作者:Flowie,鏈捕手
Acala遭黑客攻擊增發超12億穩定幣AUSD、Solana生態錢包大面積被盜……不夸張地說,區塊鏈2022年這大半年一半熱點都是安全問題貢獻的。
根據Certik發布的安全報告,僅在2022年前6個月,區塊鏈與Web3項目就因黑客攻擊和漏洞利用而損失超20億美元,并已經超過2021全年的總和。
安全問題爆發的同時,很多項目方的智能合約要安排上安全審計,卻可能要排隊到半年之后。即使審計完成了,也如大家所看的那樣,依然會面臨被攻擊的風險。
區塊鏈安全毫無疑問是剛需,但一個現實是,無論是項目方還是普通用戶,似乎都很難有安全感。
在這樣的背景下,我們觀察到新入場的安全服務廠商們前赴后繼。截止到目前,2022年陸續有Carret、BlockSec、Secure3、Halborn、Redefine等海內外安全公司獲得了較大金額的融資,其中Certik幾乎近一年內籌集了4輪資金,市場之火熱可見一斑。
在本文中,我們試圖從安全“守護者”的現狀去看,整個區塊鏈安全究竟面臨著怎樣的困境?行業格局又在發生怎樣的演變?
還在“拓荒”的區塊鏈安全服務
區塊鏈“野蠻”生長,安全的需求同時激增,但安全服務卻跟不上。
BlockSec聯合創始人周亞金提到,“智能合約的安全審計排隊2-3月是近兩年的常態,很多項目的安全審計服務甚至都排隊到了半年之后。”而從成都鏈安的數據來看,2022年第二季度,被攻擊的項目中,接近一般的項目未能經過安全審計。
盡管安全服務商們前赴后繼,但在YMCapital?投資人Thomas看來,“真正有供給能力,且品牌有一定影響力的服務商并不夠,全球內也就一二十家。”周亞金認為,安全審計上即使有一些ConsensysDiligence、TrailofBits、Chain?Security、Certik等較早入局的知名公司,但其實它們所占據但市場份額也并沒有很大,整個市場仍然很分散。
韓國四大行之一友利銀行將在2023上半年推出元宇宙分行:金色財經報道,繼匯豐銀行、富達銀行等金融機構之后,作為韓國四大行之一的友利銀行(Woori Bank)宣布將推出面向小企業的元宇宙銀行服務,該服務通過PC和移動端設備支持,業務運營時間從上午9點至下午4點。據悉,該元宇宙銀行服務是“Woori Metabranch”的升級版,友利銀行還將在2023 年上半年推出一個元宇宙分行,并在其中為員工提供基于3D虛擬化身的培訓服務。(nftgators)[2023/1/14 11:12:03]
此外,在具體的細分賽道上,入場的玩家們并沒有充分覆蓋不同需求,大多還是在收入模式清晰、有很好現金流的安全審計里“卷”。
實際上,與傳統互聯網安全類似,區塊鏈的安全服務也大致分為to?B端和to?C端。在to?B端,一個區塊鏈項目的安全,分為則上鏈前和上鏈后,上鏈前主要是智能合約代碼的安全審計,上鏈后則有攻擊溯源、危險情報等實時監測。而在to?C端,主要涉及用戶錢包、NFT等各類資產安全。
周亞金認為,在整個安全服務市場,toB端的DaPP開發者運營的安全性,toC端用戶的錢包、NFT安全等等重要的安全服務,都是較為空白的市場。“區塊鏈的安全服務幾乎還在一個拓荒的狀態”。
為什么供需不平衡成為常態?
供需失衡背后的原因也不難理解,首先區塊鏈行業開源特性和當下發展階段,讓區塊鏈安全服務的需求在“野蠻生長”。
?YMCapital?投資人Thomas押注區塊鏈安全賽道的一個基本判斷是,“相比傳統互聯網安全,區塊鏈安全更剛需。”
一方面,由于區塊鏈行業非常重視代碼開源,這也使得多數項目源代碼向所有人開放出來,也為黑客等技術人員發掘其中漏洞提供了更多的天然的便利;另一方面,目前區塊鏈項目上線門檻很低并且缺乏監管,項目方質量也層次不齊,項目方與用戶都需要安全審計等方式為自己提供安全背書。
彭博策略師:比特幣可能在2022年下半年“跑贏”市場:7月26日消息,盡管加密貨幣市場從2022年上半年一直下行至下半年,但彭博社高級大宗商品策略師Mike McGlone認為,比特幣可能在今年下半年行情向好。
在7月25日的推文中,McGlone表示,“比特幣可能會在下半年恢復跑贏大盤的傾向。”他對此的解釋是:“大宗商品多頭平倉,銅價創下2008年以來最快跌幅,美國債券期貨從最大跌幅(相對于1987年股市崩盤以來的50周均值)反彈,所有這些都發生在美聯儲大舉收緊貨幣政策之際,這一切可能與加密市場觸底相吻合。”
McGlone還補充說:“下半年比特幣和債券期貨出現持續牛市的觀點可能歸結為一個事實,即它們的表現不會變得更糟。”
這位策略師表示,比特幣“自10多年前誕生以來,一直是這場競賽中跑得最快的馬匹之一”。出于這個原因,“我們認為未來還會有更多類似的情況,尤其是比特幣可能會轉向全球抵押品,其表現與美國國債或黃金更為一致。”(Finbold)[2022/7/26 2:39:10]
此外,Web3安全服務相比與Web2有個很大痛點是,攻擊者可以通過執行漏洞來獲利。在Web2世界中,攻擊者雖然可以關閉一些主要服務、竊取一些數據、出售惡意軟件等來獲利,但從收益來看仍然有限。但在Web3世界中,由于區塊鏈代碼鏈接了各類龐雜的經濟金融場景,直接與用戶的加密貨幣資產相關聯,一個漏洞很容易就為攻擊者帶來數百萬乃至數千萬億美元以上的收益。“在面臨社區的監督共創下,區塊鏈安全產品每一次更迭都需有復雜的解釋流程,相比于傳統互聯網很難快速做產品迭代,那么產品的安全性也需要在上線前更慎重地去考慮。”
在這樣安全更剛需的情況下,區塊鏈產品對于安全的需求以及付費意愿極高。從Certikb3輪融資中披露的數據來看,2021年Certik收入增長了12倍,利潤增長了3000倍。
Coinbase風投部門上半年完成37筆交易,在企業風投基金中僅次于谷歌和Salesforce:市場研究公司CB Insights數據顯示,Coinbase風投部門Coinbase Ventures上半年完成37筆交易,超過去年全年交易數量近一倍,在企業風投基金中排名第三,僅次于谷歌(64筆)和Salesforce(59筆)。Coinbase Ventures投資了打造去中心化衍生品交易網絡的Vega Protocol、比特幣自我托管公司Casa,以及交易公司Fractal等初創公司。企業風投指的是直接將企業資金投資于外部初創公司,由于許多企業資金雄厚,更有可能達成大額交易。(Benzinga)[2021/8/9 1:43:46]
在需求端野蠻生長情況下,供給端自身也有很多“力不從心”。
和早期傳統互聯網安全需要手動去本地庫里匹配攻擊方式“土方法”類似。單從安全審計來看,大部分服務商幾乎難做到標準化自動化,這意味著供給能力非常受人力限制。
即使能靠人力來推,上哪去找那么多合格的安全審計人才,也是個巨大的問號。合約審計需要結合具體業務場景來做,針對區塊鏈不同的鏈不同的場景所需要的審計能力都不一樣,合格的審計人才非常稀缺。很多具有審計能力的技術人員,可能更愿意做一名獨立黑客或者白帽黑客,無論是進行智能合約攻擊還是提交智能合約漏洞以獲得賞金,都能獲得更可觀的收益。今年以來,區塊鏈行業已經出現過多筆超過百萬美元的漏洞賞金。
相比于數量級上供需完全失衡,在Go+Security創始人Mike看來,還有一個更核心的問題是在安全資源供需結構上的不匹配,導致匹配效率很低。
當我們談安全問題的時候,似乎都把安全守方壓在了安全審計上。但在整個開發流程中進行自測,優化合約設計,提高代碼質量,同步進行漏洞掃描這些方面,如果有合適的工具或服務,其實是可以大幅降低審計工作量的。“行業一個現狀是,很多專業的安全審計師審很多精力都浪費了非常低級別的代碼層錯誤”。
OKEx CEO JayHao:下半年將重點發力DeFi生態建設:7月2日,OKEx CEO Jay Hao做客由謎渡社區主辦的《刀鋒對話——2020下半場OKEx還能創新嗎?》 欄目。
在談到未來的行業發展趨勢時,Jay Hao認為,DeFi一定會引起越來越多的關注,更加便捷、開放的DeFi服務也將會是OKChain下半年重點發力的部分。
Jay Hao表示,不論是技術層面的逐漸成熟,還是需求端的日益增長,DeFi一定會引起越來越多的關注。
OKEx將堅定不移的支持DeFi生態的發展與建設,現在大家不僅能在OKEx上看到越來越多類似MakerDAO、Compound這樣優質的DeFi項目,接下來也會在OKChain上享受到更加便捷、開放的DeFi服務,OKChain已在布局DeFi生態建設。[2020/7/2]
“標準化”是核心競爭力
在目前市場有很多想象空間且藍海的當下,無論是新老玩家,我們觀察到,除了在安全技術本身去迭代之外,基本是在兩個痛點上尋找更大的機會:一是推出要更標準化、更自動化產品來降低邊際成本,打破發展瓶頸;二是覆蓋更多的細分場景或者特定環節,吃到更多的安全預算。
從融資勢頭最猛的Certik來看,除了上鏈前的安全審計之外,Certik也推出了上鏈后7*24小時無間斷運行的自動監測SaaS平臺Skynet來防御安全威脅。OpenZeppelin則將游戲化技術來識別智能合同中的安全漏洞,提供“Defender”等服務,幫助項目實現智能合同管理的自動化、創建自動化腳本等等。
而近期結束新一輪融資的BlockSec,為上鏈前的安全審計提供服務之外,也會為上鏈后區塊鏈項目提供實時安全監控服務產品。
“目前來看區塊鏈安全審計類項目還是以股權融資上市的模式,如果無法推出SaaS化標準化自動化產品,基本不可能成功完成上市。”MiranaVentures?投資人kenneth認為這也是促成產品SaaS化的一個動力因素之一。“但目前區塊鏈迭代太快,細分場景很多,攻擊事件的問題龐雜,一些類似SaaS類的軟件提供安全服務沒有被市場所接受,大部分還是case?by?case,這也給新入場的玩家提供了很多彎道超車的機會”
動態 | 數據:上半年區塊鏈行業融資額下滑至33億美元,IEO募資額占比提高到21%:市場研究機構Inwara 和 Crypto Valley Association發布報告稱,2019年上半年加密項目的主要融資方式是ICO,到目前為止區塊鏈項目的總融資額達到了33億美元,其中通過ICO募集的資金占總融資額的69%,通過IEO 和 STO 募集的資金分別占比21%和10%。此外,投資者對加密項目的熱情不及2018年,其表現為2019上半年融資金額少于2018年上半年同期的42億美金,略高于2018年下半年的32億美金。(區塊律動)[2019/7/31]
除了申請人工審計,也越來越多的項目方會同時尋求自動化審計。
為了追求更加自動化,目前業界常用的手段是是形式化驗證(formalverification),這種方式會事先定義好安全規則,之后證明客戶的代碼符合這些規則,從而避免違反這些規則的安全漏洞。
但BlockSec創始人周亞金認為,很多安全漏洞是與智能合約的具體業務場景有關,僅保證代碼的正確性并不能保證整個智能合約的安全性,另外形式化驗證規則本身也需要對項目進行定制。所以在具體操作中,BlockSec會通過"攻"的思路進行代碼審計,具體技術包括攻擊面的提取和分析以及自動化Fuzzing等技術相結合的整體方案。
Go+Security創始人Mike觀點也是如此,目前國內外行業的認知是,形式化的驗證還沒有找到明確提高技術效率的方法,還很難取代人工審計,在整個審計流程中占比還比較低。
在還沒有很好的解決自動化思路出現時,傳統的安全審計公司中,審計流程的設計其實是審計公司的核心競爭力,?“比如說像Quantstamp,同時進行三線審計。業務表述上的核心點就在于說付出足夠多的人力,進行充份審計,來保證好的安全結果,再通過服務的案例來為自己背書。”
對于toB端的區塊鏈安全服務廠商而言,除了技術能力之外,品牌能力也是一個核心競爭力,如何運營好社區以及一些戰略合作,來向市場輸出自己的安全實力尤為重要。?
和傳統互聯網安全最開始從?toC端安全做起的路徑相反,區塊鏈安全目前還是主要集中在項目方中,而toC端的安全服務相對冷清。
但也有少數創業者選擇做C端業務,Go+Security創始人Mike就是其中之一。Go+Security通過動態風險檢測平臺,以數據API的方式接入Web3應用,覆蓋用戶的風險場景,實時識別用戶可能遇到的資產,行為風險,比如基于合約檢測的Token,NFT,授權檢測,也有基于用戶使用場景的防釣魚網站、釣魚郵件、社群詐騙等,在為用戶提供安全防護的同時,也剝離了Web3應用之前不好處理的用戶側風險。
Mike認為雖然從傳統互聯網的經驗來看,只有少量用戶會為安全付費,但Web3用戶對于購買安全服務的收益模型更明確,這個有點像買車必須上保險,安全服務可能是日后所有Web3用戶的必備服務,且toC端核心其實是安全流量和數據,商業邏輯和to?B按項目收服務費的邏輯并不一樣,擴大數據規模是關鍵。“to?C端整個技術架構反而是要快,每天都有新的攻擊方法出現,要識別定位,安全引擎有幾百個策略,十多個檢測類型在跑的時候,如何能在2秒內,出準確結果,這可能是toC安全的關鍵。”而擴大數據規模除了做好產品服務外,依賴于對生態的開發聚合。
無論是to?C還是toB,或者是否能突破標準化,在MiranaVentures?投資人kenneth看來,關鍵還是人,SaaS軟件也需要人力研發,所以項目目前拓展人力上的能力也非常關鍵,“投資的BlockSec、Secure3的創始團隊都有學術和高校背景,能培養一些針對區塊鏈安全的高端人才,且在人力成本上也有優勢。”
目前市場玩家們,除了在標準化自動化上和業務深度上做出努力之外,也出現了一些小而美的打法。
比如北美有一些新審計公司,定位于精細化審計,主要服務于StepN、BanklessDao等創新型業務。這部分細分市場對于傳統審計公司來說很難嚼或者說性價比不高,因為要做很多復雜的修改才能匹配到創新型業務。
此外還有一些針對類似于反作弊這樣很細分痛點去切入安全服務的創業者。很多GameFi項目需要花50%的研發資源去做反作弊這一層,但這一層未來可能變化成類似于可介入?API的數據服務層,讓專業的反作弊第三方服務來幫項目進行更高效地處理。
兩個模糊地帶:收費與追責
除了產品上的標準化,還有一些付費和責任分配模式不夠清晰。
區塊鏈項目雖然對安全服務的付費意愿很高,但不代表愿意或者說有能力去支出大額的安全預算。即使一個漏洞確實保護了平臺用戶非常多的資產,但安全服務商能拿付到多少比例,怎么收費,都是個問題。
傳統的項目常見的收費模式基本上有三類,一種是按項目收服務費或者SaaS模式收費。第二種是收取保護項目網格資產的一定比例提成,第三種是提供安全API,按調用次數來收費。如果是token類項目,可能還會通過內置代幣模型來達到付費目的,但這類目前還沒有很成熟的做法。
周亞金表示,代碼審計通常是根據項目大小,按次收費。而智能合約上鏈后,數據監控的部分則會采取訂閱制,比如按年收費。而對于追損服務,在訂閱制之外,同時會根據追回金額的多少,按百分點收取費用。
不過在MiranaVentures投資人kenneth看來,“行業內其實沒有一個清晰的收費標準,盡管大家在強調推出SaaS,但收費上還是case?by?case,可能差不多的項目方最終付費差得很多,不利于市場拓展”。
除了收費模式不標準外,安全審核或保護類的項目最終遭受類攻擊,誰來擔責呢?目前來看,大多數被攻擊的項目都曾完成過安全審計,并且很多都是來自知名安全公司的升級,但仍然沒有避免遭受被攻擊的命運。
kenneth提到,像傳統四大會記事務所的審計服務,一旦出現問題,都有第三方來制定一套從上到下的規則,來明確哪些是項目的責任和服務方的責任,目前區塊鏈的安全服務并沒有建立到這套規則。“即使未來有,但法律法規的不健全,不同國家和地區的規則差異,也會帶來一些責任審查和追責的難題。”
生態化、細分化將是大勢
“從市場份額來看,區塊鏈安全服務和傳統互聯網安全最終格局類似,依然是幾家頭部廠商來領導整個市場”。按照BlockSec創始人周金亞的判斷,區塊鏈安全最先在代碼審計賽道里會沉淀下來幾家比較頭部的玩家。
即使會出現頭部玩家,也大概率是區域性的頭部玩家,在MiranaVentures投資人kenneth看來,從最近TornadoCash因反洗錢被制裁來看,安全服務未來會從代碼審計拓展到類似與隱私數據等等其它服務上,會很受當地政策限制,很多數據相關業務并不能跨越國界。
而市場格局走向穩定成熟過程中,YMCapital?投資人Thomas表示,從Web2的發展經驗來看,安全商業本身存在一個大量兼并機會,包括橫向并購與縱向并購,未來安全公司也可能突破安全的邊界,向非安全的其它數據業務方向做拓展。
從目前現狀來看,很多所謂的Web3安全公司還是一個很Web2的心態,本質上還是只是服務的客戶從Web2切換到Web3。YMCapital投資人Thomas期待的是,有沒有更Web3去中心化形態的公司或組織,或者渠道上,能構建一張去中心化的安全網絡。
Go+Security創始人Mike也認為,安全不同的細分領域里面都會有一些頭部公司,但相比于傳統互聯網安全服務,它會更加生態化,而不是靠一個頭部公司來壟斷整個市場。
區塊鏈安全賽道是一個非常龐大的市場,但要根本上解決問題,不僅要依賴安全審計公司在項目上線前盡可能疏通漏洞,也需要白帽黑客等獨立研究者在上線后基于賞金模式持續發掘漏洞,更需要監管機制、用戶教育等方面的發力,形成針對區塊鏈項目的全方位全周期安全保障機制。
文章作者:BitMEXResearch摘要:本文以美國財政部外國資產控制辦公室(OFAC)最近決定批準以太坊上的TornadoCash為背景,討論了以太坊合并后的審查阻力程度.
1900/1/1 0:00:00親愛的全球用戶: 全球首個以古典音樂領域為依托所創建的NFT平臺KOLO.Market,基于生態未來發展的需要,經過社區討論考量,決定從Polygon整體遷移至ETH主鏈.
1900/1/1 0:00:00本文來自hackernoon,原文作者:TobiasW.KaiserOdaily星球日報譯者|Moni “當你在凝視深淵的時候,深淵也正在凝視著你”——這句名言出自哲學家尼采的《善惡的彼岸》.
1900/1/1 0:00:007:00-12:00關鍵詞:Acala、Alameda、CryptoPunks、Circle1.Acala攻擊者地址aUSD銷毀提案已通過.
1900/1/1 0:00:00創作者應該根據收藏品的市值來獲得激勵,而不是收藏品的交易量。 撰文:foobar 版稅為藝術家和創作者提供了可觀的收入,如果你能靠版稅賺錢,那相當好,但它是不能強制執行的,也不適合區塊鏈.
1900/1/1 0:00:00自2021年元宇宙元年開啟元宇宙發展新勢頭起,各路資本紛紛下場,互聯網大廠布局不斷。元宇宙概念”指數自2021年9月起一路高升,3個月累計漲幅高達72.6%;騰訊、阿里、百度、字節、上汽等巨頭紛.
1900/1/1 0:00:00