宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 币安下载 > 正文

半年损失超20亿美元 区块链安全被资本疯抢

作者:

时间:1900/1/1 0:00:00

作者:Flowie,链捕手

Acala 遭黑客攻击增发超 12 亿稳定币 AUSD、Solana生态钱包大面积被盗……不夸张地说,区块链2022年这大半年一半热点都是安全问题贡献的。

根据Certik发布的安全报告,仅在 2022 年前 6 个月,区块链与Web3 项目就因黑客攻击和漏洞利用而损失超 20 亿美元,并已经超过 2021 全年的总和。

安全问题爆发的同时,很多项目方的智能合约要安排上安全审计,却可能要排队到半年之后。即使审计完成了,也如大家所看的那样,依然会面临被攻击的风险。

区块链安全毫无疑问是刚需,但一个现实是,无论是项目方还是普通用户,似乎都很难有安全感。

在这样的背景下,我们观察到新入场的安全服务厂商们前赴后继。截止到目前,2022年陆续有Carret、BlockSec、Secure3、Halborn、Redefine等海内外安全公司获得了较大金额的融资,其中Certik几乎近一年内筹集了4轮资金,市场之火热可见一斑。

在本文中,我们试图从安全“守护者”的现状去看,整个区块链安全究竟面临着怎样的困境?行业格局又在发生怎样的演变?

区块链“野蛮”生长,安全的需求同时激增,但安全服务却跟不上。

BlockSec联合创始人周亚金提到,“智能合约的安全审计排队2-3月是近两年的常态,很多项目的安全审计服务甚至都排队到了半年之后。”而从成都链安的数据来看,2022年第二季度,被攻击的项目中,接近一般的项目未能经过安全审计。

尽管安全服务商们前赴后继,但在YM Capital?投资人Thomas看来,“真正有供给能力,且品牌有一定影响力的服务商并不够,全球内也就一二十家。”周亚金认为,安全审计上即使有一些Consensys Diligence、Trail of Bits、Chain?Security、Certik等较早入局的知名公司,但其实它们所占据但市场份额也并没有很大,整个市场仍然很分散。

韩国金管局将进行为期半年的不公平交易专项执法,涵盖加密资产:5月30日消息,韩国金融监管局(FSS)今日召开新闻发布会,就加强不公平交易调查能力的方式进行了通报,并宣布新成立了专项调查组、信息收集专案组和数字化调查响应组。其中,专项调查组负责对涉及投资者损失较大的重大不公平交易事件进行全面处置,信息收集工作组负责通过线上线下活动收集不公平交易信息,数字化调查响应组将审查虚拟资产和代币证券(STO)等新型数字资产的调查技术。

此外,FSS将于6月1日至12月底召开投资说明会,通过线下线上的方式受理投诉,成立专项执法小组,对不正当交易行为进行审查。[2023/5/30 11:47:23]

此外,在具体的细分赛道上,入场的玩家们并没有充分覆盖不同需求,大多还是在收入模式清晰、有很好现金流的安全审计里“卷”。

实际上,与传统互联网安全类似,区块链的安全服务也大致分为to?B端和to?C端。在to?B端,一个区块链项目的安全,分为则上链前和上链后,上链前主要是智能合约代码的安全审计,上链后则有攻击溯源、危险情报等实时监测。而在to?C端,主要涉及用户钱包、NFT等各类资产安全。

周亚金认为,在整个安全服务市场,to B端的DaPP开发者运营的安全性,to C端用户的钱包、NFT安全等等重要的安全服务,都是较为空白的市场。“区块链的安全服务几乎还在一个拓荒的状态”。

供需失衡背后的原因也不难理解,首先区块链行业开源特性和当下发展阶段,让区块链安全服务的需求在“野蛮生长”。

?YM Capital?投资人Thomas押注区块链安全赛道的一个基本判断是,“相比传统互联网安全,区块链安全更刚需。”

一方面,由于区块链行业非常重视代码开源,这也使得多数项目源代码向所有人开放出来,也为黑客等技术人员发掘其中漏洞提供了更多的天然的便利;另一方面,目前区块链项目上线门槛很低并且缺乏监管,项目方质量也层次不齐,项目方与用户都需要安全审计等方式为自己提供安全背书。

Drake Star Partners:2022上半年私人区块链/NFT游戏公司筹集超22亿美元资金:7月20日消息,根据投资银行Drake Star Partners发布的最新数据显示,2022年上半年私人区块链/NFT游戏公司已筹集超22亿美元资金,其中早期阶段公司吸引了超过一半的融资,最活跃的区块链游戏投资者是Animoca Brands、Shima Capital和FTX,其中Animoca Brands进行了340多项区块链游戏投资交易。区块链继续成为游戏的主要推动力,超过一半的融资交易与区块链游戏公司相关。此外,上半年还推出了多个专注于游戏/区块链的新基金,包括Andreessen Horowitz(45亿美元用于区块链,6亿美元用于游戏)、Binance(5亿美元)、Immutable(5亿美元)和Konvoy Ventures(1.5亿美元),这些基金将大举投资私人游戏公司,相关融资交易的估值可能会继续保持高位。(Venture Beat)[2022/7/20 2:24:15]

此外,Web3安全服务相比与Web2有个很大痛点是,攻击者可以通过执行漏洞来获利。在 Web2 世界中,攻击者虽然可以关闭一些主要服务、窃取一些数据、出售恶意软件等来获利,但从收益来看仍然有限。但在 Web3 世界中,由于区块链代码链接了各类庞杂的经济金融场景,直接与用户的加密货币资产相关联,一个漏洞很容易就为攻击者带来数百万乃至数千万亿美元以上的收益。“在面临社区的监督共创下,区块链安全产品每一次更迭都需有复杂的解释流程,相比于传统互联网很难快速做产品迭代,那么产品的安全性也需要在上线前更慎重地去考虑。”

在这样安全更刚需的情况下,区块链产品对于安全的需求以及付费意愿极高。从Certik b3轮融资中披露的数据来看,2021年Certik收入增长了12倍,利润增长了3000倍。

巴西加密资管公司Hashdex推出的加密ETP产品上半年共流入1.179亿美元:7月13日消息,巴西加密资管公司Hashdex在巴西证券交易所B3推出的加密交易所交易产品(ETP)在2022年上半年吸引了全球投资者的1.179亿美元。其中包括复制追踪的纳斯达克加密指数,该产品已成为B3上第二大ETF,投资者超过15万,2022年上半年吸引了超过8000万美元。[2022/7/13 2:10:38]

在需求端野蛮生长情况下,供给端自身也有很多“力不从心”。

和早期传统互联网安全需要手动去本地库里匹配攻击方式“土方法”类似。单从安全审计来看,大部分服务商几乎难做到标准化自动化,这意味着供给能力非常受人力限制。

即使能靠人力来推,上哪去找那么多合格的安全审计人才,也是个巨大的问号。合约审计需要结合具体业务场景来做,针对区块链不同的链不同的场景所需要的审计能力都不一样,合格的审计人才非常稀缺。很多具有审计能力的技术人员,可能更愿意做一名独立黑客或者白帽黑客,无论是进行智能合约攻击还是提交智能合约漏洞以获得赏金,都能获得更可观的收益。今年以来,区块链行业已经出现过多笔超过百万美元的漏洞赏金。

相比于数量级上供需完全失衡,在Go+ Security创始人Mike看来,还有一个更核心的问题是在安全资源供需结构上的不匹配,导致匹配效率很低。

当我们谈安全问题的时候,似乎都把安全守方压在了安全审计上。但在整个开发流程中进行自测,优化合约设计,提高代码质量,同步进行漏洞扫描这些方面,如果有合适的工具或服务,其实是可以大幅降低审计工作量的。“行业一个现状是,很多专业的安全审计师审很多精力都浪费了非常低级别的代码层错误”。

在目前市场有很多想象空间且蓝海的当下,无论是新老玩家,我们观察到,除了在安全技术本身去迭代之外,基本是在两个痛点上寻找更大的机会:一是推出要更标准化、更自动化产品来降低边际成本,打破发展瓶颈;二是覆盖更多的细分场景或者特定环节,吃到更多的安全预算。

Badger DAO财报:上线半年总收入超过1810万美元:6月7日消息,专注于将比特币带入DeFi的去中心化组织BadgerDAO发布财务报告,据报告显示,自12月上线以来,BadgerDAO的总收入超过1810万美元,超过90%的收入来自核心策略;5月,DAO在桥(Bridge)和ibBTC在内的所有产品线中产生了超过280万美元的收入。[2021/6/7 23:17:01]

从融资势头最猛的Certik来看,除了上链前的安全审计之外,Certik也推出了上链后7*24 小时无间断运行的自动监测SaaS平台Skynet 来防御安全威胁。OpenZeppelin 则将游戏化技术来识别智能合同中的安全漏洞,提供“ Defender”等服务,帮助项目实现智能合同管理的自动化、创建自动化脚本等等。

而近期结束新一轮融资的BlockSec,为上链前的安全审计提供服务之外,也会为上链后区块链项目提供实时安全监控服务产品。

“目前来看区块链安全审计类项目还是以股权融资上市的模式,如果无法推出SaaS化标准化自动化产品,基本不可能成功完成上市。”Mirana Ventures?投资人kenneth认为这也是促成产品SaaS化的一个动力因素之一。“但目前区块链迭代太快,细分场景很多,攻击事件的问题庞杂,一些类似SaaS类的软件提供安全服务没有被市场所接受,大部分还是case?by?case,这也给新入场的玩家提供了很多弯道超车的机会”

除了申请人工审计,也越来越多的项目方会同时寻求自动化审计。

为了追求更加自动化,目前业界常用的手段是是形式化验证(formal verification),这种方式会事先定义好安全规则,之后证明客户的代码符合这些规则,从而避免违反这些规则的安全漏洞。

动态 | 上半年国内金融科技融资占全球83.3% 区块链融资最多:据证券日报报道,零壹数据统计得知,2018年上半年,全球至少发生569笔金融科技投融资事件,涉及资金总额约2760亿元,同比增长346.3%,环比增长208.1%,总金额几乎为2017年全年的2倍。国内获得融资总额约为2300亿元,占全球的83.3%。其中,区块链领域获得融资金额最多,共获得164亿元融资。[2018/7/20]

但BlockSec创始人周亚金认为,很多安全漏洞是与智能合约的具体业务场景有关,仅保证代码的正确性并不能保证整个智能合约的安全性,另外形式化验证规则本身也需要对项目进行定制。所以在具体操作中,BlockSec会通过"攻"的思路进行代码审计,具体技术包括攻击面的提取和分析以及自动化Fuzzing(模糊测试)等技术相结合的整体方案。

Go+ Security 创始人Mike观点也是如此,目前国内外行业的认知是,形式化的验证还没有找到明确提高技术效率的方法,还很难取代人工审计,在整个审计流程中占比还比较低。

在还没有很好的解决自动化思路出现时,传统的安全审计公司中,审计流程的设计其实是审计公司的核心竞争力,?“比如说像Quantstamp,同时进行三线审计。业务表述上的核心点就在于说付出足够多的人力,进行充份审计,来保证好的安全结果,再通过服务的案例来为自己背书。”

对于to B 端的区块链安全服务厂商而言,除了技术能力之外,品牌能力也是一个核心竞争力,如何运营好社区以及一些战略合作,来向市场输出自己的安全实力尤为重要。?

和传统互联网安全最开始从?to C端安全做起的路径相反,区块链安全目前还是主要集中在项目方中,而to C端的安全服务相对冷清。

但也有少数创业者选择做C端业务,Go+ Security 创始人Mike就是其中之一。Go+ Security 通过动态风险检测平台,以数据API的方式接入Web3应用,覆盖用户的风险场景,实时识别用户可能遇到的资产,行为风险,比如基于合约检测的Token,NFT,授权检测,也有基于用户使用场景的防钓鱼网站、钓鱼邮件、社群等,在为用户提供安全防护的同时,也剥离了Web3应用之前不好处理的用户侧风险。

Mike认为虽然从传统互联网的经验来看,只有少量用户会为安全付费,但Web3用户对于购买安全服务的收益模型更明确,这个有点像买车必须上保险,安全服务可能是日后所有Web3用户的必备服务,且to C端核心其实是安全流量和数据,商业逻辑和to?B按项目收服务费的逻辑并不一样,扩大数据规模是关键。“to?C端整个技术架构反而是要快,每天都有新的攻击方法出现,要识别定位,安全引擎有几百个策略,十多个检测类型在跑的时候,如何能在2秒内,出准确结果,这可能是to C安全的关键。”而扩大数据规模除了做好产品服务外,依赖于对生态的开发聚合。

无论是to?C还是to B ,或者是否能突破标准化,在Mirana Ventures?投资人 kenneth看来,关键还是人,SaaS软件也需要人力研发,所以项目目前拓展人力上的能力也非常关键,“投资的BlockSec、Secure3的创始团队都有学术和高校背景,能培养一些针对区块链安全的高端人才,且在人力成本上也有优势。”

目前市场玩家们,除了在标准化自动化上和业务深度上做出努力之外,也出现了一些小而美的打法。

比如北美有一些新审计公司,定位于精细化审计,主要服务于StepN、BanklessDao等创新型业务。这部分细分市场对于传统审计公司来说很难嚼或者说性价比不高,因为要做很多复杂的修改才能匹配到创新型业务。

此外还有一些针对类似于反作弊这样很细分痛点去切入安全服务的创业者。很多GameFi项目需要花50%的研发资源去做反作弊这一层,但这一层未来可能变化成类似于可介入?API的数据服务层,让专业的反作弊第三方服务来帮项目进行更高效地处理。

除了产品上的标准化,还有一些付费和责任分配模式不够清晰。

区块链项目虽然对安全服务的付费意愿很高,但不代表愿意或者说有能力去支出大额的安全预算。即使一个漏洞确实保护了平台用户非常多的资产,但安全服务商能拿付到多少比例,怎么收费,都是个问题。

传统的项目常见的收费模式基本上有三类,一种是按项目收服务费或者SaaS模式收费。第二种是收取保护项目网格资产的一定比例提成,第三种是提供安全API,按调用次数来收费。如果是token类项目,可能还会通过内置代币模型来达到付费目的,但这类目前还没有很成熟的做法。

周亚金表示,代码审计通常是根据项目大小,按次收费。而智能合约上链后,数据监控的部分则会采取订阅制,比如按年收费。而对于追损服务,在订阅制之外,同时会根据追回金额的多少,按百分点收取费用。

不过在Mirana Ventures 投资人kenneth看来,“行业内其实没有一个清晰的收费标准,尽管大家在强调推出SaaS,但收费上还是case?by?case,可能差不多的项目方最终付费差得很多,不利于市场拓展”。

除了收费模式不标准外,安全审核或保护类的项目最终遭受类攻击,谁来担责呢?目前来看,大多数被攻击的项目都曾完成过安全审计,并且很多都是来自知名安全公司的升级,但仍然没有避免遭受被攻击的命运。

kenneth提到,像传统四大会记事务所的审计服务,一旦出现问题,都有第三方来制定一套从上到下的规则,来明确哪些是项目的责任和服务方的责任,目前区块链的安全服务并没有建立到这套规则。“即使未来有,但法律法规的不健全,不同国家和地区的规则差异,也会带来一些责任审查和追责的难题。”

生态化、细分化将是大势

“从市场份额来看,区块链安全服务和传统互联网安全最终格局类似,依然是几家头部厂商来领导整个市场”。按照BlockSec创始人周金亚的判断,区块链安全最先在代码审计赛道里会沉淀下来几家比较头部的玩家。

即使会出现头部玩家,也大概率是区域性的头部玩家,在Mirana Ventures投资人kenneth看来,从最近Tornado Cash因反被制裁来看,安全服务未来会从代码审计拓展到类似与隐私数据等等其它服务上,会很受当地政策限制,很多数据相关业务并不能跨越国界。

而市场格局走向稳定成熟过程中,YM Capital?投资人Thomas表示,从Web2的发展经验来看,安全商业本身存在一个大量兼并机会,包括横向并购与纵向并购,未来安全公司也可能突破安全的边界,向非安全的其它数据业务方向做拓展。

从目前现状来看,很多所谓的Web3安全公司还是一个很Web2的心态,本质上还是只是服务的客户从Web2切换到Web3。YM Capital投资人Thomas期待的是,有没有更Web3去中心化形态的公司或组织,或者渠道上,能构建一张去中心化的安全网络。

Go+ Security创始人Mike也认为,安全不同的细分领域里面都会有一些头部公司,但相比于传统互联网安全服务,它会更加生态化,而不是靠一个头部公司来垄断整个市场。

区块链安全赛道是一个非常庞大的市场,但要根本上解决问题,不仅要依赖安全审计公司在项目上线前尽可能疏通漏洞,也需要白帽黑客等独立研究者在上线后基于赏金模式持续发掘漏洞,更需要监管机制、用户教育等方面的发力,形成针对区块链项目的全方位全周期安全保障机制。

链捕手

媒体专栏

阅读更多

金色早8点

Bress

财经法学

PANews

Odaily星球日报

标签:区块链WEBSECWEB3区块链游戏币拍卖CoinwebSecurabyte ProtocolWeb3Gold

币安下载热门资讯
金色观察|BitMex:OFAC 制裁VS以太坊 PoS 技术上的细微差别

摘要 在这篇文章中,讨论了在美国财政部外国资产控制办公室(OFAC)最近决定批准以太坊上的 Tornado Cash 合约的背景下,合并后以太坊的审查阻力程度.

1900/1/1 0:00:00
区块链也正在面临着与去中心化精神的背道而驰

随着区块链技术的不断发展,许多诞生在区块链上可能会颠覆传统行业的应用开始不断诞生,这也使得这个市场吸引了庞大的资金,不管是对于机构还是个人来说,要想进入加密市场必然绕不开一个东西,那便是中心化稳定币.

1900/1/1 0:00:00
晚间必读 | DeFi 如何从破茧重生?

DeFi研究员Ignas表示,代币经济学的从0到1的创新非常困难,但偶尔出现的极具创新性的代币,会改变行业的发展轨迹。新代币经济学的独创性将推动行业向前发展,并有能力启动一个新的牛市。上一轮DeFi牛市中就出现过一些这样的代币.

1900/1/1 0:00:00
未来已来 Web3 将如何重塑求职道路?

来源:老雅痞 前言 十几年前,企业有用人需求之后,一般会通过报纸等传统媒体发布招聘广告,或者去人才市场进行专场招聘,如果有高级人才的话,则会找猎头公司进行“狩猎”。这种模式的弊端显而易见,就是有着明显的信息不对称,而且受众面比较有限.

1900/1/1 0:00:00
引起 DAO 效率低下的陷阱和待考虑因素

DAO 通过激励用户参与活动,以促进其商业目标;同时它使个人能够一起工作,最大限度地减少信任,并保持对审查和胁迫的抵抗。为了促进这一点,DAO 需要不同层次的复杂智能合约、组织结构和治理.

1900/1/1 0:00:00
制度经济学视角观察:Web3到底是什么?

Web3的创新点究竟在哪?它会如何改变这个世界? 作者 :Kokii原文:《Web3的底层逻辑:制度经济学视角》? Web3是一种新的经济基础设施,用于协调和交换.

1900/1/1 0:00:00