bởi Isaiah Washington

$3B+ bị mất do khai thác hợp đồng thông minh vào năm 2022 (Sự phân chia) phơi bày sự non nớt của bối cảnh bảo mật và việc sử dụng quá mức các biện pháp bảo mật trong web3. Sự khác biệt cơ bản giữa công nghệ web2 và web3 tạo ra những cơ hội mới để vừa tấn công vừa bảo mật dữ liệu và tài sản của người dùng tận dụng chuỗi khối. Ngày nay, thị trường an ninh mạng toàn cầu được ước tính vào khoảng 167 tỷ đô la (McKinsey). Khi web3 tiến xa hơn theo đường cong chữ S của việc áp dụng, nó sẽ bao gồm cả dữ liệu tài chính và phi tài chính, vì vậy chúng ta sẽ thấy một thị trường có quy mô tương tự cho bảo mật web3 ở mức tối thiểu.

Bảo mật Web3 không bị hỏng, nhưng kém phát triển. Hệ sinh thái hiện tại của các công ty bảo mật web3 bán trưởng thành còn non trẻ so với bề rộng của các loại giải pháp bảo mật trong web2. Trong số tất cả các công ty bảo mật web3 đã huy động được Series A hoặc có doanh thu hàng năm trên 3 triệu đô la, phần lớn chủ yếu là dựa trên dịch vụ với kiểm toán hợp đồng thông minh là đề xuất giá trị chính. Kiểm tra là một quy trình thủ công để xem xét kỹ lưỡng mã của dự án và làm nổi bật các lỗ hổng bảo mật. Mặc dù kiểm toán là một trụ cột quan trọng của bảo mật web3, nhưng đã có 167 vụ hack lớn vào năm 2022. Một nửa trong số các vụ hack này là của các hợp đồng thông minh đã được kiểm toán (Báo cáo bảo mật Web3 của Beosin), cho thấy sự cần thiết phải có thêm cơ sở hạ tầng bảo mật và tự động hóa.

Bối cảnh bảo mật Web3 hiện tại

Bối cảnh phát triển của các công ty bảo mật web3 có thể được chia thành ba loại chính: kiểm toán, công cụ và cộng đồng. Trong công cụ và cộng đồng, một số lĩnh vực mà chúng tôi thấy có nhiều hoạt động ban đầu là phát triển mã an toàn, giám sát liên tục hoặc trong thời gian chạy, tiền thưởng lỗi bảo mật và cộng đồng cạnh tranh cũng như bảo mật giao dịch.

Phát triển mã an toàn: Các sản phẩm bảo mật cần được tích hợp vào quy trình của nhà phát triển. Các giải pháp giúp nhà phát triển xây dựng với tư duy “ưu tiên bảo mật” và cho phép nhà phát triển ngăn chặn việc triển khai mã xấu có thể giúp tăng khả năng mở rộng bảo mật cấp độ kiểm toán trong web3. Một ví dụ tuyệt vời về một công ty ủng hộ luận điểm này là công ty danh mục đầu tư của CoinFund chứng chỉ, cung cấp các công cụ để bảo mật hợp đồng thông minh với chiến lược xác minh chính thức và được thiết kế để giảm thiểu lỗ hổng hợp đồng thông minh trước khi triển khai và kiểm tra trước. Ví dụ về các công ty vượt qua ranh giới của sự đổi mới ở đây bao gồm các công cụ phát triển bảo mật liên tục như Phòng thí nghiệm bí ẩn đang phát triển nhà phát triển0x, một công cụ dành cho nhà phát triển để điều phối sản phẩm bảo mật. Ngoài ra còn có các công cụ mô phỏng và thử nghiệm giao dịch và hệ sinh thái như Nhẹ nhàng, phòng thí nghiệm hỗn loạnvà Gauntlet. Các dự án này đang đóng góp vào bộ công cụ bảo mật dành cho nhà phát triển bằng cách cho phép các nhà phát triển quản lý và dự đoán đầu ra của hợp đồng thông minh trước khi triển khai.

Giám sát liên tục/thời gian chạy: Các công ty như Chainalysis và TRM Labs đã huy động được tổng cộng 686.5 triệu đô la để phát hiện, điều tra và phân tích dữ liệu AML sau khi chết. Tuy nhiên, có một khoảng trống trên thị trường cho các giải pháp giám sát thời gian chạy để chủ động ngăn chặn các hành vi khai thác bảo mật. Bằng cách theo dõi thời gian thực và thêm các khả năng dự đoán để phát hiện và ngăn chặn khai thác, các công ty như Lực lượng và máy tính đang xây dựng để lấp đầy khoảng trống này. Forta là một mạng phân tán để theo dõi thời gian chạy liên tục và CyVers là giải pháp thúc đẩy học máy để liên tục giám sát nhiều mạng và tự động phát hiện các cuộc tấn công thay mặt cho các sàn giao dịch, người giám sát và giao thức DeFi. (Xem thêm Luận điểm của CoinFund về AI để biết thêm về sự giao thoa giữa AI và tiền điện tử). Sau khi phát hiện, các kỹ thuật như chạy trước giao dịch và bộ ngắt mạch tự động có thể được triển khai để giảm thiểu tổn thất tài sản.

Mạng/Cộng đồng bảo mật: Web3 được thúc đẩy bởi sự tham gia của cộng đồng. Có cộng đồng nhà phát triển (tức là Nhà phát triển DAO), cộng đồng nhà đầu tư (tức là FlamingoDAO) và cơ sở hạ tầng cho cộng đồng tài chính (tức là SyndicateDAO, Juicebox). Sẽ có các giải pháp và nền tảng bảo mật chiến thắng tổng hợp tốt nhất và huy động các chuyên gia tập trung vào bảo mật tham gia bảo mật web3. Ví dụ, ImmuneFi, người gần đây đã huy động được 24 triệu đô la cho Series A, đã chứng minh sức mạnh của việc tận dụng cộng đồng để bảo mật mã cho web3 bằng cách tạo và khuyến khích một mạng lưới tin tặc mũ trắng xác định các lỗ hổng và lỗi trong hợp đồng thông minh. Đến nay, Immunefi đã hỗ trợ hơn 65 triệu đô la tiền thưởng lỗi trả tiền cho tin tặc đạo đức. Các ví dụ ban đầu khác giống như nó bao gồm mã4rena, An toàn3và PwnedKhôngThêm. Mạng phân tán của Forta khuyến khích mạng lưới các chuyên gia bảo mật và những người có sở thích xây dựng và triển khai các bot phát hiện, hợp đồng thông minh phát hiện và phản hồi các hợp đồng thông minh độc hại bằng cách cảnh báo cho người dùng hoặc người tạo hợp đồng. Forta tận dụng mạng của mình để tạo ra các giải pháp dựa trên máy học nhằm phát hiện các hợp đồng thông minh độc hại .

Giải pháp bảo mật giao dịch cho người tiêu dùng và tổ chức: Các sản phẩm bảo mật ví và giao dịch trực tiếp với người dùng được người dùng dApp/giao thức mua, sẽ đóng một vai trò quan trọng trong bảo mật tài sản web3 cho cả cá nhân và tổ chức. Các giải pháp cũng có thể được bán cho chính ví như một cách để làm cho trải nghiệm tổng thể về việc sử dụng ví an toàn hơn. Mặc dù các ví cũng có thể hoạt động để tự xây dựng chức năng bảo mật cho các sản phẩm của mình, nhưng các giải pháp tập trung vào bảo mật xây dựng một con hào công nghệ bằng cách sử dụng các thuật toán độc quyền để phát hiện rủi ro và giúp tích hợp dễ dàng nhất có thể sẽ nổi bật hơn phần còn lại và tạo ra một trường hợp mạnh mẽ để mua hơn là xây dựng. Một ví dụ tuyệt vời về việc xây dựng công ty theo hướng này là Xác định lại, cung cấp các cảnh báo và đánh giá rủi ro giao dịch theo thời gian thực được thông báo bằng sự kết hợp giữa các cơ chế giám sát và mô phỏng giao dịch theo thời gian thực và được gửi trực tiếp đến thực thể được khuyến khích nhất để bảo vệ tiền, người dùng. Một số giải pháp kiểu “tường lửa” khác bảo vệ người giao dịch cụ thể bao gồm Shield, Hexagon và Kiểm tra độ tin cậy của Web3Builders.

Đi xa hơn kiểm toán: Thông thường, các công ty kiểm toán lớn nhận ra nhu cầu sản xuất để mở rộng dịch vụ của họ và làm cho công ty của họ có khả năng mở rộng hơn. Halborn, mặc dù ngày nay tập trung chủ yếu vào kiểm toán thủ công, đang xây dựng với mục đích mang lại các công cụ tự động hóa quy trình để kiểm tra và phát hành ra thị trường. Các công ty như Quantstamp và Sherlock, một công ty thuộc danh mục đầu tư của CoinFund, đang thực hiện một cách tiếp cận khác bằng cách khám phá sự giao thoa giữa kiểm toán chứng khoán và bảo hiểm tài sản.

Điều gì là quan trọng trong bảo mật web3?

Ở cấp độ cao, có một vài luận điểm chính thúc đẩy suy nghĩ của tôi hướng tới phát triển bảo mật web3:

• Xác định các bên liên quan an ninh chính: Web3 giới thiệu một sự thay đổi cơ bản trong cách chúng ta nghĩ về thị trường mục tiêu của các sản phẩm và dịch vụ bảo mật. Các nhà phát triển và dự án, được thúc đẩy bởi việc áp dụng sản phẩm web3 và người dùng, được thúc đẩy để bảo vệ tài sản của họ, là những khách hàng giải pháp bảo mật quan trọng nhất. Điều này khác với web2 nơi các doanh nghiệp chịu trách nhiệm pháp lý và kinh tế để bảo vệ dữ liệu người dùng. Trong một thế giới nơi người dùng sở hữu dữ liệu của riêng họ, họ cũng thừa hưởng thách thức bảo vệ dữ liệu đó và sẽ sử dụng các giao thức an toàn nhất cũng như các sản phẩm mới cho phép người dùng bảo mật trực tiếp tài sản của họ.
• Phòng ngừa, giảm thiểu và ứng phó: Bảo mật là một cách tiếp cận nhiều lớp (IBM) và cần phải liên tục và chiến lược bảo mật chủ động không được thực hiện bằng cách tập trung (gần như độc quyền) ngày nay vào kiểm tra trước khi ra mắt trong web3. Mã không bao giờ có thể hoàn toàn không có lỗ hổng, điều này khiến cho việc giảm thiểu khai thác và phản hồi theo thời gian thực cần thiết trong web3 cũng như trong web2.
• Sự kết hợp giữa bảo mật truyền thống và chuyên môn web3: Bảo mật trong lịch sử là một thị trường đầy thách thức và đông đúc, nơi tài năng và chiến lược của tin tặc không ngừng phát triển. Mặc dù có hàng nghìn công ty khởi nghiệp về bảo mật trên thị trường nhưng chỉ một số ít đạt được tiềm năng đột phá. Những người sáng lập linh hoạt và có khả năng lặp lại nhanh, hiểu rõ về bảo mật truyền thống và bối cảnh bảo mật web3 đang phát triển là những người hấp dẫn nhất. Mặc dù web3 là mới, nhưng các vấn đề và giải pháp bảo mật cơ bản đã được hiểu rõ. Do đó, các nhà nghiên cứu bảo mật đã dành nhiều năm tìm hiểu các lỗ hổng trong công nghệ sẽ dẫn đường cho việc bảo mật web3

Những gì chúng tôi tìm kiếm trong một cơ hội an ninh có thể đầu tư

Tại CoinFund, chúng tôi đầu tư vào các công ty đang tạo ra các chuỗi khối dễ dàng hơn để xây dựng, sử dụng và truy cập một cách an toàn. Các giải pháp, sản phẩm và mạng có thể mở rộng giúp thúc đẩy bảo mật web3 là những phần quan trọng của tầm nhìn đó. Các nhóm hấp dẫn nhất, từ góc độ đầu tư là các nhóm có (1) chuyên môn về bảo mật deep web2 cũng như quan điểm về tiền điện tử, (2) khả năng xác định “ai quan tâm” nhất đến bảo mật mà họ cung cấp và bán hiệu quả cho các bên liên quan đó cho dù họ là nhà phát triển giao thức hay người dùng tổ chức và cá nhân, (3) một sản phẩm hoặc mạng có thể mở rộng quy mô phù hợp với khả năng phục vụ khách hàng của công nghệ cơ bản.

Trong thị trường bảo mật web3, cũng như trường hợp bảo mật web2, hàng nghìn giải pháp sẽ được tạo ra. Tuy nhiên, tương đối ít sẽ có quy mô trở thành doanh nghiệp tỷ đô và CoinFund đặt mục tiêu hợp tác với những người sáng lập với mục tiêu trở thành tiêu chuẩn hàng đầu trong ngành khi thị trường bảo mật cho công nghệ web3 phát triển. Chúng tôi muốn đầu tư vào các nhóm đang mở rộng ngăn xếp bảo mật web3. Nếu bạn đang xây dựng một công cụ dành cho nhà phát triển để giúp các nhà phát triển xây dựng với tư duy ưu tiên bảo mật, một giải pháp giúp mở rộng trọng tâm bảo mật từ phòng ngừa sang giảm thiểu và phản hồi hoặc một công cụ giúp người dùng blockchain hàng ngày bảo vệ tài sản của họ, thì chúng tôi đang tìm kiếm Bạn.

Có nhiều lĩnh vực bảo mật web3 mà chúng tôi đã loại bỏ khỏi bài đăng này. Quản lý khóa an toàn, lưu ký an toàn và quyền riêng tư nằm sâu trong chính chúng. Điều gì là quan trọng nhất trong bảo mật web3 đối với bạn? Tôi muốn nghe nó trong các bình luận hoặc trong DM của tôi. Ngoài ra, nếu bạn đang xây dựng giải pháp trong không gian bảo mật web3, tôi rất muốn trò chuyện. Chúc mừng!

TG: @isaiahwash

Email: isaiah@coinfund.io

[Cảm ơn nhóm CoinFund cũng như Mooley Sagiv(Certora), Jesse Tasman(Redefine), Don Ho(Quantstamp), Catrina Wang(Protocol Labs) và những người khác đã giúp tôi tinh chỉnh suy nghĩ của mình]

Các quan điểm được thể hiện ở đây là quan điểm của cá nhân nhân sự của CoinFund Management LLC (“CoinFund”) được trích dẫn và không phải là quan điểm của CoinFund hoặc các chi nhánh của nó. Một số thông tin nhất định trong tài liệu này đã được lấy từ các nguồn của bên thứ ba, bao gồm từ các công ty danh mục đầu tư của các quỹ do CoinFund quản lý. Mặc dù được lấy từ các nguồn được cho là đáng tin cậy, CoinFund đã không xác minh độc lập thông tin đó và không đưa ra tuyên bố nào về tính chính xác lâu dài của thông tin hoặc tính phù hợp của nó đối với một tình huống nhất định. Ngoài ra, nội dung này có thể bao gồm các quảng cáo của bên thứ ba; CoinFund đã không xem xét các quảng cáo như vậy và không xác nhận bất kỳ nội dung quảng cáo nào có trong đó.

Nội dung này chỉ được cung cấp cho mục đích thông tin và không được dựa vào như lời khuyên về pháp lý, kinh doanh, đầu tư hoặc thuế. Bạn nên tham khảo ý kiến ​​của các cố vấn của riêng mình về những vấn đề đó. Các tham chiếu đến bất kỳ chứng khoán hoặc tài sản kỹ thuật số nào chỉ dành cho mục đích minh họa và không cấu thành khuyến nghị đầu tư hoặc đề nghị cung cấp dịch vụ tư vấn đầu tư. Hơn nữa, nội dung này không hướng đến cũng như không nhằm mục đích sử dụng bởi bất kỳ nhà đầu tư hoặc nhà đầu tư tiềm năng nào và không được dựa vào bất kỳ trường hợp nào khi đưa ra quyết định đầu tư vào bất kỳ quỹ nào do CoinFund quản lý. (Đề nghị đầu tư vào quỹ CoinFund sẽ chỉ được thực hiện bởi bản ghi nhớ phát hành riêng lẻ, thỏa thuận đăng ký và các tài liệu liên quan khác về bất kỳ quỹ nào như vậy và cần được đọc toàn bộ.) Bất kỳ khoản đầu tư hoặc công ty danh mục đầu tư nào được đề cập, đề cập đến, hoặc được mô tả không phải là đại diện cho tất cả các khoản đầu tư vào các phương tiện do CoinFund quản lý và không có gì đảm bảo rằng các khoản đầu tư sẽ sinh lời hoặc các khoản đầu tư khác được thực hiện trong tương lai sẽ có các đặc điểm hoặc kết quả tương tự. Danh sách các khoản đầu tư được thực hiện bởi các quỹ do CoinFund quản lý (không bao gồm các khoản đầu tư mà nhà phát hành không cho phép CoinFund tiết lộ công khai cũng như các khoản đầu tư không thông báo vào tài sản kỹ thuật số được giao dịch công khai) có sẵn tại https://www.coinfund.io/portfolio.

Các biểu đồ và đồ thị được cung cấp bên trong chỉ nhằm mục đích cung cấp thông tin và không nên dựa vào khi đưa ra bất kỳ quyết định đầu tư nào. Hiệu suất trong quá khứ không cho thấy kết quả trong tương lai. Nội dung chỉ nói kể từ ngày được chỉ định. Mọi dự đoán, ước tính, dự báo, mục tiêu, triển vọng và / hoặc ý kiến ​​thể hiện trong các tài liệu này có thể thay đổi mà không cần thông báo trước và có thể khác hoặc trái ngược với ý kiến ​​của người khác.