємодію ШІ та крипто). Після виявлення можна застосувати такі методи, як попереднє виконання транзакцій і автоматичні вимикачі, щоб зменшити втрату активів.

Безпека мереж/спільнот: Web3 базується на залученні спільноти. Існують спільноти розробників (наприклад, Developer DAO), спільноти інвесторів (наприклад, FlamingoDAO) та інфраструктура для фінансових спільнот (наприклад, SyndicateDAO, Juicebox). Будуть переможні рішення та платформи безпеки, які найкращим чином об’єднують і мобілізують професіоналів, орієнтованих на безпеку, для участі у захисті web3. Наприклад, ImmuneFi, хто нещодавно зібрав 24 мільйони доларів для серії A, продемонстрував потужність використання спільноти для захисту коду для web3, створивши та заохочуючи мережу хакерів для виявлення вразливостей і помилок у смарт-контрактах. на сьогоднішній день Immunefi виділив понад 65 мільйонів доларів США на винагороду за помилок виплачено етичним хакерам. Інші ранні подібні приклади включають Code4rena, Безпечний3 та PwnedNoMore. Розподілена мережа Forta стимулює мережу професіоналів безпеки та любителів створювати та розгортати ботів для виявлення, смарт-контракти, які виявляють зловмисні смарт-контракти та реагують на них, сповіщаючи користувачів або творців контракту. Forta використовує свою мережу для створення рішень на основі машинного навчання для виявлення зловмисних смарт-контрактів .

Рішення для безпеки транзакцій для споживачів та організацій: Продукти для безпеки транзакцій і гаманців, які купує користувач dApp/протоколу, відіграватимуть важливу роль у безпеці активів web3 як для окремих осіб, так і для установ. Рішення також можна продавати на самі гаманці, щоб зробити загальний досвід використання гаманця більш безпечним. Хоча гаманці також можуть працювати над створенням функціональних можливостей безпеки у своїх продуктах, орієнтовані на безпеку рішення, які створюють технологічний рів за допомогою власних алгоритмів для виявлення ризиків і максимально легкої інтеграції, виділятимуться над іншими та створюватимуть вагомі аргументи для покупки а не будівництво. Один чудовий приклад розвитку компанії в цьому напрямку Перевизначити, який забезпечує оцінку ризиків транзакцій у режимі реального часу та сповіщення, отримані за допомогою комбінації механізмів моделювання транзакцій і моніторингу в реальному часі та доставляються безпосередньо до суб’єкта, який найбільше зацікавлений у захисті коштів, користувача. Деякі інші рішення типу «брандмауера», що захищають транзактор, зокрема включають Shield, Hexagon і Web3Builders' TrustCheck.

Виходячи за межі аудиту: Часто великі аудиторські фірми визнають необхідність виробництва, щоб розширити свої пропозиції та зробити свої компанії більш масштабованими. Халборн, хоча сьогодні зосереджується переважно на ручних аудитах, будує з наміром залучити інструменти автоматизації процесів для аудиту та розробки на ринку. Такі компанії, як Quantstamp і Шерлок, портфельна компанія CoinFund, використовують інший підхід, досліджуючи перетин аудиту безпеки та страхування активів.

Що важливо в безпеці web3?

На високому рівні є кілька ключових тез, які спонукають мене думати про розвиток безпеки web3:

• Визначення ключових зацікавлених сторін безпеки: Web3 вносить фундаментальні зміни в те, як ми думаємо про цільовий ринок продуктів і послуг безпеки. Розробники та проекти, мотивовані прийняттям продукту web3, і користувачі, мотивовані захищати свої активи, є найважливішими клієнтами рішень безпеки. Це відрізняється від web2, де компанії несуть юридичну та економічну відповідальність за захист даних користувачів. У світі, де користувачі володіють власними даними, вони також успадковують проблему їх захисту та використовуватимуть найбезпечніші протоколи та нові продукти, які дозволяють користувачам безпосередньо захищати власні активи.
• Запобігання, пом'якшення та реагування: Безпека – це багаторівневий підхід (IBM) і є потреба в безперервному та проактивна стратегія безпеки, яка не досягається сьогоднішнім (майже винятковим) фокусом на передзапусковому аудиті в web3. Код ніколи не може бути повністю вільним від уразливостей, що робить необхідні пом’якшення експлойту та реагування в режимі реального часу в web3, як і в web2.
• Поєднання традиційної безпеки та досвіду web3: Безпека — це історично складний і багатолюдний ринок, де талант і стратегія хакерів постійно розвиваються. Незважаючи на багато тисяч стартапів із безпеки на ринку, лише кілька досягли потенціалу прориву. Податливі та швидкі засновники, які добре знають традиційну безпеку та ландшафт безпеки web3, що розвивається, є найбільш привабливими. Незважаючи на те, що web3 є новинкою, основні проблеми та рішення безпеки добре зрозумілі. Тому дослідники безпеки, які витратили роки на розуміння вразливостей у технологіях, прокладуть шлях до захисту web3

Що ми шукаємо в інвестиційній безпеці

У CoinFund ми інвестуємо в компанії, які роблять блокчейни легшими для створення, використання та безпечного доступу. Масштабовані рішення, продукти та мережі, які просувають безпеку web3, є важливими частинами цього бачення. Команди, які є найбільш привабливими з інвестиційної точки зору, це команди з (1) глибоким досвідом безпеки Web2, а також криптографічним поглядом, (2) здатністю визначити, «кого» найбільше хвилює безпека, яку вони забезпечують, і ефективно продавати цим зацікавленим сторонам будь то розробники протоколів або інституційні та індивідуальні користувачі, (3) продукт або мережа, які можуть масштабуватися відповідно до здатності базової технології обслуговувати клієнтів.

На ринку безпеки web3, як це було у випадку безпеки web2, будуть створені тисячі рішень. Однак порівняно небагато компаній будуть масштабуватися до мільярдних компаній, і CoinFund прагне співпрацювати із засновниками, які прагнуть стати провідними стандартами галузі в міру розвитку ринку безпеки для технології web3. Ми хочемо інвестувати в команди, які розширюють стек безпеки web3. Якщо ви створюєте інструмент розробника, який допоможе розробникам будувати з поглядом на безпеку, рішення, яке допоможе розширити фокус безпеки від запобігання до пом’якшення та реагування, або інструмент, який допоможе щоденним користувачам блокчейну захистити свої активи, ми шукаємо ви.

Є багато сфер безпеки web3, які ми не згадали в цій публікації. Безпечне керування ключами, безпечне зберігання та конфіденційність — це самі по собі глибокі принципи. Що для вас найважливіше в безпеці web3? Я хотів би почути це в коментарях або в своїх DM. Крім того, якщо ви створюєте рішення в просторі безпеки web3, я хотів би поспілкуватися. здоров'я!

ТГ: @isaiahwash

Електронна адреса: isaiah@coinfund.io

[Дякую команді CoinFund, а також Мулі Сагіву (Certora), Джессі Тасману (Redefine), Дону Хо (Quantstamp), Катріні Ван (Protocol Labs) та іншим за допомогу мені уточнити мої думки]

Погляди, висловлені тут, є поглядами окремих співробітників CoinFund Management LLC («CoinFund»), які цитуються, і не є поглядами CoinFund або його філій. Певна інформація, що міститься в цьому документі, була отримана зі сторонніх джерел, у тому числі від портфельних компаній фондів, якими керує CoinFund. Незважаючи на те, що CoinFund отримано з джерел, які вважаються надійними, не перевіряв незалежно таку інформацію та не робить жодних заяв щодо постійної точності інформації чи її відповідності певній ситуації. Крім того, цей вміст може містити рекламу третіх сторін; CoinFund не перевіряв такі оголошення та не схвалює будь-який рекламний вміст, що міститься в них.

Цей вміст надається лише в інформаційних цілях, і на нього не можна покладатися як на юридичну, ділову, інвестиційну чи податкову консультацію. Ви повинні проконсультуватися з власними радниками щодо цих питань. Посилання на будь-які цінні папери чи цифрові активи наведено лише для ілюстрації та не є інвестиційною рекомендацією чи пропозицією надати інвестиційні консультаційні послуги. Крім того, цей вміст не призначений для будь-яких інвесторів або потенційних інвесторів і не призначений для використання ними, і за жодних обставин на нього не можна покладатися при прийнятті рішення інвестувати в будь-який фонд, яким керує CoinFund. (Пропозиція щодо інвестування у фонд CoinFund буде зроблена лише на основі меморандуму про приватне розміщення, угоди про підписку та іншої відповідної документації будь-якого такого фонду, і її слід читати повністю.) Будь-які інвестиційні чи портфельні компанії, згадані, згадані або описані не є репрезентативними для всіх інвестицій у транспортні засоби, якими керує CoinFund, і не може бути гарантії, що інвестиції будуть прибутковими або що інші інвестиції, зроблені в майбутньому, матимуть подібні характеристики чи результати. Список інвестицій, здійснених фондами під управлінням CoinFund (за винятком інвестицій, щодо яких емітент не надав дозволу CoinFund на оприлюднення, а також неоголошених інвестицій у публічні цифрові активи) доступний за адресою https://www.coinfund.io/portfolio.

Наведені в ньому діаграми та графіки призначені виключно для інформаційних цілей, і на них не слід покладатися під час прийняття інвестиційних рішень. Минулі результати не вказують на майбутні результати. Зміст відповідає лише вказаній даті. Будь-які прогнози, оцінки, прогнози, цілі, перспективи та/або думки, висловлені в цих матеріалах, можуть бути змінені без попередження та можуть відрізнятися або суперечити думкам, висловленим іншими.