원작자: Flowie, Chain Catcher

Acala는 해커의 공격을 받아 12억 개 이상의 안정적인 통화 AUSD를 발행했고, Solana의 생태 지갑은 넓은 지역에서 도난당했습니다... 2022년 상반기 블록체인 핫스팟의 절반은 보안 문제로 인해 발생합니다.

Certik이 발표한 보안 보고서에 따르면 2022년 상반기에만 블록체인 및 Web3 프로젝트가 해킹 및 익스플로잇으로 인해 20억 달러 이상의 손실을 입을 것이며 이는 이미 2021년 합계를 초과한 것입니다.

보안 문제가 발생하는 동시에 많은 프로젝트 당사자가 스마트 계약에 대한 보안 감사를 준비해야 했지만 대기하는 데 반년이 걸릴 수 있습니다. 감사가 완료되더라도 보시다시피 여전히 공격을 받을 위험에 직면하게 됩니다.

블록체인 보안이 필요할 뿐이라는 데는 의심의 여지가 없지만 현실은 프로젝트 당사자와 일반 사용자 모두 안전하다고 느끼기 어려운 것 같습니다.

이러한 배경에서 새로운 보안 서비스 벤더들이 속속 등장하는 것을 목격했습니다. 2022년 현재까지 Carret, BlockSec, Secure3, Halborn, Redefine 등 국내외 보안업체들이 비교적 많은 자금을 연달아 유치했으며, 그 중 Certik은 거의 4차례에 걸쳐 자금을 조달했다. 시장의 열정을 보여주는 1년.

이 기사에서는 보안 "보호자"의 현재 상황에서 전체 블록체인 보안이 직면한 딜레마는 무엇입니까? 산업 구조는 어떻게 진화하고 있습니까?

여전히 "선구적"인 블록체인 보안 서비스

블록체인의 '야만적' 성장과 함께 보안에 대한 수요도 급증했지만 보안 서비스는 이를 따라가지 못하고 있다.

BlockSec의 공동 설립자인 Zhou Yajin은 "지난 2년 동안 스마트 계약에 대한 보안 감사 대기열은 정상적이며 많은 프로젝트에 대한 보안 감사 서비스는 심지어 반년 동안 대기열에 있었습니다."라고 언급했습니다. 리아난, 2022년 2분기에 공격받은 프로젝트 중 거의 평균적인 프로젝트가 보안 감사를 통과하지 못했습니다.

보안 서비스 제공업체는 계속해서 발전하고 있지만 YM Capital 투자자 Thomas의 관점에서 "실제 공급 능력과 특정 브랜드 영향력을 갖춘 서비스 제공업체가 충분하지 않으며 전 세계에 10~20개만 있습니다."라고 Zhou는 말합니다. Yajin은 보안 감사가 Consensys Diligence, Trail of Bits, Chain Security, Certik과 같이 인터넷에서 일찍 시장에 진출한 일부 잘 알려진 회사가 있지만 실제로는 시장 점유율이 크지는 않지만 전체 시장을 점유하고 있습니다. 시장은 여전히 ​​세분화되어 있습니다.

또한 특정 세분 트랙에서 필드에 진입한 플레이어는 다양한 요구를 완전히 충족하지 못했으며 대부분은 명확한 수입 모델과 좋은 현금 흐름으로 안전 감사에서 여전히 "롤링"되었습니다.

실제로 기존의 인터넷 보안과 유사하게 블록체인 보안 서비스는 크게 B-side와 C-side로 나뉩니다. B측에서 블록체인 프로젝트의 보안은 pre-chain과 post-chain으로 구분되며, 체인 이전에는 주로 스마트 계약 코드의 보안 감사, 체인 이후에는 실시간 모니터링 등이 있습니다. 공격 추적성 및 위험 인텔리전스로 사용됩니다. to C 측면에서는 주로 사용자 지갑 및 NFT와 같은 다양한 자산의 보안과 관련됩니다.

Zhou Yajin은 전체 보안 서비스 시장에서 B-side에서 운영되는 DaPP 개발자의 보안, C-side 사용자를 위한 지갑 및 NFT 보안과 같은 중요한 보안 서비스에 대한 상대적으로 빈 시장이 있다고 생각합니다. "블록체인 보안 서비스는 거의 아직 선구적인 상태에 있습니다."

왜 수요와 공급의 불균형이 일상이 되었는가?

수요와 공급의 불균형에 대한 이유는 이해하기 어렵지 않은데, 먼저 블록체인 산업의 오픈 소스 특성과 현재 개발 단계로 인해 블록체인 보안 서비스에 대한 수요가 "급격하게 증가"했습니다.

블록체인 보안 트랙에 대한 YM Capital 투자자 Thomas의 기본 판단 중 하나는 "전통적인 인터넷 보안에 비해 블록체인 보안이 더 엄격하다"는 것입니다.

한편으로 블록체인 산업은 코드 오픈 소스를 중시하기 때문에 대부분의 프로젝트의 소스 코드를 모든 사람에게 공개하고 해커 및 기타 기술자가 허점을 발견할 수 있는 보다 자연스러운 편의를 제공합니다. 온라인에 접속하는 것은 매우 낮고 감독이 부족합니다.프로젝트 당사자의 품질도 고르지 않습니다.프로젝트 당사자와 사용자 모두 보안 감사 및 기타 방법으로 보안 보증을 제공해야 합니다.

또한 Web2 보안 서비스와 비교할 때 Web3 보안 서비스는 공격자가 취약점을 실행하여 이익을 얻을 수 있다는 큰 페인 포인트가 있습니다. Web2 세계에서는 공격자가 일부 주요 서비스를 종료하고 일부 데이터를 훔치고 맬웨어를 판매하여 이익을 얻을 수 있지만 이점은 여전히 ​​제한적입니다. 그러나 Web3 세계에서는 블록체인 코드가 다양한 복잡한 경제 및 금융 시나리오를 연결하고 사용자의 암호화된 통화 자산과 직접 연결되기 때문에 취약성은 쉽게 공격자에게 수백만 달러 또는 심지어 수조 달러 이상의 수입을 가져올 수 있습니다. "커뮤니티의 감독과 공동 창작 하에 블록체인 보안 제품의 모든 변경 사항에는 복잡한 설명 과정이 필요합니다. 기존 인터넷에 비해 제품 반복을 신속하게 수행하기 어렵기 때문에 제품의 보안도 더 강화되어야 합니다. 온라인에 접속하기 전에 신중하게 고려합니다. 고려합니다."

보안이 더욱 경직된 상황에서 보안에 대한 요구와 블록체인 제품에 대한 지불 의향은 매우 높습니다. Certik의 b3 파이낸싱 라운드에서 공개된 데이터에 따르면 2021년 Certik의 매출은 12배, 이익은 3,000배 증가할 것입니다.

수요측의 잔인한 성장의 경우 공급측 자체가 '무력'이 많다.

로컬 라이브러리에서 공격 방법을 수동으로 일치시켜야 하는 초기 전통적인 인터넷 보안의 "어스 방법"과 유사합니다. 보안 감사의 관점에서만 보면 대부분의 서비스 공급자가 표준화된 자동화를 달성하기가 거의 어렵습니다. 즉, 인력에 의해 공급 능력이 매우 제한됩니다.

인력에 의해 추진될 수 있더라도 자격을 갖춘 보안 감사 인재를 어디서 찾을 수 있는지는 큰 물음표입니다. 계약 감사는 특정 비즈니스 시나리오와 결합하여 수행해야 합니다.다른 블록체인 체인과 다른 시나리오에 필요한 감사 기능이 다르며 자격을 갖춘 감사 인재가 매우 부족합니다. 감사 기능을 갖춘 많은 기술자는 독립적인 해커 또는 화이트 햇 해커를 선호할 수 있으며, 스마트 계약 공격을 수행하거나 바운티를 위해 스마트 계약 취약성을 제출하는 경우 더 많은 이점을 얻을 수 있습니다. 올해 초부터 블록체인 업계에는 100만 달러를 넘는 버그바운티가 많았다.

Go+ Security 설립자 Mike의 관점에서 보면 수요와 공급의 완전한 불균형과 비교할 때 보안 자원의 공급과 수요 구조의 불일치로 인해 매칭 효율성이 낮다는 더 핵심적인 문제가 있습니다.

보안 문제에 대해 이야기할 때 보안 감사에 경비원을 배치하는 것 같습니다. 그러나 자체 테스트, 계약 설계 최적화, 코드 품질 개선 및 개발 프로세스 전반에 걸친 동시 취약성 스캔 측면에서 적절한 도구 또는 서비스가 있는 경우 실제로 감사 작업량을 크게 줄일 수 있습니다. "업계의 현재 상황은 많은 전문 보안 감사자가 매우 낮은 수준의 코드 계층 오류를 검토하는 데 많은 에너지를 소비한다는 것입니다."

"표준화"가 핵심 경쟁력

상상의 여지가 많고 블루오션이 많은 현재 시장에서 신규 플레이어이든 기존 플레이어이든 우리는 보안 기술 자체를 반복하는 것 외에도 기본적으로 두 가지 고통에 대한 더 큰 기회를 찾고 있음을 관찰했습니다. 요점: 하나는 더 많은 표준화되고 더 자동화된 제품을 출시하여 한계 비용을 줄이고 개발 병목 현상을 없애는 것이고, 두 번째는 더 세분화된 시나리오 또는 특정 링크를 다루고 더 많은 보안 예산을 확보하는 것입니다.

가장 강력한 파이낸싱 모멘텀을 가지고 있는 서틱의 입장에서 보면 서틱은 체인에 가기 전의 보안 감사 외에도 체인에 가기 전 7*24시간 실행되는 자동 모니터링 SaaS 플랫폼 스카이넷(Skynet)도 출시했다. 보안 위협으로부터 방어하기 위해. OpenZeppelin은 게임화 기술을 사용하여 스마트 계약의 보안 취약성을 식별하고 "Defender"와 같은 서비스를 제공하며 프로젝트에서 스마트 계약 관리 자동화, 자동화 스크립트 생성 등을 지원합니다.

최근 신규 자금조달을 마친 블록섹은 온라인 진출 전 보안 감사 서비스를 제공할 뿐만 아니라 온라인 진출 이후 블록체인 프로젝트에 대한 실시간 보안 모니터링 서비스 상품도 제공할 예정이다.

"현재 블록체인 보안감사 프로젝트는 여전히 지분금융 형태로 상장되고 있다. SaaS 기반의 표준화된 자동화 제품이 출시되지 않으면 기본적으로 성공적으로 상장을 완료하는 것이 불가능하다." SaaS 기반 제품을 홍보하는 동기 부여 요인 중 하나입니다. "그러나 현재 블록체인의 반복은 너무 빠르고 세분화된 시나리오가 많고 공격 이벤트의 문제가 복잡합니다. SaaS와 같은 일부 소프트웨어는 시장에서 수용되지 않은 보안 서비스를 제공합니다. 대부분은 여전히 ​​대부분입니다. 사례별로 신입 선수에게 코너에서 추월할 수 있는 많은 기회를 제공합니다.”

수동 감사를 신청하는 것 외에도 점점 더 많은 프로젝트 당사자들이 자동 감사를 모색할 것입니다.

더 많은 자동화를 추구하기 위해 현재 업계에서는 정식 검증이 일반적으로 사용되고 있으며, 이 방법은 사전에 보안 규칙을 정의한 다음 고객의 코드가 이러한 규칙을 준수함을 증명함으로써 이러한 규칙을 위반하는 보안 허점을 방지합니다.

그러나 BlockSec 설립자 Zhou Yajin은 많은 보안 취약점이 스마트 계약의 특정 비즈니스 시나리오와 관련이 있다고 생각합니다.코드의 정확성을 보장하는 것만으로는 전체 스마트 계약의 보안을 보장할 수 없습니다.또한 정식 검증은 규칙 자체도 프로젝트에 맞게 사용자 정의해야 합니다. 따라서 특정 작업에서 BlockSec은"공격"코드 감사의 아이디어, 특정 기술에는 공격 표면의 추출 및 분석과 자동 퍼징(퍼징 테스트) 및 기타 기술의 조합에 대한 전체 솔루션이 포함됩니다.

고플러스 시큐리티의 창업자인 마이크도 마찬가지다.현 국내외 업계 인식은 아직 정식 검증은 기술 효율성을 높일 수 있는 명확한 방법을 찾지 못했고, 여전히 수동 감사를 대체하기 어렵다는 것이다. 전체 감사 프로세스는 여전히 상대적으로 낮습니다.

자동화 아이디어의 출현에 대한 좋은 해결책이 없는 상황에서 전통적인 보안 감사 회사에서는 감사 프로세스의 설계가 실제로 감사 회사의 핵심 경쟁력입니다. 서비스 사례를 통해 우리 자신을 보증합니다.”

B-to-B 블록체인 보안 서비스 제공자에게는 기술 역량 외에 브랜드 역량도 핵심 경쟁력이며, 커뮤니티 운영 방식과 자체 보안 역량을 시장에 내보낼 수 있는 전략적 협력이 특히 중요합니다.

to C 터미널의 보안에서 시작하는 전통적인 인터넷 보안의 경로와 달리 블록체인 보안은 여전히 ​​주로 프로젝트 측면에 집중되어 있으며 to C 터미널의 보안 서비스는 상대적으로 황폐합니다.

그러나 C-end 비즈니스를 선택하는 소수의 기업가도 있으며 Go+ Security의 설립자인 Mike도 그중 하나입니다. Go+ Security는 동적 위험 탐지 플랫폼을 사용하여 데이터 API 형식으로 Web3 애플리케이션에 액세스하여 사용자 위험 시나리오를 다루고 토큰, NFT 및 인증 탐지와 같이 사용자가 직면할 수 있는 자산 및 행동 위험을 실시간으로 식별합니다. 계약 감지 사용자 사용 시나리오에서 피싱 방지 웹 사이트, 피싱 이메일, 커뮤니티 사기 등 사용자에게 보안 보호를 제공하는 동시에 Web3 응용 프로그램 이전에는 처리하기 어려웠던 사용자 측 위험도 제거합니다.

마이크는 전통적인 인터넷 경험으로 볼 때 소수의 사용자만 보안 비용을 지불하지만 Web3 사용자는 보안 서비스 구매에 대한 수입 모델이 더 명확하다고 생각합니다. 향후 모든 Web3 사용자에게 꼭 필요한 서비스이며, to C 단말의 핵심은 실제로 안전한 트래픽과 데이터입니다. 사업 논리는 프로젝트에 따라 요금을 청구하는 to B의 논리와 다릅니다. 데이터 규모가 핵심입니다. "to C 단말의 전체 기술 아키텍처는 빨라야 합니다. 새로운 공격 방법이 매일 등장합니다. 식별하고 위치를 찾기 위해 보안 엔진에는 수백 가지 전략이 있습니다. 이것이 to C 보안의 핵심일 수 있습니다." 제품 서비스에서 좋은 일을 하기 위해서는 데이터 규모를 확장하는 것이 생태계의 발전과 집합에 달려 있습니다.

C가 되든 B가 되든 표준화를 돌파할 수 있느냐는 Mirana Ventures의 투자자인 Kenneth의 의견으로는 핵심은 사람이며 SaaS 소프트웨어도 인력 연구 개발이 필요하므로 현재 프로젝트의 인력 확장 능력은 "Invested BlockSec, Secure3의 창립 팀은 모두 학계 및 대학 배경을 가지고 있으며 블록체인 보안을 위한 일부 고급 인재를 양성할 수 있으며 인건비 측면에서도 이점이 있습니다."

현재 시장 참여자들은 표준화된 자동화와 비즈니스 깊이에 노력을 기울이는 것 외에도 작고 아름다운 플레이 스타일을 가지고 있습니다.

예를 들어 북미에는 세련된 감사에 위치하며 주로 StepN 및 BanklessDao와 같은 혁신적인 비즈니스에 서비스를 제공하는 새로운 감사 회사가 있습니다. 시장 부문의 이 부분은 혁신적인 비즈니스에 맞추기 위해 많은 복잡한 수정이 필요하기 때문에 전통적인 감사 회사가 어렵거나 비용 성능이 높지 않습니다.

또한 부정 행위 방지와 같이 매우 세분화된 문제점을 위해 보안 서비스를 중단하는 기업가도 있습니다. 많은 GameFi 프로젝트는 부정 행위 방지 레이어에 연구 개발 리소스의 50%를 투자해야 하지만 이 레이어는 향후 관여할 수 있는 API와 유사한 데이터 서비스 레이어로 변경되어 전문적인 부정 행위 방지를 가능하게 합니다. 프로젝트를 보다 효율적으로 처리할 수 있도록 파티 서비스를 제공합니다.

두 퍼지 영역: 수수료 및 책임

제품 표준화 외에도 충분히 명확하지 않은 일부 지불 및 책임 분배 모델이 있습니다.

블록체인 프로젝트는 보안 서비스에 대한 지불 의향이 높지만 보안 예산을 많이 지출할 의향이 있거나 지출할 수 있다는 의미는 아닙니다. 허점이 플랫폼 이용자들의 많은 자산을 보호한다고 해도 보안업체가 얼마를 받을 수 있고 어떻게 과금할지가 문제다.

전통적인 프로젝트에 대한 일반적인 과금 모델에는 기본적으로 세 가지 유형이 있는데, 하나는 프로젝트 또는 SaaS 모델별로 서비스 요금을 과금하는 것입니다. 두 번째는 프로젝트의 그리드 자산 보호를 위해 일정 비율의 수수료를 부과하는 것이고, 세 번째는 호출 횟수에 따라 과금되는 보안 API를 제공하는 것입니다. 토큰 프로젝트인 경우 빌트인 토큰 모델을 사용하여 지불 목적을 달성할 수도 있지만 이러한 방식은 아직 성숙하지 않습니다.

Zhou Yajin은 코드 감사는 일반적으로 프로젝트 규모에 따라 프로젝트별로 비용이 청구된다고 말했습니다. 스마트 계약이 온체인된 후 데이터 모니터링 부분은 연회비와 같은 구독 시스템을 채택합니다. 피해 복구 서비스는 가입제 외에 복구 금액에 따라 퍼센티지 포인트로 요금이 부과된다.

하지만 미라나벤처스의 투자자 케네스는 "사실 업계에서 명확한 과금 기준이 없다. 다들 SaaS 출시를 강조하고 있지만 과금은 여전히 ​​케이스 바이 케이스다. 유사 프로젝트의 최종 결제일 수도 있다. 시장에 도움이 되지 않는 많이 다릅니다. 확장".

비표준 과금 모델 외에 궁극적으로 그러한 공격의 공격을 받는 보안 감사 또는 보호 프로젝트를 누가 책임지게 될까요? 현재 공격받은 프로젝트의 대부분은 보안 감사를 완료했으며, 그 중 상당수는 유명 보안 회사의 업그레이드이지만 여전히 공격의 운명을 피하지 못했습니다.

첫 번째 레벨 제목

생태화와 세분화는 일반적인 경향이 될 것입니다.

"시장점유율 측면에서 볼 때 블록체인 보안 서비스의 최종 패턴은 전통적인 인터넷 보안과 유사하며, 여전히 전체 시장을 주도하는 소수의 주요 제조업체가 있습니다." BlockSec 설립자 Zhou Jinya의 판단에 따르면 블록체인 보안은 먼저 코드 감사 트랙에서 소수의 상위 플레이어를 정착시킬 것입니다.

상위 플레이어가 있더라도 지역 상위 플레이어가 될 가능성이 높음 Mirana Ventures 투자자 Kenneth에 따르면 최근 Tornado Cash의 돈세탁 방지 제재로 볼 때 보안 서비스는 코드 감사에서 유사한 수준으로 확장됩니다. 개인 정보 데이터 및 기타 서비스는 현지 정책에 의해 매우 제한되며 많은 데이터 관련 비즈니스가 국경을 넘을 수 없습니다.

시장 구조가 안정되고 성숙해지는 동안 YM Capital 투자자 Thomas는 Web2 개발 경험에서 보안 비즈니스 자체가 수평적 합병 및 수직적 합병을 포함하여 많은 합병 기회를 가지고 있으며 보안 회사도 경계를 허물 수 있다고 말했습니다. 기타 비보안 데이터 서비스로 확장

현재 상태로 판단하면 소위 Web3 보안 회사는 여전히 Web2 사고 방식을 가지고 있으며 본질적으로 서비스 고객을 Web2에서 Web3로 전환합니다. YM Capital 투자자 Thomas는 Web3의 보다 분산된 형태를 가진 회사나 조직이 있는지 또는 분산된 보안 네트워크를 구축할 수 있는 채널이 있는지 기대하고 있습니다.

Go+ Security의 창립자인 Mike도 다양한 보안 부문에 일부 선도 기업이 있을 것이라고 믿지만 기존 인터넷 보안 서비스와 비교할 때 전체 시장을 독점하기 위해 선도 기업에 의존하기보다는 더 생태학적일 것입니다.

블록체인 보안 트랙은 매우 큰 시장이지만 문제를 근본적으로 해결하려면 보안 감사 회사에 의존하여 프로젝트가 온라인에 들어가기 전에 가능한 한 허점을 제거할 뿐만 아니라 화이트 햇 해커와 같은 독립적인 연구원이 필요합니다. 프로젝트가 온라인 상태가 된 후 보상 제공 모델의 허점을 지속적으로 발견하려면 감독 메커니즘과 사용자 교육에 더 많은 노력을 기울여 블록체인 프로젝트에 대한 전면적이고 전체 주기적인 보안 보장 메커니즘을 형성해야 합니다.