声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表MarsBit官方立场。
边肖:记得要集中注意力。
来源:Flowie
原标题:半年亏损超20亿美元,区块链安全赛道被资本抢购
阿卡拉被黑发行超过12亿稳定货币AUSD,索拉纳的生态钱包大面积被盗.毫不夸张地说,2022年上半年区块链的热点有一半是由安全问题造成的。
根据Certik发布的安全报告,仅2022年前6个月,区块链和Web3项目因黑客攻击和利用而损失超过20亿美元,这已经超过了2021年全年的总和。
安全问题的同时,很多项目方的智能合同都要安排安全审计,但可能要排队等半年以后。即使审计完成,如你所见,你仍然会面临被攻击的风险。
区块链安全无疑是刚需,但一个现实是,无论是项目方还是普通用户,似乎都很难有安全感。
在这种背景下,我们观察到新的安全服务供应商正在一个接一个地前进。截至目前,2022年国内外安全公司如Carret、BlockSec、Secure3、Halborn、Redefine等。相继获得大额融资,其中Certik在差不多一年的时间里筹集了四轮资金,可见市场之火爆。
在本文中,我们试着看看安全“守护者”的现状,整个区块链安全面临着怎样的困境?行业格局如何演变?
还在“拓荒”的区块链安全服务区块链“野蛮”生长,同时对安全的需求也在激增,但安全服务却跟不上。
Block联合创始人周提到,“智能合约的安全审核排队2-3个月是这两年的常态,很多项目的安全审核服务甚至排了半年。”成都联安的数据显示,2022年第二季度,几乎所有被攻击的项目都没有通过安全审核。
虽然安全服务商在一个接一个的推进,但据YM资本投资人Thomas说,“真正有供货能力和品牌影响力的服务商还不够多,全球也就一二十家。”周认为,即使有一些知名的公司如康森斯的勤奋,线索的位,链安全,Certik等。那些较早进入安全审计的,其实他们并没有占据很大的市场份额,整个市场还是比较分散的。
另外,在具体的子赛道上,进场的选手并没有完全覆盖不同的需求,大部分都是在收入格局清晰、现金流良好的安检中“打滚”。
其实类似于传统的互联网安全,区块链的安全服务大致可以分为to B和to C,在to-b端,一个区块链项目的安全分为链前和链后。链前主要是智能合约代码的安全审计,链后有攻击溯源、危险情报等实时监控。在to C端,主要涉及用户钱包、NFT等资产的安全。
周认为,在整个安全服务市场中,DaPP开发者在to B端运营的安全、to C端用户的钱包、安全等重要的安全服务都是比较空白的市场。“区块链的安全部门几乎仍处于开拓状态”。
为什么供需失衡是常态?供需失衡背后的原因不难理解。首先,区块链行业的开源特性和目前的发展阶段使得区块链安全服务的需求“野蛮生长”。
YM资本公司的投资者托马斯押注于区块链证券市场。一个基本判断是“相对于传统互联网安全,区块链安全是刚需。”
一方面,由于区块链业界对开源代码的高度重视,也使得大部分项目源代码对所有人开放,这也为黑客等技术人员探索漏洞提供了更多天然的便利;另一方面,目前区块链项目的门槛很低,没有监管,公关质量
另外,与Web2相比,Web3安全服务有一个很大的痛点:攻击者可以通过执行漏洞来获利。在Web2的世界里,虽然攻击者可以关闭一些主要的服务,窃取一些数据,出售恶意软件等等来获利,但是收益还是有限的。然而,在Web3世界中,由于区块链代码链接了各种复杂的经济和金融场景,并与用户的加密货币资产直接相关,因此一个漏洞就可以轻易地为攻击者带来数百万甚至数百亿美元的利润。“在社会各界的监督和共创下,区块链安防产品的每一次变化都需要一个复杂的解释过程。相对于传统互联网,很难快速的做产品迭代,所以产品的安全性也需要在上线之前考虑的更加周全。”
在这种安全性更为迫切的形势下,区块链产品对安全性的需求和支付意愿极高。根据Certik b3轮融资披露的数据,2021年Certik营收增长12倍,利润增长3000倍。
在需求端的野蛮生长下,供给端本身就有很多“软肋”。
类似于早期传统互联网安全需要手动去本地数据库匹配攻击方式的“土办法”。从单个安全审计来看,大部分服务提供商很难做到标准化和自动化,这意味着供应能力受到人力的限制非常有限。
就算人力可以推动,到哪里去找那么多合格的安全审计人才,是一个巨大的问号。合同需要结合具体的业务场景来做。区块链的不同情况需要不同的审计能力,合格的审计师非常稀缺。很多有审计能力的技术人员可能更愿意做独立黑客或者白帽黑客。无论是攻击智能合约,还是提交智能合约漏洞获取赏金,都可以获得更可观的利润。自今年年初以来,区块链行业已经看到了超过100万美元的漏洞赏金。
相比数量级的供需总量失衡,在Go安全创始人Mike看来,还有一个更核心的问题,就是安全资源的供需结构不匹配,导致匹配效率低下。
当我们谈论安全问题时,似乎我们都把安全卫士放在了安全审计上。但在整个开发过程中,自测、优化合约设计、提高代码质量、扫描漏洞同步进行,如果有合适的工具或服务,可以大大减少审计工作量。“行业内的一个现状是,很多专业的安全审计人员在审计非常低级的代码级错误上浪费了大量的精力”。
“标准化”是核心竞争力。目前市场有很大的想象空间和蓝海。无论是新玩家还是老玩家,我们观察到除了对安全技术本身的迭代,基本都是在两个痛点上寻找更大的机会:一是推出更标准化、自动化的产品,降低边际成本,打破发展瓶颈;二是覆盖更细分的场景或具体环节,吃更多的安全预算。
从融资势头最猛的Certik来看,除了上链前的安全审计,Certik还推出了上链后7*24小时不间断运行的自动监控SaaS平台天网,防御安全威胁。OpenZeppelin将通过游戏化技术识别智能合约中的安全漏洞,并提供“Defender”等服务,帮助项目实现智能合约管理的自动化,创建自动化脚本等。
最近结束新一轮融资的BlockSec,除了为链前安全审计提供服务外,还将为链后区块链项目提供实时安全监控服务产品。
“目前,区块链安全审计项目都是通过股权融资上市的。如果不能推出SaaS标准化自动化产品,基本不可能顺利完成上市。”米拉娜风险投资公司的投资者肯尼斯认为,这也是SaaS产品的驱动因素之一。“但目前区块链迭代太快,细分场景多,攻击事件问题复杂。一些类似SaaS的软件提供不被市场接受的安全服务,而且大多是个案式的,这也给新玩家提供了很多弯道超车的机会。”
我
为了追求更多的自动化,目前业界普遍采用形式化验证。这种方法会预先定义安全规则,然后证明客户的代码符合这些规则,从而避免违反这些规则的安全漏洞。
不过,BlockSec创始人周认为,很多安全漏洞都与智能合约的具体业务场景有关。仅仅保证代码的正确性并不能保证整个智能合约的安全性,形式化的验证规则本身也需要定制项目。所以在具体操作中,BlockSec会通过‘攻击’的思路对代码进行审计。具体技术包括攻击面的提取和分析以及自动模糊化(模糊测试)的总体方案。
Go Security创始人迈克也是如此。目前国内外业界的认知是,形式验证并没有找到明确的提高技术效率的方法,很难取代人工审核,在整个审核过程中所占的比重相对较低。
在没有好的思路解决自动化的时候,审计流程的设计其实是传统安全审计公司中审计公司的核心竞争力。“比如像Quantstamp,同时进行三线审计。商业表达的核心点是付出足够的人力,进行足够的审核,保证良好的安全效果,然后通过服务案例为自己背书。”
对于to-b区块链安全服务提供商来说,除了技术能力,品牌能力也是一个核心竞争力。如何运营好社区和一些战略合作,向市场输出自己的安全实力,显得尤为重要。
与传统互联网安全从to C安全起步的路径相反,区块链安全仍然主要集中在项目端,而to C安全服务相对冷清。
但也有少数创业者选择做C端业务,Go Security创始人Mike就是其中之一。Go通过动态风险检测平台以数据API的形式接入Web3应用,覆盖用户的风险场景,实时识别用户可能遇到的资产和行为风险,如基于合同检测的令牌、NFT和授权检测,以及基于用户使用场景的反钓鱼网站、钓鱼邮件和社区骗局。在为用户提供安全保护的同时,也剥离了Web3应用之前难以处理的用户端风险。
Mike认为,虽然从传统互联网的经验来看,只有少数用户会为安全付费,但Web3用户购买安全服务的营收模式更加清晰,有点像买了保险的车。安全服务可能是未来所有Web3用户的必备服务,to C的核心其实是安全流量和数据。业务逻辑不同于to B按项目收取服务费,扩大数据规模是关键。“相反,to C端的整个技术架构更快。每天都有新的攻击方式出现。为了识别和定位,安全引擎有数百种策略。当十几个检测类型同时运行时,如何在2秒内给出准确的结果?这可能是to C安全的关键,“除了做好产品和服务,扩大数据规模还要靠生态的发展和聚合。
无论是to C还是to B,还是能否突破标准化,在米拉娜创投投资人kenneth看来,关键是人,SaaS软件也需要人的研发。因此,目前扩大人的能力对项目来说也是非常重要的。“投资的BlockSec和Secure3创始团队都有学术和大学背景,可以为区块链安全培养一些高端人才,在人力成本上也有优势。”
现在的市场主体,除了在标准化、自动化、业务深度方面下功夫,也有一些小而美的玩法。
比如北美有一些新的审计公司,定位于精细化审计,主要服务于StepN、BanklessDao等创新业务。这部分细分市场是传统审计公司难以啃的,也是不划算的,因为要配合创新业务,还得做很多复杂的修改。
除此之外,还有一些创业者针对反作弊这样的痛点切入安全服务。很多GameFi项目需要花费50%的R&D资源做反作弊层,但这一层未来可能会变成类似于可干预API的数据服务层,让专业的反作弊第三方服务帮助项目更高效的处理。
两个模糊区域:收费和问责除了产品的标准化,还有一些支付和责任分配模式不够清晰。
虽然区块链项目有很高的支付安全服务的意愿,但这并不意味着他们愿意或能够花费大量的安全预算。即使一个漏洞确实保护了很多平台用户的资产,安全服务商能出多少钱,怎么收费,都是个问题。
传统项目常见的收费模式基本上有三种,一种是按项目收取服务费或SaaS模式。二是收取保护项目网格资产的一定比例,三是提供安全API,按调用次数收费。如果是代币项目,可能也是通过内置代币的模式来达到付费的目的,但是这种项目目前还不是很成熟。
周说,代码审核通常是根据项目的大小,按次收取费用。智能合约挂钩后,数据监控部分会采取订阅制,比如按年收费。对于失而复得的服务,除了订阅制,还会根据失而复得的金额按一个百分点收取费用。
然而,据米拉娜风险投资公司的投资人肯尼斯说,“这个行业实际上没有明确的收费标准。虽然大家都在强调引进SaaS,但收费还是个案收费,类似的项目方最后付款可能会差很多,不利于市场拓展”。
除了收费模式不规范,安全审计或者保护项目最后还是被阶级攻击。谁将承担责任?目前大部分被攻击的项目都已经完成了安全审计,很多都是知名安全公司的升级,但是依然没有避免被攻击。
Kenneth提到,像传统四会办公室的审计服务,一旦出现问题,有第三方制定一套自上而下的规则,明确哪些是项目的责任,哪些是服务商的责任。目前,区块链的安全部门还没有建立这套规则。“即使以后有,法律法规的不完善,不同国家和地区规则的差异,也会带来一些责任审核和问责的问题。”
生态化、细分化将是大势所趋。“从市场份额来看,区块链安全服务的最终格局与传统互联网安全类似,几家头部厂商仍在主导整个市场”。根据BlockSec创始人周金亚的判断,区块链安全会在代码审计赛道沉淀几个比头的选手。
即使会有头部玩家,也很可能是区域头部玩家。米拉娜风险投资公司(Bernstein Ventures)投资人肯尼斯(kenneth)表示,从最近因反洗钱而对Tornado Cash实施的制裁来看,安全服务未来将从代码审计扩展到隐私数据等其他服务,这些服务将受到当地政策的限制,许多与数据相关的业务无法跨越国界。
在市场结构日趋稳定和成熟的同时,YM资本的投资人Thomas表示,从Web2的发展经验来看,安全商务本身存在大量的并购机会,包括横向和纵向并购。在未来,安全公司可能会突破安全边界,扩展到其他非安全数据服务。
从目前的情况来看,很多所谓的Web3安全公司还是非常以Web2为导向的,本质上只是把服务客户从Web2切换到Web3。YM资本的投资人Thomas很期待有没有一个公司或组织,有一个更分散的Web3形式,或者一个渠道,可以建立一个分散的安全网络。
Go Security创始人Mike也认为,安全的不同细分领域会有一些头部公司,但相比传统的互联网安全服务,会更加生态化,而不是靠一个头部公司垄断整个市场。
区块链安全赛道是一个非常巨大的市场,但要从根本上解决问题,不仅需要依靠安全审计公司在项目上线前尽可能清除漏洞,还需要白帽黑客等独立研究人员在项目上线后基于赏金模式不断挖掘漏洞,更需要在监管机制、用户教育等方面发力,形成全方位、全周期的区块链项目安全保障机制。
编辑:凯特
