原作者: Flowie、チェーンキャッチャー

Acalaはハッカーに攻撃され12億豪ドル以上の安定通貨を発行、Solanaのエコウォレットは広範囲で盗まれた…2022年上半期のブロックチェーンのホットスポットの半分が占めたと言っても過言ではないセキュリティ問題が原因です。

Certikが発表したセキュリティレポートによると、2022年の最初の6か月だけで、ブロックチェーンとWeb3のプロジェクトはハッキングやエクスプロイトにより20億ドル以上の損失を被る見通しで、その額はすでに2021年の合計を上回っている。

セキュリティ問題の発生と同時に、多くのプロジェクト当事者はスマートコントラクトのセキュリティ監査を手配する必要がありましたが、それまでに半年かかる可能性があります。たとえ監査が完了したとしても、ご覧のとおり、依然として攻撃されるリスクに直面しています。

ブロックチェーンのセキュリティが必要であることは間違いありませんが、プロジェクト当事者にとっても一般ユーザーにとっても安心することは難しいのが現実です。

こうした状況を背景に、新たなセキュリティサービスベンダーが続々と参入していることがわかります。 2022年現在までに、Carret、BlockSec、Secure3、Halborn、Redefineなど国内外のセキュリティ企業から比較的多額の資金調達が相次いでおり、その中でもCertikはほぼ4期にわたり4ラウンドの資金調達を行っている。 1年という数字は市場の熱意を示しています。

この記事では、セキュリティの「番人」の現状から、ブロックチェーンセキュリティ全体がどのようなジレンマに直面しているのかを見ていきます。業界構造はどのように進化しているのでしょうか？

まだまだ「先駆的」なブロックチェーンセキュリティサービス

ブロックチェーンの「野蛮な」成長に伴い、同時にセキュリティの需要も急増していますが、セキュリティサービスが追いついていません。

BlockSec の共同創設者である周亜金氏は、「過去 2 年間、スマート コントラクトのセキュリティ監査のキューは正常であり、多くのプロジェクトのセキュリティ監査サービスは半年もキューに入れられたことさえあります。」と述べました。リャナン氏、2022 年の第 2 四半期に攻撃を受けたプロジェクトのうち、ほぼ平均的なプロジェクトがセキュリティ監査に合格できませんでした。

セキュリティサービスプロバイダーは次々と進化を続けているが、YMキャピタルの投資家トーマス氏は「実際の供給能力と一定のブランド影響力を備えたサービスプロバイダーは不足しており、世界中で10～20社しかない」（周氏）とみる。 Yajin 氏は、セキュリティ監査は、Consensys Diligence、Trail of Bits、Chain Security、Certik など、インターネットで早くから市場に参入した有名な企業がいくつかありますが、実際には大きな市場シェアを占めてはいませんが、全体の市場シェアを占めています。市場は依然として細分化されています。

さらに、特定のサブディビジョントラックでは、フィールドに参入したプレーヤーはさまざまなニーズを完全にカバーしておらず、そのほとんどは依然として安全監査に「登録」されており、明確な収入モデルと良好なキャッシュフローがありました。

実は、従来のインターネットセキュリティと同様に、ブロックチェーンセキュリティサービスもBサイドとCサイドに大別されます。 B 側では、ブロックチェーン プロジェクトのセキュリティはプレチェーンとポストチェーンに分けられ、チェーン前は主にスマート コントラクト コードのセキュリティ監査が行われ、チェーン後は以下のようなリアルタイムの監視が行われます。攻撃の追跡可能性と危険情報として。 to C 側では、主にユーザーのウォレットや NFT などのさまざまな資産のセキュリティが関係します。

Zhou Yajin氏は、セキュリティサービス市場全体において、Bサイドで動作するDaPP開発者のセキュリティや、Cサイドユーザー向けのウォレットやNFTセキュリティなどの重要なセキュリティサービスには、比較的空白の市場があると考えています。 「ブロックチェーンセキュリティサービスは、まだほぼ開拓段階にあります。」

なぜ需要と供給の不均衡が常態化したのでしょうか？

需要と供給の不均衡の背後にある理由を理解するのは難しくありませんが、まず第一に、ブロックチェーン業界のオープンソースの性質と現在の開発段階により、ブロックチェーン セキュリティ サービスの需要が「急激に成長」しています。

YMキャピタルの投資家トーマス氏のブロックチェーンセキュリティ路線への賭けに関する基本的な判断の1つは、「従来のインターネットセキュリティと比較して、ブロックチェーンセキュリティはより厳格である」というものだ。

一方で、ブロックチェーン業界はオープンソースのコードを非常に重視しているため、ほとんどのプロジェクトのソースコードが誰にでも公開され、ハッカーやその他の技術者が抜け穴を発見するためのより自然な利便性が提供されます。オンラインへの移行率は非常に低く、監督も不足しています。プロジェクト関係者の質にもばらつきがあります。プロジェクト関係者とユーザーの両方が、セキュリティ監査や、セキュリティに関する承認を提供するその他の方法を必要としています。

さらに、Web2 セキュリティ サービスと比較して、Web3 セキュリティ サービスには、攻撃者が脆弱性を実行することで利益を得る可能性があるという大きな問題点があります。 Web2 の世界では、攻撃者は一部の主要サービスを停止したり、一部のデータを盗んだり、マルウェアを販売したりして利益を得ることができますが、そのメリットは依然として限られています。しかし、Web3 の世界では、ブロックチェーン コードがさまざまな複雑な経済および金融シナリオにリンクし、ユーザーの暗号化された通貨資産に直接関連付けられているため、脆弱性が攻撃者に簡単に収入を超える数百万ドル、さらには数兆ドルをもたらす可能性があります。 「コミュニティの監督と共同開発の下、ブロックチェーンセキュリティ製品を変更するたびに複雑な説明プロセスが必要になります。従来のインターネットと比較して、製品を迅速に反復することが難しいため、製品のセキュリティもより強化する必要があります」オンラインにする前に慎重に検討してください。検討する必要があります。」

セキュリティがより厳格化されているこのような状況では、セキュリティに対する需要とブロックチェーン製品に対する支払い意欲が非常に高くなります。 Certikのb3資金調達ラウンドで開示されたデータから判断すると、2021年にはCertikの収益は12倍、利益は3,000倍に増加するだろう。

需要側の猛烈な成長の場合、供給側自体は多くの「無力」を抱えています。

これは、ローカル ライブラリ内の攻撃方法を手動で照合する必要がある、初期の従来のインターネット セキュリティの「アース メソッド」に似ています。セキュリティ監査だけの観点から見ると、ほとんどのサービス プロバイダーにとって標準化された自動化を実現することはほぼ困難であり、これは人的資源による供給能力が非常に限られていることを意味します。

たとえ人力で推進できるとしても、これほど多くの資格のあるセキュリティ監査の人材をどこで見つけるかは大きな疑問符です。契約監査は特定のビジネス シナリオと組み合わせて実行する必要がありますが、ブロックチェーン チェーンやシナリオごとに必要な監査能力は異なり、資格のある監査人材は非常に不足しています。監査機能を持つ多くの技術者は、独立したハッカーまたはホワイトハットハッカーになることを好む可能性があり、スマート コントラクト攻撃を実行する場合でも、スマート コントラクトの脆弱性を報告して報奨金を受け取る場合でも、より大きな利益を得ることができます。今年初め以来、ブロックチェーン業界では100万ドルを超えるバグ報奨金が多数出ている。

Go+ Security の創設者である Mike 氏の見解では、需要と供給の間の桁違いの完全な不均衡と比較して、セキュリティ リソースの需要と供給の構造の不一致によりマッチング効率が低下する、より核心的な問題があると考えています。

セキュリティの問題について話すと、セキュリティ監査に警備員を置くようです。ただし、自己テスト、契約設計の最適化、コード品質の向上、開発プロセス全体にわたる同期脆弱性スキャンの側面では、適切なツールやサービスがあれば、監査の作業負荷は実際に大幅に削減できます。 「業界の現在の状況は、多くのプロのセキュリティ監査人が非常に低レベルのコード層エラーのレビューに多大なエネルギーを費やしていることです。」

「標準化」が競争力の核となる

現在の市場には想像力とブルーオーシャンの余地がたくさんあり、新規参入企業であろうと古い企業であろうと、私たちはセキュリティ技術自体の反復に加えて、基本的に 2 つの問題でより大きな機会を探していることに気づきました。ポイント: 1 つは、限界コストを削減し、開発ボトルネックを解消するために、より標準化され、より自動化された製品を発売すること、2 つ目は、より細分化されたシナリオまたは特定のリンクをカバーし、より多くのセキュリティ予算を獲得することです。

最も資金調達の勢いが強いCertikの観点から見ると、チェーンに行く前のセキュリティ監査に加えて、Certikはチェーンに行った後も7*24時間稼働する自動監視SaaSプラットフォームであるスカイネットも立ち上げた。セキュリティの脅威から守るため。 OpenZeppelin は、ゲーミフィケーション テクノロジーを使用してスマート コントラクトのセキュリティ脆弱性を特定し、「Defender」などのサービスを提供し、プロジェクトによるスマート コントラクト管理の自動化、自動スクリプトの作成などを支援します。

最近新たな資金調達ラウンドを完了した BlockSec は、オンライン化前のセキュリティ監査サービスを提供するだけでなく、オンライン化後のブロックチェーン プロジェクト向けのリアルタイム セキュリティ監視サービス製品も提供する予定です。

「現在、ブロックチェーンのセキュリティ監査プロジェクトは依然としてエクイティファイナンスの形で上場されている。SaaSベースの標準化された自動化製品を立ち上げることができなければ、基本的に上場を無事に完了することは不可能だ。」 Mirana Venturesの投資家ケネス氏は、これも要因であると考えている。 SaaS ベースの製品を推進する動機の 1 つです。 「しかし、現在のブロックチェーンの反復は速すぎ、多くの細分化されたシナリオがあり、攻撃イベントの問題は複雑です。SaaS などの一部のソフトウェアは市場に受け入れられていないセキュリティ サービスを提供しています。それらのほとんどはまだ受け入れられていません。」ケースバイケースで、初心者にもコーナーで追い越す機会が多く与えられる」

手動監査の申請に加えて、自動監査も求めるプロジェクト関係者がますます増えています。

現在、業界ではさらなる自動化を進めるために、セキュリティルールを事前に定義し、お客様のコードがそのルールに準拠していることを証明することで、ルールに違反するセキュリティホールを回避するフォーマル検証が一般的に行われています。

しかし、BlockSec の創設者である Zhou Yajin 氏は、多くのセキュリティ脆弱性はスマート コントラクトの特定のビジネス シナリオに関連していると考えており、コードの正確性を確保するだけではスマート コントラクト全体のセキュリティを保証することはできません。ルール自体もプロジェクトに合わせてカスタマイズする必要があります。したがって、特定の操作では BlockSec が渡されます。"攻撃"コード監査の考え方、具体的な技術としては、攻撃対象領域の抽出と分析、自動ファジング（ファジングテスト）と他の技術を組み合わせた全体的なソリューションが含まれます。

Go+ Security の創設者である Mike 氏も同様で、現在の国内外の業界の認識では、正式な検証は技術効率を向上させる明確な方法がまだ見つかっておらず、手動監査に代わるのは依然として困難であると考えられています。監査プロセス全体のレベルはまだ比較的低いです。

自動化のアイデアの出現に対する適切な解決策が存在しないため、従来のセキュリティ監査会社では、監査プロセスの設計が監査会社の競争力の核心であり、適切なセキュリティを確保するために十分な人員を費やし、十分な監査を実施することが重要です。結果を出し、サービスケースを通じて自分たちを支持していきます。」

BtoBのブロックチェーンセキュリティサービスプロバイダーにとっては、技術力に加えてブランド力も競争力の核となり、コミュニティの運営方法や自社のセキュリティ機能を市場に輸出するための戦略的連携が特に重要となります。

to C 端末のセキュリティから始まる従来のインターネット セキュリティの道筋とは対照的に、ブロックチェーン セキュリティは依然として主にプロジェクト側に集中しており、to C 端末のセキュリティ サービスは比較的閑散としています。

しかし、少数ながら C エンド ビジネスを選択する起業家もおり、Go+ Security の創設者である Mike もその 1 人です。 Go+ Security は、動的なリスク検出プラットフォームを使用して、データ API の形式で Web3 アプリケーションにアクセスし、ユーザーのリスク シナリオと、トークン、NFT、およびトークン、NFT、および認証検出など、ユーザーが遭遇する可能性のある資産と行動リスクのリアルタイムの識別をカバーします。契約の検出: ユーザーの使用シナリオにおけるフィッシング Web サイト、フィッシングメール、コミュニティ詐欺などに対抗し、ユーザーにセキュリティ保護を提供すると同時に、Web3 アプリケーション以前には対処が困難であったユーザー側のリスクも除去します。

Mike は、従来のインターネットの経験から、セキュリティにお金を払うユーザーは少数であるものの、Web3 ユーザーはセキュリティ サービスを購入するためのより明確な収入モデルを持っていると考えています。これは保険付きの車を購入するのと似ており、セキュリティ サービスは可能性があると考えています。将来的にはすべてのWeb3ユーザーにとって必要なサービスであり、to C端末の核となるのは実際にはセキュアなトラフィックとデータである プロジェクトに応じてサービス料金を請求するto Bのロジックとはビジネスロジックが異なるデータのスケールが鍵となります。 「to C 端末の技術アーキテクチャ全体は高速である必要があります。新しい攻撃手法は毎日出現しています。識別して位置を特定するために、セキュリティ エンジンには何百もの戦略があります。これが to C のセキュリティの鍵となる可能性があります。」製品サービスで良い仕事をするためには、データ規模の拡大は生態系の発展と集約にかかっています。

Mirana Ventures の投資家 kenneth 氏の意見では、C に向かうか B に向かうか、あるいは標準化を突破できるかどうかにかかわらず、鍵となるのは人材であり、SaaS ソフトウェアの研究開発にも人手が必要であるため、プロジェクトの人員を拡大できる現在の能力は「投資している BlockSec と Secure3 の創設チームは全員学術的および大学出身であり、ブロックチェーン セキュリティに関するハイエンドの人材を訓練することができ、人件費の点でも有利です。」

現在、市場関係者は、標準化された自動化とビジネスの深化に努めていることに加えて、小規模で美しいプレイスタイルもいくつか持っています。

たとえば、北米には、StepN や BanklessDao など、洗練された監査に重点を置き、主に革新的なビジネスにサービスを提供する新しい監査会社がいくつかあります。この部分の市場セグメントは、革新的なビジネスに適合させるためには多くの複雑な修正が必要となるため、従来の監査会社では困難であるか、コストパフォーマンスが高くありません。

さらに、不正行為対策など、非常に細分化された問題点のためにセキュリティ サービスに切り込む起業家もいます。多くの GameFi プロジェクトでは、研究開発リソースの 50% をアンチチート層に費やす必要がありますが、この層は将来的に関与できる API に似たデータ サービス層に変わり、専門的なアンチチートが可能になる可能性があります。プロジェクトをより効率的に処理するのに役立つパーティ サービス。

2 つのあいまいなゾーン: 料金と責任

製品の標準化に加えて、十分に明確ではない支払いと責任の分散モデルがいくつかあります。

ブロックチェーン プロジェクトはセキュリティ サービスに対して高い支払い意欲を持っていますが、それは多額のセキュリティ予算を費やす意思がある、または費やすことができるという意味ではありません。たとえ抜け穴によってプラットフォーム ユーザーの多くの資産が保護されたとしても、セキュリティ サービス プロバイダーがどれくらいの報酬を得ることができるか、またその請求方法が問題となります。

従来のプロジェクトの一般的な課金モデルは基本的に 3 種類あり、1 つはプロジェクトまたは SaaS モデルごとにサービス料金を課金するものです。 2 つ目は、プロジェクトのグリッド資産を保護するために一定の割合の手数料を請求することです。3 つ目は、呼び出し回数に応じて課金されるセキュリティ API を提供することです。トークン プロジェクトの場合、支払い目的を達成するために組み込みのトークン モデルを使用することもありますが、この種の慣行はまだあまり成熟していません。

Zhou Yajin 氏は、コード監査は通常、プロジェクトの規模に基づいてプロジェクトごとに請求されると述べました。スマートコントラクトがオンチェーン化された後、データ監視部分は年会費などのサブスクリプション方式を採用する。被害回復サービスについては、サブスクリプション制に加え、回復金額に応じたポイント制の料金を請求させていただきます。

しかし、Mirana Ventures の投資家である Kenneth 氏の見解では、「実際、業界には明確な料金基準はありません。誰もが SaaS の立ち上げを強調していますが、料金は依然としてケースバイケースです。同様のプロジェクトの最終的な支払いは、は大きく異なり、これは市場にとって有益ではありません。拡大してください。」

非標準の課金モデルに加えて、最終的にそのような攻撃を受けるセキュリティ監査または保護プロジェクトの責任は誰が負うのでしょうか?現在、攻撃を受けたプロジェクトのほとんどはセキュリティ監査を完了しており、その多くは著名なセキュリティ会社からのアップグレードであるが、依然として攻撃を受ける運命を免れていない。

最初のレベルのタイトル

エコロジー化と細分化が一般的な傾向になる

「市場シェアの観点から見ると、ブロックチェーン セキュリティ サービスの最終的なパターンは従来のインターネット セキュリティのパターンと似ており、市場全体をリードする大手メーカーはまだ少数です。」 BlockSec 創設者 Zhou Jinya 氏の判断によると、ブロックチェーン セキュリティは、まずコード監査トラックのトップ プレーヤー数名を落ち着かせることになります。

ミラナ・ベンチャーズの投資家ケネス氏によると、マネーロンダリング対策でトルネード・キャッシュが最近制裁を受けたことから判断すると、セキュリティサービスはコード監査から類似のサービスに拡大するだろう。プライバシー データやその他のサービスは現地の政策によって非常に制限されており、多くのデータ関連ビジネスは国境を越えることができません。

市場構造が安定し成熟しつつある一方で、YMキャピタルの投資家トーマス氏は、Web2開発の経験から、セキュリティ事業自体には水平合併や垂直合併を含む多くの合併機会があり、セキュリティ企業も境界を突破する可能性があると述べた。他の非安全なデータ サービスにも拡張します。

現状から判断すると、いわゆる Web3 セキュリティ会社の多くは依然として Web2 的な考え方を持っており、本質的にはサービス顧客を Web2 から Web3 に切り替えているだけです。 YM Capital の投資家である Thomas 氏は、より分散型の Web3 を備えた企業や組織、あるいは分散型セキュリティ ネットワークを構築できるチャネルが存在するかどうかを楽しみにしています。

Go+ Security の創設者であるマイク氏も、さまざまなセキュリティ分野で大手企業がいくつか存在するだろうが、従来のインターネット セキュリティ サービスと比較すると、大手企業に依存して市場全体を独占するよりも、より環境に優しいものになるだろうと考えています。

ブロックチェーンのセキュリティトラックは非常に大きな市場ですが、問題を根本的に解決するには、プロジェクトがオンラインになる前にできる限り抜け穴を取り除くためにセキュリティ監査会社に依存するだけでなく、ホワイトハットハッカーなどの独立した研究者も必要です。プロジェクトがオンラインになった後に報酬を提供する モデルの抜け穴を継続的に発見するには、ブロックチェーンプロジェクトのオールラウンドかつフルサイクルのセキュリティ保証メカニズムを形成するための監督メカニズムとユーザー教育にさらなる努力が必要です。