原文标题:《Web3Security:SecuringthePathtoCryptoAdoption》
作者:IsaiahWashington,CoinFund研究员
编译:饼干,ChainCatcher
Chainalysis的2022年Web3漏洞报告显示智能合约损失超过30亿美元,这些数据暴露了Web3安全形势的不成熟和未充分汲取安全案例的经验。Web2和Web3技术之间的根本差异为攻击或保护用户数据和资产创造了新的机会。
根据麦肯锡的数据,目前全球网络安全市场估计约为1670亿美元。随着Web3沿着S曲线得到大规模采用,这个市场将包括财务和非财务数据,因此我们至少会看到一个类似千亿规模的Web3安全市场。
美SEC:对加密对冲基金BKCoin和负责人Kevin Kang采取紧急行动:金色财经报道,美国证券交易委员会 (SEC) 宣布已对加密对冲基金 BKCoin Management提起紧急诉讼。此外,其联合创始人Kevin Kang也将受到审查。SEC称,至少从 2018 年 10 月到 2022 年 9 月,BKCoin 从至少 55 位投资者那里筹集了大约 1 亿美元用于投资加密资产,但 BKCoin 和 Kang 却使用部分资金进行庞氏式支付并供个人使用,其有权通过提起的紧急行动冻结BKCoin和Kevin Kang的资产。此外,该委员会已获准任命一名接管人和其他紧急救济人员。
金色财经此前报道,这位联合创始人于 2022 年 12 月因涉嫌挪用客户资金达 1200 万美元而被解雇。[2023/3/7 12:46:04]
Web3安全性并没有被破坏,而是不发达。与Web2中的安全解决方案类型的广度相比,当前Web3安全公司的生态系统才刚刚起步。在所有完成A轮融资或年收入超过300万美元的Web3安全公司中,大多数都是以服务为基础,主要业务是智能合约审计。
CoinW共享矿池和环时矿业达成战略合作:据官方消息,CoinW共享矿池与环时矿业达成战略合作,双方将通过发挥区块链优势、技术服务、市场渠道等综合产业优势,建立互帮互助的全球业务拓展的战略合作,在全球化品牌营销、生态社区建设等方面深入合作。
CoinW共享矿池为CoinW旗下矿池品牌,联合矿场矿池进行全方位合作,共享矿业发展。[2021/3/8 18:25:49]
审计工作的流程是手动仔细检查项目的代码并标记安全漏洞。虽然审计是Web3安全的重要支柱,但2022年发生了167起重大黑客攻击。其中一半是针对经过审计的智能合约,表明该领域需要更多的安全基础设施和自动化。
Web3安全格局
Web3安全公司的业务可以分为三大类:审计、工具和社区。在工具和社区中,很多早期活动是安全代码开发、持续或运行时监控、安全漏洞赏金和竞争社区,以及交易安全。
58COIN四大合约今日12时统一调整手续费率:据58COIN官方公告,其合约交易区将于香港时间10月27日12:00统一调整手续费率至“Maker 0.03%、Taker 0.03%”。该调整适用于USDT合约、币本位合约、季度合约以及混合合约。[2020/10/27]
安全代码开发:安全产品需要集成到开发人员流程中。帮助开发人员以“安全第一”的心态构建并防止开发人员部署错误代码,该解决方案可以使审计业务在Web3中更具可扩展性。CoinFund的投资组合公司Certora是支持该论点的案例,它提供了通过正式验证策略保护智能合约的工具,旨在让智能合约在部署和预审计之前最大限度地减少智能合约漏洞。其他创新示例包括持续的安全开发工具,例如正在开发Dev0x的EnigmaLabs,该工具适用于安全产品编排的开发人员。此外,还有交易和生态系统测试和模拟工具,如Tenderly、ChaosLabs和Gauntlet。这些项目允许开发人员在正式部署智能合约之前管理和预测其输出结果,从而为开发人员安全工具集做出贡献。
外媒:Brave浏览器在添加Bitcoin.com交易微件后面临批评:基于隐私的Brave浏览器在为Bitcoin.com添加了一个新的加密货币交易微件后正面临着批评,因该微件默认购买BCH的选项。Bitcoin.com是一个以亲BCH闻名的网站。一些用户认为该网站推广BCH具有误导性,因为这可能会诱使新手相信自己是在购买比特币,但却购买了BCH。(cryptoglobe)[2020/10/9]
持续/即时监控:?Chainalysis和TRMLabs等公司已筹集了6.865亿美元用于事后AML检测、调查和数据分析。然而,用于主动预防安全漏洞的即时监控解决方案市场仍然相当欠缺。Forta和Cyvers等公司正在通过实时监控漏洞和预防检测等功能填补这一空白。Forta是一个用于持续运行时监控的分布式网络,而CyVers是一个利用机器学习持续监控多个网络并为交易所、托管人和DeFi协议提供攻击检测的解决方案。。通过这些解决方案的检测后,开发人员可以部署交易抢先程序和自动断路器等技术方案来减少资产损失。
动态 | Bitcoin Group SE收购Tremmel 100%股权:据彭博消息,Bitcoin Group SE收购Tremmel 100%股权。[2018/11/12]
安全网络/社区:Web3由社区参与驱动,主要的社区可分为开发者社区、投资者社区和金融社区基础设施。可以预见的是,未来的安全解决方案和平台可以更好地聚集和动员专业安全人员参与保护Web3。例如,最近为其A系列筹集了2400万美元的ImmuneFi,正在通过创建和激励白帽黑客网络来识别智能合约中的漏洞和错误,这是利用社区的力量来保护Web3代码。迄今为止,Immunefi已促成向白帽黑客支付了超过6500万美元的漏洞赏金。其他类似的早期例子包括Code4rena、Secure3和PwnedNoMore。Forta的分布式网络可以激励安全专家或爱好者来构建和部署检测机器人、智能合约等,用于提醒用户合约风险和响应恶意智能合约。
消费者和机构交易安全解决方案:面向用户的交易和钱包安全产品将在Web3资产安全中发挥重要作用。该解决方案也可以出售给钱包,让其整体使用体验更加安全。虽然钱包也可以在其产品中内置安全功能,但通过使用专有算法来检测风险并尽可能简化集成的解决方案将脱颖而出。Redefine是探索这个方向的公司,它提供实时交易风险评估和警报,这些警报通过实时模拟交易和监控机制,直接将风险信息传递给终端用户。其他一些专门保护交易者的“防火墙”解决方案包括Shield、Hexagon和Web3Builders的TrustCheck。
审计业务的扩展:通常,审计公司认为需要产品化来让公司更具可扩展性。Halborn虽然目前主要专注于手动审计,但其构建的目的是将用于审计和开发运营的流程自动化工具推向市场。Quantstamp和CoinFund投资组合公司Sherlock等公司正在采取另一种方法,探索安全审计和资产保险的交叉点。
思考Web3安全中的重要组成部分
在高层次上,有几个关键论点引发我对Web3安全开发的思考:
关键安全利益相关者的识别:Web3让我们对安全产品和服务目标市场的看法发生根本转变。Web3开发人员、项目、用户是最重要的安全解决方案客户。这与Web2不同,在Web2中,企业对保护用户数据负有法律和经济责任。在用户拥有自己数据的世界中,他们也面临着保护数据的挑战,用户需要直接保护自己的资产。
预防、缓解和响应:安全是一种分层方法(?IBM),需要持续和主动的安全策略,而目前Web3中的启动前审计无法实现这一点。代码不可能完全没有漏洞,这使得Web3和Web2中都需要实时漏洞利用的缓解和响应方案。
传统安全和Web3专业知识的结合:安全在历史上是一个非常具有挑战性和拥挤的市场,黑客人才和前沿策略在不断发展。尽管市场上有成千上万的安全初创公司,但只有少数具有突破潜力。尽管Web3很新颖,但基本的安全问题和解决方案已广为人知。因此,花费数年时间了解技术漏洞的安全研究人员将引领保护Web3的道路。
Web3安全投资机会
可扩展解决方案、产品和网络是构建Web3安全的重要组成部分。从投资的角度来看,最具吸引力的团队是具有(1)深厚的Web2安全专业知识和密码学观点的团队,(2)能够桥接Web3安全的协议与开发人员、机构和个人用户的平台,可以为Web3安全人员的能力提供价值。(3)可以根据底层技术服务客户的产品或网络。
在Web3安全市场,就像Web2安全一样,将创建数以千计的解决方案,或许相对较少的企业会扩展到十亿美元的企业,CoinFund的目标是与创始人合作,我们希望投资于正在扩展Web3安全堆栈的团队。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。