CoinFund：Web3 보안 서비스 트랙 개요 및 생각

원문 제목：《Web3 보안: 암호화폐 채택을 위한 경로 확보》

저자：Isaiah Washington, CoinFund 연구원

편집：쿠키, ChainCatcher

Chainalysis의 2022년 Web3 취약점 보고서는 스마트 계약 손실이 30억 달러를 초과한다고 보여주며, 이러한 데이터는 Web3 보안 상황의 미성숙함과 보안 사례의 경험이 충분히 반영되지 않았음을 드러냅니다. Web2와 Web3 기술 간의 근본적인 차이는 사용자 데이터와 자산을 공격하거나 보호할 수 있는 새로운 기회를 창출합니다.

맥킨지의 데이터에 따르면, 현재 전 세계 사이버 보안 시장은 약 1670억 달러로 추정됩니다. Web3가 S 곡선을 따라 대규모 채택됨에 따라 이 시장은 재무 및 비재무 데이터를 포함하게 될 것이며, 따라서 우리는 최소한 수백억 규모의 Web3 보안 시장을 보게 될 것입니다.

Web3 보안은 파괴된 것이 아니라, 발전하지 않은 상태입니다. Web2의 보안 솔루션 유형의 폭에 비해 현재 Web3 보안 회사의 생태계는 이제 막 시작되었습니다. A 라운드 자금을 조달했거나 연간 수익이 300만 달러를 초과하는 모든 Web3 보안 회사 중 대다수는 서비스 기반이며, 주요 사업은 스마트 계약 감사입니다.

감사 작업의 과정은 프로젝트의 코드를 수동으로 면밀히 검사하고 보안 취약점을 표시하는 것입니다. 감사는 Web3 보안의 중요한 기둥이지만, 2022년에는 167건의 주요 해킹 사건이 발생했습니다. 그 중 절반은 감사된 스마트 계약을 대상으로 하였으며 (Beosin Web3 보안 보고서), 이 분야는 더 많은 보안 인프라와 자동화가 필요함을 나타냅니다.

Web3 보안 구도

Web3 보안 회사의 사업은 세 가지 주요 범주로 나눌 수 있습니다: 감사, 도구 및 커뮤니티. 도구와 커뮤니티에서 많은 초기 활동은 보안 코드 개발, 지속적 또는 실시간 모니터링, 보안 취약점 보상 및 경쟁 커뮤니티, 그리고 거래 보안입니다.

보안 코드 개발: 보안 제품은 개발자 프로세스에 통합되어야 합니다. 개발자가 "보안 우선"의 마음가짐으로 구축하고 잘못된 코드를 배포하지 않도록 방지하는 솔루션은 Web3에서 감사 비즈니스를 더 확장 가능하게 만들 수 있습니다. CoinFund의 포트폴리오 회사인 Certora는 공식 검증 전략(formal verification strategy)을 통해 스마트 계약을 보호하는 도구를 제공하여, 스마트 계약이 배포 및 사전 감사 전에 취약점을 최소화하도록 설계된 사례입니다. 다른 혁신적인 예로는 보안 제품 오케스트레이션을 위한 개발자를 위한 Dev0x의 Enigma Labs와 같은 지속적인 보안 개발 도구가 있습니다. 또한 거래 및 생태계 테스트 및 시뮬레이션 도구로는 Tenderly, Chaos Labs 및 Gauntlet이 있습니다. 이러한 프로젝트는 개발자가 스마트 계약을 공식 배포하기 전에 결과를 관리하고 예측할 수 있도록 하여 개발자 보안 도구 세트에 기여합니다.

지속적/즉시 모니터링: Chainalysis 및 TRM Labs와 같은 회사는 사후 AML 감지, 조사 및 데이터 분석을 위해 6.865억 달러를 모금했습니다. 그러나 보안 취약점을 사전에 예방하기 위한 즉시 모니터링 솔루션 시장은 여전히 상당히 부족합니다. Forta와 Cyvers와 같은 회사는 실시간 모니터링 취약점 및 예방 감지와 같은 기능을 통해 이 공백을 메우고 있습니다. Forta는 지속적인 실행 시간 모니터링을 위한 분산 네트워크이며, CyVers는 기계 학습을 활용하여 여러 네트워크를 지속적으로 모니터링하고 거래소, 수탁자 및 DeFi 프로토콜에 대한 공격 감지 솔루션을 제공합니다. (AI와 암호화의 교차점에 대한 더 많은 정보는 CoinFund의 AI 논문을 참조하십시오). 이러한 솔루션의 감지 후, 개발자는 거래 선점 프로그램 및 자동 차단기와 같은 기술 솔루션을 배포하여 자산 손실을 줄일 수 있습니다.

보안 네트워크/커뮤니티: Web3는 커뮤니티 참여에 의해 주도되며, 주요 커뮤니티는 개발자 커뮤니티(예: Developer DAO), 투자자 커뮤니티(예: FlamingoDAO) 및 금융 커뮤니티 인프라(예: SyndicateDAO, Juicebox)로 나눌 수 있습니다. 미래의 보안 솔루션과 플랫폼은 전문 보안 인력을 더 잘 모으고 동원하여 Web3를 보호하는 데 기여할 수 있을 것입니다. 예를 들어, 최근 A 시리즈에서 2400만 달러를 모금한 ImmuneFi는 화이트 해커 네트워크를 생성하고 장려하여 스마트 계약의 취약점과 오류를 식별하고 있으며, 이는 커뮤니티의 힘을 활용하여 Web3 코드를 보호하는 것입니다. 지금까지 Immunefi는 화이트 해커에게 6500만 달러 이상의 취약점 보상을 지급했습니다. 다른 유사한 초기 사례로는 Code4rena, Secure3 및 PwnedNoMore가 있습니다. Forta의 분산 네트워크는 보안 전문가나 애호가가 사용자에게 계약 위험을 알리고 악의적인 스마트 계약에 대응하기 위해 탐지 로봇, 스마트 계약 등을 구축하고 배포하도록 장려할 수 있습니다.

소비자 및 기관 거래 보안 솔루션: 사용자 거래 및 지갑 보안 제품은 Web3 자산 보안에서 중요한 역할을 할 것입니다. 이 솔루션은 지갑에 판매되어 전체 사용 경험을 더욱 안전하게 만들 수 있습니다. 지갑도 제품에 보안 기능을 내장할 수 있지만, 위험을 감지하고 가능한 한 통합을 간소화하는 독점 알고리즘을 사용하는 솔루션이 두드러질 것입니다. Redefine은 이 방향을 탐색하는 회사로, 실시간 거래 위험 평가 및 경고를 제공하며, 이러한 경고는 실시간 시뮬레이션 거래 및 모니터링 메커니즘을 통해 최종 사용자에게 직접 위험 정보를 전달합니다. 거래자를 보호하기 위한 다른 전문 "방화벽" 솔루션으로는 Shield, Hexagon 및 Web3Builders의 TrustCheck가 있습니다.

감사 비즈니스의 확장: 일반적으로 감사 회사는 제품화가 필요하다고 생각하여 회사를 더 확장 가능하게 만듭니다. Halborn은 현재 수동 감사에 주로 집중하고 있지만, 그 구축 목적은 감사 및 개발 운영을 위한 프로세스 자동화 도구를 시장에 출시하는 것입니다. Quantstamp와 CoinFund 포트폴리오 회사인 Sherlock와 같은 회사는 보안 감사와 자산 보험의 교차점을 탐색하는 다른 접근 방식을 취하고 있습니다.

Web3 보안에서 중요한 구성 요소에 대한 생각

고차원적으로, Web3 보안 개발에 대한 나의 생각을 불러일으키는 몇 가지 핵심 논점이 있습니다:

• 핵심 보안 이해관계자의 식별: Web3는 보안 제품 및 서비스의 목표 시장에 대한 우리의 관점을 근본적으로 변화시킵니다. Web3 개발자, 프로젝트, 사용자는 가장 중요한 보안 솔루션 고객입니다. 이는 Web2와 다르며, Web2에서는 기업이 사용자 데이터를 보호할 법적 및 경제적 책임이 있었습니다. 사용자가 자신의 데이터를 소유하는 세계에서 그들은 데이터 보호의 도전에 직면하며, 사용자는 자신의 자산을 직접 보호해야 합니다.
• 예방, 완화 및 대응: 보안은 지속적이고 능동적인 보안 전략이 필요한 계층적 접근 방식입니다 (IBM), 현재 Web3의 시작 전 감사로는 이를 실현할 수 없습니다. 코드는 완전히 결함이 없을 수 없으며, 이는 Web3와 Web2 모두에서 실시간 취약점 완화 및 대응 솔루션이 필요함을 의미합니다.
• 전통적인 보안과 Web3 전문 지식의 결합: 보안은 역사적으로 매우 도전적이고 혼잡한 시장이며, 해커 인재와 최전선 전략은 지속적으로 발전하고 있습니다. 시장에는 수천 개의 보안 스타트업이 있지만, 돌파구를 찾을 수 있는 것은 극소수입니다. Web3는 새롭지만, 기본적인 보안 문제와 해결책은 널리 알려져 있습니다. 따라서 기술적 결함을 이해하는 데 수년을 투자한 보안 연구원이 Web3를 보호하는 길을 이끌 것입니다.

Web3 보안 투자 기회

확장 가능한 솔루션, 제품 및 네트워크는 Web3 보안을 구축하는 데 중요한 구성 요소입니다. 투자 관점에서 가장 매력적인 팀은 (1) 깊은 Web2 보안 전문 지식과 암호학적 관점을 가진 팀, (2) Web3 보안 프로토콜과 개발자, 기관 및 개인 사용자 간의 다리를 놓을 수 있는 플랫폼으로, Web3 보안 인력의 능력에 가치를 제공할 수 있는 팀입니다. (3) 기본 기술에 따라 고객에게 서비스를 제공할 수 있는 제품이나 네트워크입니다.

Web3 보안 시장에서는 Web2 보안과 마찬가지로 수천 개의 솔루션이 생성될 것이며, 아마도 상대적으로 적은 수의 기업이 수십억 달러 규모로 확장될 것입니다. CoinFund의 목표는 창립자와 협력하여 Web3 보안 스택을 확장하는 팀에 투자하는 것입니다.