CoinFund：Web3 安全服務賽道概況與思考

原文標題：《Web3 Security: Securing the Path to Crypto Adoption》

作者：Isaiah Washington，CoinFund 研究員

編譯：餅乾，ChainCatcher

Chainalysis 的 2022 年 Web3 漏洞報告顯示智能合約損失超過30 億美元，這些數據暴露了Web3 安全形勢的不成熟和未充分汲取安全案例的經驗。Web2 和 Web3 技術之間的根本差異為攻擊或保護用戶數據和資產創造了新的機會。

根據麥肯錫的數據，目前全球網絡安全市場估計約為 1670 億美元。隨著 Web3 沿著S 曲線得到大規模採用，這個市場將包括財務和非財務數據，因此我們至少會看到一個類似千億規模的 Web3 安全市場。

Web3 安全性並沒有被破壞，而是不發達。與 Web2 中的安全解決方案類型的廣度相比，目前 Web3 安全公司的生態系統才剛剛起步。在所有完成 A 輪融資或年收入超過 300 萬美元的 Web3 安全公司中，大多數都是以服務為基礎，主要業務是智能合約審計。

審計工作的流程是手動仔細檢查項目的代碼並標記安全漏洞。雖然審計是 Web3 安全的重要支柱，但 2022 年發生了 167 起重大黑客攻擊。其中一半是針對經過審計的智能合約（Beosin Web3 安全報告），表明該領域需要更多的安全基礎設施和自動化。

Web3 安全格局

Web3 安全公司的業務可以分為三大類：審計、工具和社區。在工具和社區中，很多早期活動是安全代碼開發、持續或運行時監控、安全漏洞賞金和競爭社區，以及交易安全。

安全代碼開發： 安全產品需要集成到開發人員流程中。幫助開發人員以"安全第一"的心態構建並防止開發人員部署錯誤代碼，該解決方案可以使審計業務在 Web3 中更具可擴展性。CoinFund 的投資組合公司Certora是支持該論點的案例，它提供了通過正式驗證策略（formal verification strategy）保護智能合約的工具，旨在讓智能合約在部署和預審計之前最大限度地減少智能合約漏洞。其他創新示例包括持續的安全開發工具，例如正在開發Dev0x的Enigma Labs，該工具適用於安全產品編排的開發人員。此外，還有交易和生態系統測試和模擬工具，如Tenderly、Chaos Labs和Gauntlet。這些項目允許開發人員在正式部署智能合約之前管理和預測其輸出結果，從而為開發人員安全工具集做出貢獻。

持續 /即 時監控： Chainalysis 和 TRM Labs 等公司已籌集了 6.865 億美元用於事後 AML 檢測、調查和數據分析。然而，用於主動預防安全漏洞的即時監控解決方案市場仍然相當欠缺。Forta和Cyvers等公司正在通過實時監控漏洞和預防檢測等功能填補這一空白。Forta 是一個用於持續運行時監控的分佈式網絡，而 CyVers 是一個利用機器學習持續監控多個網絡並為交易所、托管人和 DeFi 協議提供攻擊檢測的解決方案。（另見CoinFund 關於 AI 的論文有關 AI 和加密的交叉點的更多信息）。通過這些解決方案的檢測後，開發人員可以部署交易搶先程序和自動斷路器等技術方案來減少資產損失。

安全網絡 / 社區 ：Web3 由社區參與驅動，主要的社區可分為開發者社區（例如 Developer DAO）、投資者社區（例如 FlamingoDAO）和金融社區基礎設施（例如 SyndicateDAO、Juicebox）。可以預見的是，未來的安全解決方案和平台可以更好地聚集和動員專業安全人員參與保護 Web3。例如，最近為其 A 系列籌集了 2400 萬美元的 ImmuneFi，正在通過創建和激勵白帽黑客網絡來識別智能合約中的漏洞和錯誤，這是利用社區的力量來保護 Web3 代碼。迄今為止，Immunefi 已促成向白帽黑客支付了超過 6500 萬美元的漏洞賞金。其他類似的早期例子包括Code4rena、Secure3和PwnedNoMore。Forta 的分佈式網絡可以激勵安全專家或愛好者來構建和部署檢測機器人、智能合約等，用於提醒用戶合約風險和響應惡意智能合約。

消費者和機構交易安全解決方案 ：面向用戶的交易和錢包安全產品將在 Web3 資產安全中發揮重要作用。該解決方案也可以出售給錢包，讓其整體使用體驗更加安全。雖然錢包也可以在其產品中內置安全功能，但通過使用專有算法來檢測風險並盡可能簡化集成的解決方案將脫穎而出。Redefine是探索這個方向的公司，它提供實時交易風險評估和警報，這些警報通過實時模擬交易和監控機制，直接將風險信息傳遞給終端用戶。其他一些專門保護交易者的"防火牆"解決方案包括 Shield、Hexagon 和Web3Builders 的 TrustCheck。

審計業務的擴展： 通常，審計公司認為需要產品化來讓公司更具可擴展性。Halborn 雖然目前主要專注於手動審計，但其構建的目的是將用於審計和開發運營的流程自動化工具推向市場。Quantstamp 和CoinFund 投資組合公司Sherlock等公司正在採取另一種方法，探索安全審計和資產保險的交叉點。

思考 Web3 安全中的重要組成部分

在高層次上，有幾個關鍵論點引發我對 Web3 安全開發的思考：

• 關鍵安全利益相關者的識別：Web3 讓我們對安全產品和服務目標市場的看法發生根本轉變。Web3開發人員、項目、用戶是最重要的安全解決方案客戶。這與 Web2 不同，在 Web2 中，企業對保護用戶數據負有法律和經濟責任。在用戶擁有自己數據的世界中，他們也面臨著保護數據的挑戰，用戶需要直接保護自己的資產。
• 預防、緩解和響應： 安全是一種分層方法 ( IBM)，需要持續和主動的安全策略，而目前 Web3 中的啟動前審計無法實現這一點。代碼不可能完全沒有漏洞，這使得 Web3 和 Web2 中都需要實時漏洞利用的緩解和響應方案。
• 傳統安全和 Web3 專業知識的結合：安全在歷史上是一個非常具有挑戰性和擁擠的市場，黑客人才和前沿策略在不斷發展。儘管市場上有成千上萬的安全初創公司，但只有少數具有突破潛力。儘管 Web3 很新穎，但基本的安全問題和解決方案已廣為人知。因此，花費數年時間了解技術漏洞的安全研究人員將引領保護 Web3 的道路。

Web3 安全投資機會

可擴展解決方案、產品和網絡是構建 Web3 安全的重要組成部分。從投資的角度來看，最具吸引力的團隊是具有 (1) 深厚的 Web2 安全專業知識和密碼學觀點的團隊，(2) 能夠橋接 Web3安全的協議與開發人員、機構和個人用戶的平台，可以為Web3安全人員的能力提供價值。(3) 可以根據底層技術服務客戶的產品或網絡。

在 Web3 安全市場，就像 Web2 安全一樣，將創建數以千計的解決方案，或許相對較少的企業會擴展到十億美元的企業，CoinFund 的目標是與創始人合作，我們希望投資於正在擴展 Web3 安全堆棧的團隊。