半年で20億ドル以上の損失、ブロックチェーンセキュリティ分野が資本に狂ったように奪われる

著者：Flowie、チェーンキャッチャー

Acalaがハッキングされ、12億以上のステーブルコインAUSDが発行され、Solanaエコシステムのウォレットが大規模に盗まれました……誇張ではなく、2022年のブロックチェーンのこの半年間の半分のホットトピックは安全問題によるものです。

Certikが発表した安全報告によると、2022年の最初の6ヶ月間で、ブロックチェーンとWeb3プロジェクトはハッキングと脆弱性の悪用により20億ドル以上の損失を被り、2021年全体の合計をすでに超えています。

安全問題が発生する中、多くのプロジェクトのスマートコントラクトは安全監査を受ける必要がありますが、半年後まで待たなければならないかもしれません。監査が完了しても、皆が見ているように、依然として攻撃のリスクに直面します。

ブロックチェーンの安全性は間違いなく必要不可欠ですが、現実として、プロジェクト側も一般ユーザーも、安全を感じることが非常に難しいようです。

このような背景の中で、新たに参入する安全サービスプロバイダーが次々と現れています。現在までに、2022年にはCarret、BlockSec、Secure3、Halborn、Redefineなどの国内外の安全会社が大規模な資金調達を行い、その中でCertikはほぼ1年の間に4回の資金調達を行い、市場の熱気が伺えます。

この記事では、安全の「守護者」の現状から、ブロックチェーンの安全がどのような困難に直面しているのか、業界の構図がどのように変化しているのかを見ていきます。

まだ「開拓中」のブロックチェーン安全サービス

ブロックチェーンは「野蛮」に成長し、安全の需要が急増していますが、安全サービスは追いついていません。

BlockSecの共同創設者である周亞金は、「スマートコントラクトの安全監査は2-3ヶ月待ちが近年の常態であり、多くのプロジェクトの安全監査サービスは半年後まで待たなければならない」と述べています。成都チェーンセキュリティのデータによれば、2022年第2四半期に攻撃を受けたプロジェクトの中で、一般的なプロジェクトは安全監査を受けていないことが多かったです。

安全サービスプロバイダーが次々と現れる中、YM Capitalの投資家Thomasは、「本当に供給能力があり、ブランドに一定の影響力を持つサービスプロバイダーは不足しており、世界にはせいぜい一二十社しかない」と考えています。周亞金は、安全監査においてConsensys Diligence、Trail of Bits、Chain Security、Certikなどの早期参入の有名企業がいくつか存在するものの、実際には彼らが占める市場シェアはそれほど大きくなく、全体の市場は依然として非常に分散しています。

さらに、具体的な細分化された分野では、参入するプレイヤーが異なるニーズを十分にカバーしておらず、大部分は収益モデルが明確で良好なキャッシュフローを持つ安全監査に「巻き込まれ」ています。

実際、従来のインターネットセキュリティと同様に、ブロックチェーンの安全サービスも大きく分けてBtoBとBtoCに分類されます。BtoBでは、ブロックチェーンプロジェクトの安全性は、上チェーン前と上チェーン後に分かれます。上チェーン前は主にスマートコントラクトコードの安全監査、上チェーン後は攻撃の追跡や危険情報などのリアルタイム監視が行われます。一方、BtoCでは、主にユーザーのウォレットやNFTなどの各種資産の安全が関わります。

周亞金は、全体の安全サービス市場において、BtoBのDApp開発者の運営の安全性や、BtoCのユーザーのウォレット、NFTの安全など、重要な安全サービスが比較的空白の市場であると考えています。「ブロックチェーンの安全サービスはほぼ開拓の状態にあります」。

なぜ供給と需要の不均衡が常態化しているのか？

供給と需要の不均衡の背後にある理由は理解しやすいです。まず、ブロックチェーン業界のオープンソース特性と現在の発展段階が、ブロックチェーン安全サービスの需要を「野蛮に成長」させています。

YM Capitalの投資家Thomasがブロックチェーン安全分野に賭ける基本的な判断は、「従来のインターネットセキュリティと比べて、ブロックチェーンの安全性はより必要不可欠である」ということです。

一方で、ブロックチェーン業界はコードのオープンソースを非常に重視しており、これにより多くのプロジェクトのソースコードがすべての人に公開され、ハッカーなどの技術者がその中の脆弱性を発見するための天然の便利さが増しています。もう一方で、現在のブロックチェーンプロジェクトは参入障壁が非常に低く、規制が欠如しており、プロジェクトの質もまちまちで、プロジェクト側とユーザーは安全監査などの方法で自らの安全を保証する必要があります。

さらに、Web3の安全サービスはWeb2と比べて大きな痛点があり、攻撃者は脆弱性を実行することで利益を得ることができます。Web2の世界では、攻撃者は主要なサービスを停止させたり、データを盗んだり、悪意のあるソフトウェアを販売したりして利益を得ることができますが、収益は依然として限られています。しかし、Web3の世界では、ブロックチェーンコードがさまざまな複雑な経済金融シーンにリンクし、ユーザーの暗号資産に直接関連しているため、一つの脆弱性が攻撃者に数百万ドル、あるいは数千万ドル以上の利益をもたらすことが容易です。「コミュニティの監視と共創に直面して、ブロックチェーンの安全製品は毎回の更新に複雑な説明プロセスが必要であり、従来のインターネットと比べて迅速な製品の反復が難しいため、製品の安全性も上線前に慎重に考慮する必要があります。」

このように安全がより必要不可欠な状況下で、ブロックチェーン製品は安全に対する需要と支払い意欲が非常に高いです。CertikのB3ラウンドの資金調達から公開されたデータによると、2021年にCertikの収益は12倍、利益は3000倍に増加しました。

需要側が野蛮に成長する中で、供給側にも多くの「力不足」があります。

初期の従来のインターネットセキュリティが手動でローカルデータベースに攻撃方法をマッチさせる「土方法」を必要としたのと似ています。安全監査だけを見ても、大部分のサービスプロバイダーはほとんど標準化自動化を実現できず、これは供給能力が非常に人力に制約されることを意味します。

人力で推進できたとしても、どこでそんなに多くの適格な安全監査人材を見つけるかは大きな疑問です。契約監査は具体的なビジネスシーンに基づいて行う必要があり、ブロックチェーンの異なるチェーンやシーンに必要な監査能力は異なります。適格な監査人材は非常に希少です。多くの監査能力を持つ技術者は、独立したハッカーやホワイトハットハッカーになることをより好むかもしれません。スマートコントラクトの攻撃を行ったり、スマートコントラクトの脆弱性を報告して報酬を得たりすることで、より多くの利益を得ることができます。今年に入ってから、ブロックチェーン業界ではすでに100万ドルを超える脆弱性報酬がいくつか発生しています。

供給と需要の完全な不均衡に加えて、Go+ Securityの創設者Mikeは、より核心的な問題が安全資源の供給と需要の構造の不一致にあり、マッチング効率が非常に低いことだと考えています。

安全問題について話すとき、私たちは安全守護者を安全監査に押し込めてしまうようです。しかし、開発プロセス全体で自己テストを行い、契約設計を最適化し、コード品質を向上させ、同時に脆弱性スキャンを行うなどの側面で、適切なツールやサービスがあれば、実際には監査の作業量を大幅に削減できるのです。「業界の現状は、多くの専門的な安全監査者が非常に初歩的なコードレベルのエラーに多くのエネルギーを浪費していることです。」

「標準化」が核心競争力

現在の市場には多くの想像の余地があり、ブルーオーシャンの中で、新旧のプレイヤーに関わらず、安全技術自体の反復以外に、基本的には二つの痛点でより大きな機会を探しています。一つは、より標準化され、自動化された製品を導入して限界コストを下げ、発展のボトルネックを打破すること。もう一つは、より多くの細分化されたシーンや特定のプロセスをカバーし、より多くの安全予算を獲得することです。

資金調達の勢いが最も強いCertikを見てみると、上チェーン前の安全監査に加えて、Certikは上チェーン後に7*24時間無停止で運用される自動監視SaaSプラットフォームSkynetを導入し、安全脅威に対抗しています。OpenZeppelinは、ゲーム化技術を使用してスマートコントラクト内の安全脆弱性を特定し、「Defender」などのサービスを提供して、プロジェクトがスマートコントラクト管理の自動化を実現し、自動化スクリプトを作成するのを助けています。

最近新たな資金調達を終えたBlockSecは、上チェーン前の安全監査サービスを提供するだけでなく、上チェーン後のブロックチェーンプロジェクトにリアルタイムの安全監視サービス製品も提供します。

「現在のところ、ブロックチェーンの安全監査プロジェクトは株式資金調達による上場モデルが主流であり、SaaS化された標準化自動化製品を導入できなければ、基本的に上場を成功させることは不可能です」とMirana Venturesの投資家Kennethは考えています。これも製品のSaaS化を促進する要因の一つです。「しかし、現在のブロックチェーンは進化が早く、細分化されたシーンが多く、攻撃事件の問題が複雑で、SaaS類似のソフトウェアが安全サービスを提供することは市場に受け入れられていません。大部分はケースバイケースであり、これも新たに参入するプレイヤーに多くの追い越しの機会を提供しています。」

人工監査を申請するだけでなく、ますます多くのプロジェクトが自動化監査を同時に求めるようになっています。

より自動化を追求するために、業界で一般的に使用される手段は形式的検証（formal verification）です。この方法では、安全ルールを事前に定義し、その後顧客のコードがこれらのルールに適合していることを証明することで、これらのルールに違反する安全脆弱性を回避します。

しかし、BlockSecの創設者である周亞金は、多くの安全脆弱性がスマートコントラクトの具体的なビジネスシーンに関連しているため、コードの正確性を保証するだけではスマートコントラクト全体の安全性を保証できないと考えています。また、形式的検証ルール自体もプロジェクトに対してカスタマイズする必要があります。したがって、具体的な操作において、BlockSecは「攻撃」の視点からコード監査を行い、具体的な技術には攻撃面の抽出と分析、そして自動化Fuzzing（ファジーテスト）などの技術を組み合わせた全体的なソリューションを使用します。

Go+ Securityの創設者Mikeの見解も同様で、現在国内外の業界の認識は、形式的な検証が技術効率を明確に向上させる方法を見つけておらず、人工監査を置き換えることはまだ難しく、全体の監査プロセスにおける割合も比較的低いです。

自動化の思考がまだ十分に解決されていない時点で、従来の安全監査会社において、監査プロセスの設計は実際には監査会社の核心競争力です。「例えばQuantstampのように、同時に三重監査を行います。ビジネス表現の核心は、十分な人力を投入して十分な監査を行い、良好な安全結果を保証し、サービスの事例を通じて自らを裏付けることです。」

BtoBのブロックチェーン安全サービスプロバイダーにとって、技術能力に加えて、ブランド能力も核心競争力の一つです。コミュニティをうまく運営し、市場に自らの安全実力を発信するための戦略的な協力が特に重要です。

従来のインターネットセキュリティが最初にBtoCの安全から始まった道筋とは逆に、ブロックチェーンの安全は現在も主にプロジェクト側に集中しており、BtoCの安全サービスは比較的冷淡です。

しかし、C端ビジネスを選択する少数の起業家もいます。Go+ Securityの創設者Mikeもその一人です。Go+ Securityは動的リスク検出プラットフォームを通じて、データAPIの形でWeb3アプリケーションに接続し、ユーザーのリスクシーンをカバーし、ユーザーが遭遇する可能性のある資産や行動リスクをリアルタイムで識別します。例えば、契約検出に基づくトークン、NFT、権限検出、ユーザー使用シーンに基づくフィッシングサイト、フィッシングメール、コミュニティ詐欺などが含まれ、ユーザーに安全防護を提供する一方で、Web3アプリケーション以前に処理が難しかったユーザー側のリスクを剥離しています。

Mikeは、従来のインターネットの経験から見ると、少数のユーザーしか安全に対して支払わないが、Web3ユーザーは安全サービスの収益モデルがより明確であると考えています。これは、車を購入する際に必ず保険に入る必要があるのに似ています。安全サービスは将来的にすべてのWeb3ユーザーにとって必須のサービスになる可能性があり、BtoCの核心は実際には安全なトラフィックとデータであり、商業ロジックはBtoBのプロジェクトごとのサービス料金のロジックとは異なります。データ規模を拡大することが鍵です。「BtoCの全体的な技術アーキテクチャはむしろ迅速である必要があり、毎日新しい攻撃方法が出現し、識別と特定が必要です。安全エンジンは数百の戦略と十数の検出タイプを実行しているとき、どのように2秒以内に正確な結果を出すかがBtoCの安全の鍵かもしれません。」データ規模を拡大するためには、製品サービスを良好にするだけでなく、エコシステムの開発と集約にも依存します。

BtoCでもBtoBでも、あるいは標準化を突破できるかどうかに関わらず、Mirana Venturesの投資家Kennethは、鍵は人であり、SaaSソフトウェアも人力の研究開発が必要であるため、プロジェクトが人力の拡張能力を持つことが非常に重要であると考えています。「投資先のBlockSecやSecure3の創設チームは学術的および高等教育の背景を持ち、ブロックチェーン安全に特化した高端人材を育成でき、人件費の面でも優位性があります。」

現在の市場プレイヤーは、標準化自動化とビジネスの深さにおいて努力を続けるだけでなく、小さくて美しい戦略も登場しています。

例えば、北米には新しい監査会社がいくつかあり、精緻な監査を提供し、StepNやBanklessDaoなどの革新的なビジネスに主にサービスを提供しています。この部分の細分化市場は、従来の監査会社にとっては非常に難しいか、コストパフォーマンスが低いため、革新的なビジネスにマッチさせるために多くの複雑な修正を行う必要があります。

また、反不正行為のような非常に細分化された痛点に切り込む安全サービスの起業家もいます。多くのGameFiプロジェクトは、反不正行為のために50%の開発リソースを費やす必要がありますが、この層は将来的に介入可能なAPIのデータサービス層に変わる可能性があり、専門の反不正行為の第三者サービスがプロジェクトをより効率的に処理するのを助けることができます。

二つの曖昧な領域：料金と責任

製品の標準化に加えて、料金と責任の配分モデルも明確ではありません。

ブロックチェーンプロジェクトは安全サービスに対する支払い意欲が非常に高いですが、大きな安全予算を支出する意欲や能力があるわけではありません。たとえ一つの脆弱性がプラットフォームユーザーの多くの資産を保護したとしても、安全サービスプロバイダーがどの程度の割合を受け取るか、どのように料金を設定するかは問題です。

従来のプロジェクトで一般的な料金モデルは基本的に三つのタイプがあります。一つはプロジェクトごとにサービス料金を請求するか、SaaSモデルで料金を請求すること。二つ目は、保護プロジェクトのネットワーク資産の一定割合の手数料を請求すること。三つ目は、安全APIを提供し、呼び出し回数に応じて料金を請求することです。トークン類のプロジェクトであれば、内蔵トークンモデルを通じて支払い目的を達成することもありますが、このような成熟した方法はまだ存在していません。

周亞金は、コード監査は通常プロジェクトの規模に応じて、回数ごとに料金を請求すると述べています。スマートコントラクトが上チェーンされた後、データ監視の部分はサブスクリプション制を採用し、年単位で料金を請求します。また、損失回収サービスについては、サブスクリプション制の他に、回収金額に応じてパーセンテージで料金を請求します。

しかし、Mirana Venturesの投資家Kennethは、「業界内には実際に明確な料金基準がなく、皆がSaaSを導入することを強調しているにもかかわらず、料金は依然としてケースバイケースであり、似たようなプロジェクトが最終的に支払う金額が大きく異なることは市場の拡大に不利です」と考えています。

料金モデルが標準化されていないだけでなく、安全監査や保護類のプロジェクトが最終的に攻撃を受けた場合、誰が責任を負うのでしょうか？現時点では、攻撃を受けたプロジェクトのほとんどは安全監査を受けており、多くは有名な安全会社からのアップグレードを受けていますが、それでも攻撃を受ける運命を避けることはできませんでした。

Kennethは、従来の四大監査法人の監査サービスのように、一旦問題が発生すると、第三者が上から下までのルールを制定し、プロジェクトの責任とサービスプロバイダーの責任を明確にする仕組みがあると述べていますが、現在のブロックチェーンの安全サービスにはこのようなルールが確立されていません。「将来的にこのようなルールがあったとしても、法律や規制の不十分さ、異なる国や地域のルールの違いが、責任の審査や追及の難題を引き起こすでしょう。」

エコシステム化、細分化が大勢となる

「市場シェアの観点から見ると、ブロックチェーン安全サービスと従来のインターネットセキュリティの最終的な構図は似ており、依然として数社の主要な企業が市場全体をリードすることになるでしょう」とBlockSecの創設者周金亞は判断しています。

たとえ主要なプレイヤーが現れても、地域的な主要プレイヤーである可能性が高いです。Mirana Venturesの投資家Kennethは、最近のTornado Cashが反マネーロンダリングで制裁を受けたことから、安全サービスは今後コード監査からプライバシーデータなどの他のサービスに拡大することになるが、地域の政策に制約されることが多く、多くのデータ関連ビジネスは国境を越えることができないと考えています。

市場の構図が安定し成熟する過程で、YM Capitalの投資家Thomasは、Web2の発展経験から見ると、安全ビジネス自体には多くの合併の機会が存在し、水平的な合併と垂直的な合併が含まれ、今後安全会社は安全の境界を突破し、非安全の他のデータビジネスに拡大する可能性があると述べています。

現在の状況から見ると、多くのいわゆるWeb3安全会社は依然として非常にWeb2の心態を持っており、本質的にはサービスの顧客がWeb2からWeb3に切り替わっただけです。YM Capitalの投資家Thomasは、よりWeb3の分散型形態の会社や組織、またはチャネルが去中心化された安全ネットワークを構築できるかどうかを期待しています。

Go+ Securityの創設者Mikeも、異なる細分化された分野にはいくつかの主要な会社が存在しますが、従来のインターネットセキュリティサービスと比べて、よりエコシステム化されており、一つの主要な会社が市場全体を独占することはないと考えています。

ブロックチェーン安全の分野は非常に大きな市場ですが、根本的な問題を解決するためには、プロジェクトが上線前にできるだけ脆弱性を解消することに依存するだけでなく、ホワイトハットハッカーなどの独立した研究者が上線後に報酬モデルに基づいて脆弱性を継続的に発掘することが必要です。また、規制メカニズムやユーザー教育などの面でも力を入れ、ブロックチェーンプロジェクトに対する全方位的で全周期の安全保障メカニズムを形成する必要があります。