半年損失超20億美元 區塊鏈安全被資本瘋搶_SEC:SECO

作者：Flowie，鏈捕手

Acala 遭黑客攻擊增發超 12 億穩定幣 AUSD、Solana生態錢包大面積被盜……不夸張地說，區塊鏈2022年這大半年一半熱點都是安全問題貢獻的。

根據Certik發布的安全報告，僅在 2022 年前 6 個月，區塊鏈與Web3 項目就因黑客攻擊和漏洞利用而損失超 20 億美元，并已經超過 2021 全年的總和。

安全問題爆發的同時，很多項目方的智能合約要安排上安全審計，卻可能要排隊到半年之后。即使審計完成了，也如大家所看的那樣，依然會面臨被攻擊的風險。

區塊鏈安全毫無疑問是剛需，但一個現實是，無論是項目方還是普通用戶，似乎都很難有安全感。

在這樣的背景下，我們觀察到新入場的安全服務廠商們前赴后繼。截止到目前，2022年陸續有Carret、BlockSec、Secure3、Halborn、Redefine等海內外安全公司獲得了較大金額的融資，其中Certik幾乎近一年內籌集了4輪資金，市場之火熱可見一斑。

在本文中，我們試圖從安全“守護者”的現狀去看，整個區塊鏈安全究竟面臨著怎樣的困境？行業格局又在發生怎樣的演變？

區塊鏈“野蠻”生長，安全的需求同時激增，但安全服務卻跟不上。

BlockSec聯合創始人周亞金提到，“智能合約的安全審計排隊2-3月是近兩年的常態，很多項目的安全審計服務甚至都排隊到了半年之后。”而從成都鏈安的數據來看，2022年第二季度，被攻擊的項目中，接近一般的項目未能經過安全審計。

盡管安全服務商們前赴后繼，但在YM Capital?投資人Thomas看來，“真正有供給能力，且品牌有一定影響力的服務商并不夠，全球內也就一二十家。”周亞金認為，安全審計上即使有一些Consensys Diligence、Trail of Bits、Chain?Security、Certik等較早入局的知名公司，但其實它們所占據但市場份額也并沒有很大，整個市場仍然很分散。

數據：2022年上半年區塊鏈風投資金近300億美元，下半年降至73億美元:金色財經報道，根據 Cointelegraph Research 分析的 2022 年區塊鏈行業風險投資的交易和趨勢。2022 年上半年區塊鏈風投帶來了將近 300 億美元的資金，而下半年大幅下降，只有 73 億美元。下降始于2022 年 4 月，9 月份資本投資出現了短暫的反彈，但并沒有在年底持續，最后三個月的投資資金徘徊在 10 億美元以下。

數據顯示，區塊鏈行業所有五個主要領域的資金流入都急劇下降：去中心化金融 (DeFi)、中心化金融 (CeFi)、非同質代幣 (NFT)、基礎設施和 Web3。 Web3 是2022年區塊鏈行業中最受歡迎的投資領域，有 616 筆交易，CeFi 最不受歡迎，有 201 筆交易，這兩個行業在 2022 年共帶來了 92 億美元的收入。Web3 的平均交易額為 154 億美元，而 CeFi 的平均交易額為 4660 萬美元。[2023/1/26 11:30:11]

此外，在具體的細分賽道上，入場的玩家們并沒有充分覆蓋不同需求，大多還是在收入模式清晰、有很好現金流的安全審計里“卷”。

實際上，與傳統互聯網安全類似，區塊鏈的安全服務也大致分為to?B端和to?C端。在to?B端，一個區塊鏈項目的安全，分為則上鏈前和上鏈后，上鏈前主要是智能合約代碼的安全審計，上鏈后則有攻擊溯源、危險情報等實時監測。而在to?C端，主要涉及用戶錢包、NFT等各類資產安全。

周亞金認為，在整個安全服務市場，to B端的DaPP開發者運營的安全性，to C端用戶的錢包、NFT安全等等重要的安全服務，都是較為空白的市場。“區塊鏈的安全服務幾乎還在一個拓荒的狀態”。

供需失衡背后的原因也不難理解，首先區塊鏈行業開源特性和當下發展階段，讓區塊鏈安全服務的需求在“野蠻生長”。

金融科技公司Arch推出加密借貸產品，去年下半年曾籌集275萬美元:1月18日消息，面向另類資產投資者的金融科技公司 Arch 于周三宣布推出其首款加密借貸產品，該公司還宣布已完成一輪 275 萬美元的融資，該融資于去年下半年結束。這筆資金將有助于發展團隊和金融合作伙伴關系，Arch 還將借出部分資金。

總部位于紐約的 Arch 平臺成立于 2022 年 2 月，允許用戶通過組合另類資產（從加密貨幣開始）進行抵押貸款。這些貸款由 BitGo 托管，以美元或 USDC 穩定幣計價（可以以兩者的任意組合償還）。[2023/1/18 11:19:23]

?YM Capital?投資人Thomas押注區塊鏈安全賽道的一個基本判斷是，“相比傳統互聯網安全，區塊鏈安全更剛需。”

一方面，由于區塊鏈行業非常重視代碼開源，這也使得多數項目源代碼向所有人開放出來，也為黑客等技術人員發掘其中漏洞提供了更多的天然的便利；另一方面，目前區塊鏈項目上線門檻很低并且缺乏監管，項目方質量也層次不齊，項目方與用戶都需要安全審計等方式為自己提供安全背書。

此外，Web3安全服務相比與Web2有個很大痛點是，攻擊者可以通過執行漏洞來獲利。在 Web2 世界中，攻擊者雖然可以關閉一些主要服務、竊取一些數據、出售惡意軟件等來獲利，但從收益來看仍然有限。但在 Web3 世界中，由于區塊鏈代碼鏈接了各類龐雜的經濟金融場景，直接與用戶的加密貨幣資產相關聯，一個漏洞很容易就為攻擊者帶來數百萬乃至數千萬億美元以上的收益。“在面臨社區的監督共創下，區塊鏈安全產品每一次更迭都需有復雜的解釋流程，相比于傳統互聯網很難快速做產品迭代，那么產品的安全性也需要在上線前更慎重地去考慮。”

在這樣安全更剛需的情況下，區塊鏈產品對于安全的需求以及付費意愿極高。從Certik b3輪融資中披露的數據來看，2021年Certik收入增長了12倍，利潤增長了3000倍。

上半年非洲區塊鏈公司融資超過3億美元:8月3日消息，非洲的區塊鏈投資強勁。今年上半年，非洲區塊鏈公司籌集了 3.04 億美元。這大約是去年全年總額 1.27 億美元的兩倍多。其中一季度為 9100 萬美元，第二季度為 2.13 億美元。(Nation.africa)[2022/8/4 2:57:48]

在需求端野蠻生長情況下，供給端自身也有很多“力不從心”。

和早期傳統互聯網安全需要手動去本地庫里匹配攻擊方式“土方法”類似。單從安全審計來看，大部分服務商幾乎難做到標準化自動化，這意味著供給能力非常受人力限制。

即使能靠人力來推，上哪去找那么多合格的安全審計人才，也是個巨大的問號。合約審計需要結合具體業務場景來做，針對區塊鏈不同的鏈不同的場景所需要的審計能力都不一樣，合格的審計人才非常稀缺。很多具有審計能力的技術人員，可能更愿意做一名獨立黑客或者白帽黑客，無論是進行智能合約攻擊還是提交智能合約漏洞以獲得賞金，都能獲得更可觀的收益。今年以來，區塊鏈行業已經出現過多筆超過百萬美元的漏洞賞金。

相比于數量級上供需完全失衡，在Go+ Security創始人Mike看來，還有一個更核心的問題是在安全資源供需結構上的不匹配，導致匹配效率很低。

當我們談安全問題的時候，似乎都把安全守方壓在了安全審計上。但在整個開發流程中進行自測，優化合約設計，提高代碼質量，同步進行漏洞掃描這些方面，如果有合適的工具或服務，其實是可以大幅降低審計工作量的。“行業一個現狀是，很多專業的安全審計師審很多精力都浪費了非常低級別的代碼層錯誤”。

在目前市場有很多想象空間且藍海的當下，無論是新老玩家，我們觀察到，除了在安全技術本身去迭代之外，基本是在兩個痛點上尋找更大的機會：一是推出要更標準化、更自動化產品來降低邊際成本，打破發展瓶頸；二是覆蓋更多的細分場景或者特定環節，吃到更多的安全預算。

數據：2022年上半年國內外元宇宙領域共有118筆融資:金色財經消息，2022年上半年，國內外元宇宙領域共有118筆融資，投資總金額達到270.6億元，超億元的融資有34筆，最大單筆融資達到135億元。分開來看，2022年Q1季度，國內外元宇宙領域共有43筆融資，其中超億元的融資有18筆，融資總金額達到82億元，融資總金額同比增長51%。而在2022年Q2季度，元宇宙領域共有74筆融資，其中超億元的融資有16筆，融資總金額達到188.6億元。

其中，解決方案商成為融資筆數最多的賽道，達到29筆，占比24.6%，VR內容賽道融資數量其次，達到28筆。底層技術賽道和游戲賽道也分別獲得了15筆、14筆融資，分別占比12.7%、11.9%。

此外，硬件賽道也獲得了12筆融資，占比10.2%。此外，中國相關企業受到資本關注的程度，遠高于其他國家。2022年上半年，有60家中國企業獲得投融資，平均3天一筆融資。2022年上半年獲投融資企業注冊地主要匯聚在國內以及美國，分別為60筆和24筆，其次是英國和日本分別是6筆和4筆，其余國家均在1至2筆左右。（智東西）[2022/8/4 2:57:45]

從融資勢頭最猛的Certik來看，除了上鏈前的安全審計之外，Certik也推出了上鏈后7*24 小時無間斷運行的自動監測SaaS平臺Skynet 來防御安全威脅。OpenZeppelin 則將游戲化技術來識別智能合同中的安全漏洞，提供“ Defender”等服務，幫助項目實現智能合同管理的自動化、創建自動化腳本等等。

而近期結束新一輪融資的BlockSec，為上鏈前的安全審計提供服務之外，也會為上鏈后區塊鏈項目提供實時安全監控服務產品。

“目前來看區塊鏈安全審計類項目還是以股權融資上市的模式，如果無法推出SaaS化標準化自動化產品，基本不可能成功完成上市。”Mirana Ventures?投資人kenneth認為這也是促成產品SaaS化的一個動力因素之一。“但目前區塊鏈迭代太快，細分場景很多，攻擊事件的問題龐雜，一些類似SaaS類的軟件提供安全服務沒有被市場所接受，大部分還是case?by?case，這也給新入場的玩家提供了很多彎道超車的機會”

聲音 | 孫宇晨：2019年下半年Tron和TRX將非常精彩:孫宇晨在推特表示，對于Tron和TRX來說，2019年下半年將會非常精彩！他還表示，很快就會給社區發一封信，介紹2019年剩余時間的計劃。[2019/8/5]

除了申請人工審計，也越來越多的項目方會同時尋求自動化審計。

為了追求更加自動化，目前業界常用的手段是是形式化驗證(formal verification)，這種方式會事先定義好安全規則，之后證明客戶的代碼符合這些規則，從而避免違反這些規則的安全漏洞。

但BlockSec創始人周亞金認為，很多安全漏洞是與智能合約的具體業務場景有關，僅保證代碼的正確性并不能保證整個智能合約的安全性，另外形式化驗證規則本身也需要對項目進行定制。所以在具體操作中，BlockSec會通過"攻"的思路進行代碼審計，具體技術包括攻擊面的提取和分析以及自動化Fuzzing（模糊測試）等技術相結合的整體方案。

Go+ Security 創始人Mike觀點也是如此，目前國內外行業的認知是，形式化的驗證還沒有找到明確提高技術效率的方法，還很難取代人工審計，在整個審計流程中占比還比較低。

在還沒有很好的解決自動化思路出現時，傳統的安全審計公司中，審計流程的設計其實是審計公司的核心競爭力，?“比如說像Quantstamp，同時進行三線審計。業務表述上的核心點就在于說付出足夠多的人力，進行充份審計，來保證好的安全結果，再通過服務的案例來為自己背書。”

對于to B 端的區塊鏈安全服務廠商而言，除了技術能力之外，品牌能力也是一個核心競爭力，如何運營好社區以及一些戰略合作，來向市場輸出自己的安全實力尤為重要。?

和傳統互聯網安全最開始從?to C端安全做起的路徑相反，區塊鏈安全目前還是主要集中在項目方中，而to C端的安全服務相對冷清。

但也有少數創業者選擇做C端業務，Go+ Security 創始人Mike就是其中之一。Go+ Security 通過動態風險檢測平臺，以數據API的方式接入Web3應用，覆蓋用戶的風險場景，實時識別用戶可能遇到的資產，行為風險，比如基于合約檢測的Token，NFT，授權檢測，也有基于用戶使用場景的防釣魚網站、釣魚郵件、社群詐騙等，在為用戶提供安全防護的同時，也剝離了Web3應用之前不好處理的用戶側風險。

Mike認為雖然從傳統互聯網的經驗來看，只有少量用戶會為安全付費，但Web3用戶對于購買安全服務的收益模型更明確，這個有點像買車必須上保險，安全服務可能是日后所有Web3用戶的必備服務，且to C端核心其實是安全流量和數據，商業邏輯和to?B按項目收服務費的邏輯并不一樣，擴大數據規模是關鍵。“to?C端整個技術架構反而是要快，每天都有新的攻擊方法出現，要識別定位，安全引擎有幾百個策略，十多個檢測類型在跑的時候，如何能在2秒內，出準確結果，這可能是to C安全的關鍵。”而擴大數據規模除了做好產品服務外，依賴于對生態的開發聚合。

無論是to?C還是to B ，或者是否能突破標準化，在Mirana Ventures?投資人 kenneth看來，關鍵還是人，SaaS軟件也需要人力研發，所以項目目前拓展人力上的能力也非常關鍵，“投資的BlockSec、Secure3的創始團隊都有學術和高校背景，能培養一些針對區塊鏈安全的高端人才，且在人力成本上也有優勢。”

目前市場玩家們，除了在標準化自動化上和業務深度上做出努力之外，也出現了一些小而美的打法。

比如北美有一些新審計公司，定位于精細化審計，主要服務于StepN、BanklessDao等創新型業務。這部分細分市場對于傳統審計公司來說很難嚼或者說性價比不高，因為要做很多復雜的修改才能匹配到創新型業務。

此外還有一些針對類似于反作弊這樣很細分痛點去切入安全服務的創業者。很多GameFi項目需要花50%的研發資源去做反作弊這一層，但這一層未來可能變化成類似于可介入?API的數據服務層，讓專業的反作弊第三方服務來幫項目進行更高效地處理。

除了產品上的標準化，還有一些付費和責任分配模式不夠清晰。

區塊鏈項目雖然對安全服務的付費意愿很高，但不代表愿意或者說有能力去支出大額的安全預算。即使一個漏洞確實保護了平臺用戶非常多的資產，但安全服務商能拿付到多少比例，怎么收費，都是個問題。

傳統的項目常見的收費模式基本上有三類，一種是按項目收服務費或者SaaS模式收費。第二種是收取保護項目網格資產的一定比例提成，第三種是提供安全API，按調用次數來收費。如果是token類項目，可能還會通過內置代幣模型來達到付費目的，但這類目前還沒有很成熟的做法。

周亞金表示，代碼審計通常是根據項目大小，按次收費。而智能合約上鏈后，數據監控的部分則會采取訂閱制，比如按年收費。而對于追損服務，在訂閱制之外，同時會根據追回金額的多少，按百分點收取費用。

不過在Mirana Ventures 投資人kenneth看來，“行業內其實沒有一個清晰的收費標準，盡管大家在強調推出SaaS，但收費上還是case?by?case，可能差不多的項目方最終付費差得很多，不利于市場拓展”。

除了收費模式不標準外，安全審核或保護類的項目最終遭受類攻擊，誰來擔責呢？目前來看，大多數被攻擊的項目都曾完成過安全審計，并且很多都是來自知名安全公司的升級，但仍然沒有避免遭受被攻擊的命運。

kenneth提到，像傳統四大會記事務所的審計服務，一旦出現問題，都有第三方來制定一套從上到下的規則，來明確哪些是項目的責任和服務方的責任，目前區塊鏈的安全服務并沒有建立到這套規則。“即使未來有，但法律法規的不健全，不同國家和地區的規則差異，也會帶來一些責任審查和追責的難題。”

生態化、細分化將是大勢

“從市場份額來看，區塊鏈安全服務和傳統互聯網安全最終格局類似，依然是幾家頭部廠商來領導整個市場”。按照BlockSec創始人周金亞的判斷，區塊鏈安全最先在代碼審計賽道里會沉淀下來幾家比較頭部的玩家。

即使會出現頭部玩家，也大概率是區域性的頭部玩家，在Mirana Ventures投資人kenneth看來，從最近Tornado Cash因反洗錢被制裁來看，安全服務未來會從代碼審計拓展到類似與隱私數據等等其它服務上，會很受當地政策限制，很多數據相關業務并不能跨越國界。

而市場格局走向穩定成熟過程中，YM Capital?投資人Thomas表示，從Web2的發展經驗來看，安全商業本身存在一個大量兼并機會，包括橫向并購與縱向并購，未來安全公司也可能突破安全的邊界，向非安全的其它數據業務方向做拓展。

從目前現狀來看，很多所謂的Web3安全公司還是一個很Web2的心態，本質上還是只是服務的客戶從Web2切換到Web3。YM Capital投資人Thomas期待的是，有沒有更Web3去中心化形態的公司或組織，或者渠道上，能構建一張去中心化的安全網絡。

Go+ Security創始人Mike也認為，安全不同的細分領域里面都會有一些頭部公司，但相比于傳統互聯網安全服務，它會更加生態化，而不是靠一個頭部公司來壟斷整個市場。

區塊鏈安全賽道是一個非常龐大的市場，但要根本上解決問題，不僅要依賴安全審計公司在項目上線前盡可能疏通漏洞，也需要白帽黑客等獨立研究者在上線后基于賞金模式持續發掘漏洞，更需要監管機制、用戶教育等方面的發力，形成針對區塊鏈項目的全方位全周期安全保障機制。

鏈捕手

媒體專欄

閱讀更多

金色早8點

Bress

財經法學

PANews

Odaily星球日報

Tags：區塊鏈WEBSECWEB3區塊鏈最大騙局web3.0幣怎么提現到賬號SECOweb3.0幣種有哪些

以太坊