ผู้แต่งต้นฉบับ: Flowie, Chain Catcher

Acala ถูกโจมตีโดยแฮ็กเกอร์และออกสกุลเงินที่มีเสถียรภาพมากกว่า 1.2 พันล้าน AUSD และกระเป๋าเงินในระบบนิเวศของ Solana ถูกขโมยในพื้นที่ขนาดใหญ่... ไม่ใช่เรื่องเกินจริงที่จะกล่าวว่าครึ่งหนึ่งของฮอตสปอตในบล็อกเชนในช่วงครึ่งแรกของปี 2022 มีส่วนสนับสนุนโดยปัญหาด้านความปลอดภัย

ตามรายงานด้านความปลอดภัยที่ออกโดย Certik ในช่วงหกเดือนแรกของปี 2022 เพียงโครงการ blockchain และ Web3 จะสูญเสียเงินมากกว่า 2 พันล้านดอลลาร์เนื่องจากการแฮ็กและการหาประโยชน์ ซึ่งเกินผลรวมของปี 2021 แล้ว

ในขณะเดียวกันกับปัญหาด้านความปลอดภัยที่เกิดขึ้น ฝ่ายโครงการจำนวนมากต้องจัดให้มีการตรวจสอบความปลอดภัยสำหรับสัญญาอัจฉริยะของตน แต่อาจใช้เวลารอถึงครึ่งปี แม้ว่าการตรวจสอบจะเสร็จสิ้นอย่างที่คุณเห็น แต่ก็ยังมีความเสี่ยงที่จะถูกโจมตี

ไม่ต้องสงสัยเลยว่าการรักษาความปลอดภัยแบบบล็อกเชนนั้นจำเป็น แต่ความจริงก็คือดูเหมือนว่าเป็นเรื่องยากสำหรับทั้งฝ่ายโครงการและผู้ใช้ทั่วไปที่จะรู้สึกปลอดภัย

จากเบื้องหลังนี้ เราสังเกตเห็นว่าผู้ให้บริการด้านความปลอดภัยรายใหม่ได้ก้าวไปข้างหน้าทีละราย จนถึงตอนนี้ ในปี 2565 บริษัทรักษาความปลอดภัยทั้งในประเทศและต่างประเทศ เช่น Carret, BlockSec, Secure3, Halborn, Redefine เป็นต้น ได้รับเงินทุนจำนวนมากอย่างต่อเนื่อง ในจำนวนนี้ Certik ได้ระดมทุน 4 รอบในเกือบ หนึ่งปีซึ่งแสดงให้เห็นถึงความกระตือรือร้นของตลาด

ในบทความนี้ เราลองมาดูสถานการณ์ปัจจุบันของ "ผู้พิทักษ์ความปลอดภัย" กัน ว่าปัญหาด้านความปลอดภัยของบล็อกเชนทั้งหมดกำลังเผชิญภาวะที่กลืนไม่เข้าคายไม่ออกประเภทใด โครงสร้างอุตสาหกรรมมีการพัฒนาอย่างไร?

บริการรักษาความปลอดภัยของบล็อกเชนที่ยังคงเป็น "ผู้บุกเบิก"

ด้วยการเติบโตที่ "ป่าเถื่อน" ของบล็อกเชน ความต้องการความปลอดภัยจึงเพิ่มขึ้นในเวลาเดียวกัน แต่บริการรักษาความปลอดภัยไม่สามารถรักษาไว้ได้

Zhou Yajin ผู้ร่วมก่อตั้ง BlockSec กล่าวว่า "คิวการตรวจสอบความปลอดภัยสำหรับสัญญาอัจฉริยะเป็นเรื่องปกติในช่วง 2 ปีที่ผ่านมา และบริการตรวจสอบความปลอดภัยสำหรับหลายโครงการมีคิวยาวถึงครึ่งปีด้วยซ้ำ" จากข้อมูลของเฉิงตู เหลียนหนาน ในไตรมาสที่สองของปี 2565 ท่ามกลางโครงการที่ถูกโจมตี โครงการโดยเฉลี่ยเกือบไม่ผ่านการตรวจสอบความปลอดภัย

แม้ว่าผู้ให้บริการด้านความปลอดภัยจะยังคงก้าวหน้าต่อไป แต่ในมุมมองของนักลงทุน YM Capital Thomas "มีผู้ให้บริการไม่เพียงพอที่มีความสามารถในการจัดหาจริงและมีอิทธิพลต่อแบรนด์ และมีเพียงสิบหรือยี่สิบในโลก" Zhou Yajin เชื่อว่าการตรวจสอบความปลอดภัย แม้ว่าจะมีบริษัทที่มีชื่อเสียงบางแห่งเช่น Consensys Diligence, Trail of Bits, Chain Security และ Certik ที่เข้าสู่ตลาดก่อนหน้านี้ทางอินเทอร์เน็ต แต่จริงๆ แล้วพวกเขาครองส่วนแบ่งตลาดไม่มาก และทั้งหมด ตลาดยังคงมีการกระจายตัว

นอกจากนี้ ในเส้นทางแบ่งเฉพาะ ผู้เล่นที่ลงสนามไม่ครอบคลุมความต้องการที่แตกต่างกัน และส่วนใหญ่ยังคง "รีด" ในการตรวจสอบความปลอดภัยด้วยรูปแบบรายได้ที่ชัดเจนและกระแสเงินสดที่ดี

ในความเป็นจริง คล้ายกับการรักษาความปลอดภัยทางอินเทอร์เน็ตแบบดั้งเดิม บริการรักษาความปลอดภัยของบล็อกเชนนั้นแบ่งออกเป็นฝั่ง B และฝั่ง C อย่างคร่าว ๆ ในด้าน B ความปลอดภัยของโครงการ blockchain แบ่งออกเป็น pre-chain และ post-chain ก่อน chain ส่วนใหญ่เป็นการตรวจสอบความปลอดภัยของรหัสสัญญาอัจฉริยะ หลังจาก chain มีการตรวจสอบตามเวลาจริงเช่น เป็นการติดตามการโจมตีและข่าวกรองอันตราย ในฝั่ง C ส่วนใหญ่เกี่ยวข้องกับความปลอดภัยของทรัพย์สินต่างๆ เช่น กระเป๋าเงินผู้ใช้และ NFT

Zhou Yajin เชื่อว่าในตลาดบริการรักษาความปลอดภัยทั้งหมด มีตลาดที่ค่อนข้างว่างเปล่าสำหรับบริการรักษาความปลอดภัยที่สำคัญ เช่น ความปลอดภัยของนักพัฒนา DaPP ที่ทำงานบนฝั่ง B และกระเป๋าเงินและความปลอดภัย NFT สำหรับผู้ใช้ฝั่ง C "บริการรักษาความปลอดภัยของบล็อกเชนเกือบจะยังอยู่ในสถานะบุกเบิก"

เหตุใดความไม่สมดุลระหว่างอุปสงค์และอุปทานจึงกลายเป็นบรรทัดฐาน

เหตุผลที่อยู่เบื้องหลังความไม่สมดุลระหว่างอุปสงค์และอุปทานไม่ใช่เรื่องยากที่จะเข้าใจ ประการแรก ลักษณะโอเพ่นซอร์สของอุตสาหกรรมบล็อกเชนและขั้นตอนการพัฒนาในปัจจุบันทำให้ความต้องการบริการรักษาความปลอดภัยบล็อกเชน

หนึ่งในการตัดสินขั้นพื้นฐานของนักลงทุน YM Capital ของ Thomas ที่เดิมพันกับระบบรักษาความปลอดภัยของบล็อกเชนคือ "เมื่อเปรียบเทียบกับความปลอดภัยทางอินเทอร์เน็ตแบบดั้งเดิมแล้ว ความปลอดภัยของบล็อกเชนนั้นเข้มงวดกว่า"

ในแง่หนึ่ง เนื่องจากอุตสาหกรรมบล็อกเชนให้ความสำคัญอย่างยิ่งกับโค้ดโอเพ่นซอร์ส สิ่งนี้ยังทำให้ซอร์สโค้ดของโครงการส่วนใหญ่เปิดกว้างสำหรับทุกคน และให้ความสะดวกตามธรรมชาติแก่แฮ็กเกอร์และช่างเทคนิคอื่นๆ ในการค้นพบช่องโหว่ เกณฑ์สำหรับโครงการบล็อกเชน ออนไลน์ต่ำมากและขาดการดูแลคุณภาพของฝ่ายโครงการก็ไม่สม่ำเสมอ ทั้งฝ่ายโครงการและผู้ใช้ต้องการการตรวจสอบความปลอดภัยและวิธีการอื่น ๆ เพื่อให้การรับรองความปลอดภัยสำหรับตนเอง

นอกจากนี้ เมื่อเปรียบเทียบกับบริการรักษาความปลอดภัยของ Web2 แล้ว บริการรักษาความปลอดภัยของ Web3 มีจุดบอดใหญ่ที่ผู้โจมตีสามารถทำกำไรได้จากการดำเนินการกับช่องโหว่ ในโลกของ Web2 แม้ว่าผู้โจมตีสามารถปิดบริการหลักบางอย่าง ขโมยข้อมูลบางส่วน ขายมัลแวร์ ฯลฯ เพื่อทำกำไร แต่ผลประโยชน์ก็ยังมีจำกัด แต่ในโลกของ Web3 เนื่องจากรหัสบล็อกเชนเชื่อมโยงสถานการณ์ทางเศรษฐกิจและการเงินที่ซับซ้อนต่าง ๆ และเชื่อมโยงโดยตรงกับสินทรัพย์สกุลเงินที่เข้ารหัสของผู้ใช้ ช่องโหว่นี้อาจทำให้ผู้โจมตีทำเงินหลายล้านหรือแม้แต่ล้านล้านดอลลาร์ได้อย่างง่ายดาย เหนือรายได้ "ภายใต้การดูแลและการสร้างร่วมกันของชุมชน ทุกการเปลี่ยนแปลงของผลิตภัณฑ์รักษาความปลอดภัยบล็อกเชนจำเป็นต้องมีกระบวนการอธิบายที่ซับซ้อน เมื่อเทียบกับอินเทอร์เน็ตแบบดั้งเดิม เป็นเรื่องยากที่จะทำซ้ำผลิตภัณฑ์อย่างรวดเร็ว ดังนั้นความปลอดภัยของผลิตภัณฑ์จึงต้องมีมากขึ้นด้วย พิจารณาอย่างถี่ถ้วนก่อนออนไลน์เพื่อพิจารณา"

ในสถานการณ์ที่ความปลอดภัยเข้มงวดมากขึ้น ความต้องการความปลอดภัยและความเต็มใจที่จะจ่ายสำหรับผลิตภัณฑ์บล็อคเชนนั้นสูงมาก เมื่อพิจารณาจากข้อมูลที่เปิดเผยในรอบการจัดหาเงินทุน b3 ของ Certik ในปี 2564 รายได้ของ Certik จะเพิ่มขึ้น 12 เท่า และกำไรจะเพิ่มขึ้น 3,000 เท่า

ในกรณีของการเติบโตอย่างโหดร้ายในด้านอุปสงค์ ด้านอุปทานเองก็มี "ความไร้อำนาจ" อยู่มาก

ซึ่งคล้ายกับ "วิธีการลงดิน" ของการรักษาความปลอดภัยทางอินเทอร์เน็ตแบบดั้งเดิมยุคแรกๆ ที่ต้องใช้การจับคู่วิธีการโจมตีด้วยตนเองในไลบรารีท้องถิ่น จากมุมมองของการตรวจสอบความปลอดภัยเพียงอย่างเดียว แทบจะเป็นเรื่องยากสำหรับผู้ให้บริการส่วนใหญ่ที่จะบรรลุระบบอัตโนมัติที่เป็นมาตรฐาน ซึ่งหมายความว่ากำลังคนในการจัดหามีจำกัดอย่างมาก

แม้ว่าจะสามารถผลักดันได้ด้วยกำลังคน แต่การจะหาผู้ตรวจสอบความปลอดภัยที่มีคุณสมบัติเหมาะสมจำนวนมากได้จากที่ใดนั้นเป็นเครื่องหมายคำถามที่ยิ่งใหญ่ การตรวจสอบสัญญาจำเป็นต้องทำร่วมกับสถานการณ์ทางธุรกิจเฉพาะ ความสามารถในการตรวจสอบที่จำเป็นสำหรับบล็อกเชนที่แตกต่างกันและสถานการณ์ที่แตกต่างกันจะแตกต่างกัน และความสามารถในการตรวจสอบที่มีคุณสมบัติเหมาะสมนั้นหายากมาก ช่างเทคนิคหลายคนที่มีความสามารถในการตรวจสอบอาจชอบที่จะเป็นแฮ็กเกอร์อิสระหรือแฮ็กเกอร์หมวกขาว ไม่ว่าจะเป็นการโจมตีสัญญาอัจฉริยะหรือส่งช่องโหว่ของสัญญาอัจฉริยะเพื่อรับเงินรางวัล พวกเขาจะได้รับผลประโยชน์มากมาย ตั้งแต่ต้นปีนี้ มีบั๊กจำนวนมากที่มีมูลค่ามากกว่าหนึ่งล้านดอลลาร์ในอุตสาหกรรมบล็อกเชน

เมื่อเทียบกับความไม่สมดุลอย่างสมบูรณ์ระหว่างอุปสงค์และอุปทานตามลำดับความสำคัญ ในมุมมองของผู้ก่อตั้ง Go+ Security Mike Mike มีปัญหาหลักมากกว่านั้น นั่นคือความไม่ตรงกันในโครงสร้างอุปสงค์และอุปทานของทรัพยากรความปลอดภัย ส่งผลให้ประสิทธิภาพการจับคู่ต่ำ

เมื่อเราพูดถึงปัญหาด้านความปลอดภัย ดูเหมือนว่าเราจะให้เจ้าหน้าที่รักษาความปลอดภัยเป็นผู้ตรวจสอบความปลอดภัย อย่างไรก็ตาม ในแง่มุมของการทดสอบตัวเอง การเพิ่มประสิทธิภาพการออกแบบสัญญา การปรับปรุงคุณภาพโค้ด และการสแกนช่องโหว่แบบซิงโครนัสตลอดกระบวนการพัฒนา หากมีเครื่องมือหรือบริการที่เหมาะสม ภาระงานการตรวจสอบจะลดลงอย่างมาก "สถานการณ์ปัจจุบันในอุตสาหกรรมคือผู้ตรวจสอบความปลอดภัยมืออาชีพจำนวนมากใช้พลังงานจำนวนมากในการตรวจสอบข้อผิดพลาดของชั้นโค้ดระดับต่ำมาก"

"มาตรฐาน" คือความสามารถในการแข่งขันหลัก

ในตลาดปัจจุบันซึ่งมีพื้นที่มากมายสำหรับจินตนาการและท้องทะเลสีคราม ไม่ว่าจะเป็นผู้เล่นรายใหม่หรือรายเก่า เราได้สังเกตเห็นว่านอกเหนือจากการทำซ้ำเกี่ยวกับเทคโนโลยีความปลอดภัยแล้ว เรายังมองหาโอกาสที่มากขึ้นจากความเจ็บปวดสองประการ ประเด็น: หนึ่งคือการเปิดตัวผลิตภัณฑ์ที่เป็นมาตรฐานและเป็นอัตโนมัติมากขึ้นเพื่อลดต้นทุนส่วนเพิ่มและทำลายคอขวดของการพัฒนา ประการที่สอง ครอบคลุมสถานการณ์ที่แบ่งย่อยมากขึ้นหรือลิงก์เฉพาะ และได้รับงบประมาณด้านความปลอดภัยมากขึ้น

จากมุมมองของ Certik ซึ่งมีโมเมนตัมทางการเงินที่แข็งแกร่งที่สุด นอกเหนือจากการตรวจสอบความปลอดภัยก่อนเข้าสู่ห่วงโซ่แล้ว Certik ยังเปิดตัว Skynet ซึ่งเป็นแพลตฟอร์ม SaaS การตรวจสอบอัตโนมัติที่ทำงาน 7*24 ชั่วโมงต่อวันหลังจากไปที่ห่วงโซ่ เพื่อป้องกันภัยคุกคามด้านความปลอดภัย OpenZeppelin ใช้เทคโนโลยี gamification เพื่อระบุช่องโหว่ด้านความปลอดภัยในสัญญาอัจฉริยะ ให้บริการต่างๆ เช่น "Defender" และช่วยโครงการจัดการสัญญาอัจฉริยะโดยอัตโนมัติ สร้างสคริปต์อัตโนมัติ และอื่นๆ อีกมากมาย

BlockSec ซึ่งเพิ่งเสร็จสิ้นการจัดหาเงินทุนรอบใหม่ จะไม่เพียงให้บริการสำหรับการตรวจสอบความปลอดภัยก่อนออนไลน์เท่านั้น แต่ยังจะให้บริการผลิตภัณฑ์บริการตรวจสอบความปลอดภัยตามเวลาจริงสำหรับโครงการบล็อกเชนหลังจากออนไลน์อีกด้วย

"ปัจจุบัน โครงการตรวจสอบความปลอดภัยของบล็อกเชนยังคงแสดงรายการอยู่ในรูปแบบของการจัดหาเงินทุน หากผลิตภัณฑ์ระบบอัตโนมัติมาตรฐานที่ใช้ SaaS ไม่สามารถเปิดตัวได้ ก็เป็นไปไม่ได้เลยที่จะจดทะเบียนให้เสร็จสมบูรณ์" Kenneth นักลงทุนของ Mirana Ventures เชื่อว่านี่ก็เป็นปัจจัยหนึ่งเช่นกัน ที่ส่งเสริมผลิตภัณฑ์ที่ใช้ SaaS หนึ่งในปัจจัยกระตุ้น "อย่างไรก็ตาม การทำซ้ำของบล็อกเชนในปัจจุบันนั้นเร็วเกินไป มีสถานการณ์ที่แยกย่อยออกไปมากมาย และปัญหาของเหตุการณ์การโจมตีนั้นซับซ้อน ซอฟต์แวร์บางตัวเช่น SaaS ให้บริการด้านความปลอดภัยที่ยังไม่ได้รับการยอมรับจากตลาด ส่วนใหญ่ยังคงอยู่ ในแต่ละกรณีซึ่งทำให้ผู้เล่นใหม่มีโอกาสมากมายในการแซงในมุม”

นอกเหนือจากการสมัครสำหรับการตรวจสอบด้วยตนเองแล้ว ฝ่ายโครงการจำนวนมากขึ้นเรื่อยๆ ก็จะแสวงหาการตรวจสอบอัตโนมัติเช่นกัน

ในปัจจุบันมีการใช้การตรวจสอบอย่างเป็นทางการในอุตสาหกรรมเพื่อดำเนินการให้เป็นระบบอัตโนมัติมากขึ้น วิธีนี้กำหนดกฎความปลอดภัยล่วงหน้า จากนั้นจึงพิสูจน์ว่ารหัสของลูกค้าสอดคล้องกับกฎเหล่านี้ จึงช่วยหลีกเลี่ยงช่องโหว่ด้านความปลอดภัยที่ละเมิดกฎเหล่านี้

อย่างไรก็ตาม Zhou Yajin ผู้ก่อตั้ง BlockSec เชื่อว่าช่องโหว่ด้านความปลอดภัยจำนวนมากเกี่ยวข้องกับสถานการณ์ทางธุรกิจเฉพาะของ smart contract การตรวจสอบความถูกต้องของโค้ดเพียงอย่างเดียวไม่สามารถรับประกันความปลอดภัยของ smart contract ทั้งหมดได้ นอกจากนี้ การตรวจสอบอย่างเป็นทางการ กฎเองก็จำเป็นต้องได้รับการปรับแต่งสำหรับโครงการด้วย ดังนั้นในการดำเนินการเฉพาะ BlockSec จะผ่านไป"จู่โจม"แนวคิดของการตรวจสอบรหัส เทคโนโลยีเฉพาะประกอบด้วยการสกัดและการวิเคราะห์พื้นผิวการโจมตีและโซลูชันโดยรวมของการผสมผสานระหว่าง Fuzzing อัตโนมัติ (การทดสอบ Fuzzing) และเทคโนโลยีอื่นๆ

เช่นเดียวกับ Mike ผู้ก่อตั้ง Go+ Security การรับรู้ของอุตสาหกรรมในประเทศและต่างประเทศในปัจจุบันคือการตรวจสอบอย่างเป็นทางการยังไม่พบวิธีที่ชัดเจนในการปรับปรุงประสิทธิภาพทางเทคนิคและยังเป็นการยากที่จะแทนที่การตรวจสอบด้วยตนเอง สัดส่วนของ กระบวนการตรวจสอบทั้งหมดยังค่อนข้างต่ำ

ในกรณีที่ไม่มีวิธีแก้ปัญหาที่ดีในการเกิดขึ้นของแนวคิดเกี่ยวกับระบบอัตโนมัติ ในบริษัทตรวจสอบความปลอดภัยแบบดั้งเดิม การออกแบบกระบวนการตรวจสอบจริง ๆ แล้วเป็นความสามารถในการแข่งขันหลักของบริษัทตรวจสอบ เป็นเรื่องเกี่ยวกับการใช้กำลังคนที่เพียงพอ ดำเนินการตรวจสอบที่เพียงพอเพื่อให้แน่ใจว่ามีความปลอดภัยที่ดี ผลลัพธ์แล้วรับรองตัวเราผ่านกรณีบริการ”

สำหรับผู้ให้บริการความปลอดภัยบล็อกเชนแบบ B-to-B นอกเหนือจากความสามารถทางเทคนิคแล้ว ความสามารถของแบรนด์ยังเป็นการแข่งขันหลัก วิธีดำเนินการชุมชนและความร่วมมือเชิงกลยุทธ์เพื่อส่งออกความสามารถด้านความปลอดภัยของตนเองสู่ตลาดมีความสำคัญอย่างยิ่ง

ตรงกันข้ามกับเส้นทางของการรักษาความปลอดภัยทางอินเทอร์เน็ตแบบดั้งเดิมที่เริ่มต้นจากการรักษาความปลอดภัยของเทอร์มินัลถึง C ความปลอดภัยของบล็อกเชนยังคงกระจุกตัวอยู่ที่ฝั่งโครงการเป็นหลัก ในขณะที่บริการรักษาความปลอดภัยของเทอร์มินัลถึง C นั้นค่อนข้างร้าง

แต่ก็มีผู้ประกอบการจำนวนน้อยเช่นกันที่เลือกทำธุรกิจ C-end และ Mike ผู้ก่อตั้ง Go+ Security ก็เป็นหนึ่งในนั้น Go+ Security ใช้แพลตฟอร์มการตรวจจับความเสี่ยงแบบไดนามิกเพื่อเข้าถึงแอปพลิเคชัน Web3 ในรูปแบบของ data API ซึ่งครอบคลุมสถานการณ์ความเสี่ยงของผู้ใช้ และการระบุสินทรัพย์และความเสี่ยงด้านพฤติกรรมตามเวลาจริงที่ผู้ใช้อาจพบ เช่น Token, NFT และการตรวจจับการอนุญาตตาม การตรวจจับสัญญา เว็บไซต์ Anti-phishing, อีเมลฟิชชิ่ง, การหลอกลวงชุมชน ฯลฯ ในสถานการณ์การใช้งานของผู้ใช้ ในขณะที่ให้การป้องกันความปลอดภัยสำหรับผู้ใช้

Mike เชื่อว่าจากประสบการณ์ของอินเทอร์เน็ตแบบเดิมจะมีผู้ใช้เพียงจำนวนน้อยเท่านั้นที่ยอมจ่ายเพื่อความปลอดภัย ผู้ใช้ Web3 มีรูปแบบรายได้ที่ชัดเจนกว่าในการซื้อบริการรักษาความปลอดภัย ซึ่งก็คล้ายๆ กับการซื้อรถยนต์ที่มีประกันภัยและบริการรักษาความปลอดภัยอาจ เป็นสำหรับผู้ใช้ Web3 ทุกคนในอนาคต เป็นบริการที่จำเป็นและแกนหลักของเทอร์มินัล C คือทราฟฟิกและข้อมูลที่ปลอดภัยจริง ๆ ตรรกะทางธุรกิจแตกต่างจากตรรกะของ B ที่เรียกเก็บค่าบริการตามโครงการ ขนาดข้อมูลเป็นกุญแจสำคัญ "สถาปัตยกรรมทางเทคนิคทั้งหมดของเทอร์มินัล to C ต้องรวดเร็ว วิธีโจมตีใหม่ๆ ปรากฏขึ้นทุกวัน ในการระบุและระบุตำแหน่ง เครื่องมือรักษาความปลอดภัยมีกลยุทธ์มากมาย นี่อาจเป็นกุญแจสำคัญในการรักษาความปลอดภัยของ to C" นอกจากนี้ เพื่อให้ทำงานได้ดีในบริการผลิตภัณฑ์ การขยายขนาดข้อมูลขึ้นอยู่กับการพัฒนาและการรวมตัวของระบบนิเวศ

ไม่ว่าจะเป็น C หรือ B หรือสามารถทะลุมาตรฐานได้หรือไม่ ในความเห็นของ Kenneth นักลงทุนของ Mirana Ventures กุญแจสำคัญคือคน และซอฟต์แวร์ SaaS ยังต้องการการวิจัยและพัฒนากำลังคน ดังนั้น ความสามารถในปัจจุบันของโครงการในการขยายกำลังคนคือ ยังมีความสำคัญมาก "ลงทุน BlockSec ทีมผู้ก่อตั้งของ Secure3 ทุกคนมีพื้นฐานด้านวิชาการและมหาวิทยาลัยสามารถฝึกอบรมผู้มีความสามารถระดับไฮเอนด์เพื่อความปลอดภัยของบล็อกเชนและยังได้เปรียบในด้านต้นทุนแรงงาน"

ในปัจจุบัน ผู้เล่นในตลาดนอกเหนือจากความพยายามในระบบอัตโนมัติที่ได้มาตรฐานและเชิงลึกของธุรกิจแล้ว ยังมีรูปแบบการเล่นที่เล็กและสวยงามอีกด้วย

ตัวอย่างเช่น มีบริษัทตรวจสอบบัญชีใหม่ๆ บางแห่งในอเมริกาเหนือ ซึ่งทำงานด้านการตรวจสอบอย่างละเอียดและให้บริการธุรกิจนวัตกรรมเป็นหลัก เช่น StepN และ BanklessDao ส่วนนี้ของตลาดเป็นเรื่องยากสำหรับบริษัทตรวจสอบแบบดั้งเดิม หรือประสิทธิภาพด้านต้นทุนไม่สูง เนื่องจากต้องมีการปรับเปลี่ยนที่ซับซ้อนมากมายเพื่อให้ตรงกับธุรกิจที่มีนวัตกรรม

นอกจากนี้ยังมีผู้ประกอบการบางรายที่ตัดบริการรักษาความปลอดภัยสำหรับ Pain Point ที่แยกย่อยออกไป เช่น การต่อต้านการโกง โครงการ GameFi จำนวนมากจำเป็นต้องใช้ทรัพยากรการวิจัยและพัฒนา 50% ในชั้นป้องกันการโกง แต่ชั้นนี้อาจเปลี่ยนเป็นชั้นบริการข้อมูลที่คล้ายกับ API ที่สามารถเกี่ยวข้องได้ในอนาคต ทำให้สามารถป้องกันการโกงระดับมืออาชีพได้ บริการปาร์ตี้เพื่อช่วยให้โครงการจัดการกับมันได้อย่างมีประสิทธิภาพมากขึ้น

สอง Fuzzy Zones: ค่าธรรมเนียมและความรับผิดชอบ

นอกจากการกำหนดมาตรฐานผลิตภัณฑ์แล้ว ยังมีรูปแบบการชำระเงินและการกระจายความรับผิดชอบที่ไม่ชัดเจนเพียงพอ

แม้ว่าโครงการบล็อคเชนจะมีความเต็มใจสูงที่จะจ่ายค่าบริการรักษาความปลอดภัย แต่ก็ไม่ได้หมายความว่าพวกเขายินดีหรือสามารถใช้งบประมาณด้านความปลอดภัยจำนวนมากได้ แม้ว่าช่องโหว่จะปกป้องทรัพย์สินจำนวนมากของผู้ใช้แพลตฟอร์ม แต่ก็เป็นคำถามว่าผู้ให้บริการรักษาความปลอดภัยจะได้รับเงินเท่าไรและจะเรียกเก็บเงินอย่างไร

โดยพื้นฐานแล้วรูปแบบการเรียกเก็บเงินโดยทั่วไปมีอยู่ 3 ประเภทสำหรับโครงการแบบเดิม หนึ่งคือ การคิดค่าบริการตามโครงการหรือรูปแบบ SaaS ประการที่สองคือการเรียกเก็บค่าคอมมิชชันเป็นเปอร์เซ็นต์สำหรับการปกป้องสินทรัพย์กริดของโครงการ และประการที่สามคือการจัดเตรียม API ความปลอดภัย ซึ่งจะเรียกเก็บตามจำนวนการโทร หากเป็นโครงการโทเค็น อาจใช้โมเดลโทเค็นในตัวเพื่อให้บรรลุวัตถุประสงค์ในการชำระเงิน แต่แนวทางปฏิบัติประเภทนี้ยังไม่เติบโตเต็มที่

Zhou Yajin กล่าวว่าโดยปกติแล้วการตรวจสอบโค้ดจะถูกเรียกเก็บเงินต่อโครงการตามขนาดของโครงการ หลังจากที่สัญญาอัจฉริยะอยู่บนเครือข่าย ส่วนการตรวจสอบข้อมูลจะนำระบบการสมัครสมาชิกมาใช้ เช่น ค่าธรรมเนียมรายปี สำหรับบริการกู้คืนความเสียหายนอกเหนือจากระบบสมัครสมาชิกแล้วจะมีการเรียกเก็บค่าธรรมเนียมเป็นเปอร์เซ็นต์ตามจำนวนเงินที่กู้คืน

อย่างไรก็ตาม ในมุมมองของนักลงทุน Mirana Ventures Kenneth กล่าวว่า "ไม่มีมาตรฐานการเรียกเก็บเงินที่ชัดเจนในอุตสาหกรรม แม้ว่าทุกคนจะให้ความสำคัญกับการเปิดตัว SaaS แต่การเรียกเก็บเงินยังคงเป็นกรณีไป อาจเป็นไปได้ว่าการชำระเงินครั้งสุดท้ายของโครงการที่คล้ายกัน แตกต่างกันมากซึ่งไม่เอื้อต่อการขยายตลาด".

นอกจากรูปแบบการชาร์จที่ไม่ได้มาตรฐานแล้ว ใครจะเป็นผู้รับผิดชอบในการตรวจสอบความปลอดภัยหรือโครงการป้องกันที่ถูกโจมตีจากการโจมตีดังกล่าวในที่สุด? ในปัจจุบัน โครงการที่ถูกโจมตีส่วนใหญ่ได้ผ่านการตรวจสอบความปลอดภัยแล้ว และหลายโครงการได้รับการอัปเกรดจากบริษัทรักษาความปลอดภัยที่มีชื่อเสียง แต่ก็ยังไม่สามารถหลีกเลี่ยงชะตากรรมของการถูกโจมตีได้

ชื่อระดับแรก

นิเวศวิทยาและการแบ่งย่อยจะเป็นแนวโน้มทั่วไป

"จากมุมมองของส่วนแบ่งการตลาด รูปแบบสุดท้ายของบริการรักษาความปลอดภัยบล็อกเชนนั้นคล้ายคลึงกับความปลอดภัยทางอินเทอร์เน็ตแบบดั้งเดิม และยังคงมีผู้ผลิตชั้นนำไม่กี่รายที่จะเป็นผู้นำตลาดทั้งหมด" ตามการตัดสินของผู้ก่อตั้ง BlockSec Zhou Jinya ความปลอดภัยของ blockchain จะทำการชำระผู้เล่นชั้นนำสองสามรายในเส้นทางการตรวจสอบรหัสก่อน

แม้ว่าจะมีผู้เล่นอันดับต้น ๆ แต่ก็มีความเป็นไปได้สูงที่พวกเขาจะเป็นผู้เล่นอันดับต้น ๆ ของภูมิภาค Kenneth นักลงทุนของ Mirana Ventures ตัดสินจากการลงโทษล่าสุดของ Tornado Cash สำหรับการต่อต้านการฟอกเงินบริการรักษาความปลอดภัยจะขยายจากการตรวจสอบรหัสเป็นที่คล้ายกัน และข้อมูลความเป็นส่วนตัวและบริการอื่น ๆ จะถูกจำกัดอย่างมากโดยนโยบายท้องถิ่น และธุรกิจที่เกี่ยวข้องกับข้อมูลจำนวนมากไม่สามารถข้ามพรมแดนได้

ในขณะที่โครงสร้างตลาดเริ่มมีเสถียรภาพและเติบโตเต็มที่ โทมัสนักลงทุนของ YM Capital กล่าวว่าจากประสบการณ์ในการพัฒนา Web2 ธุรกิจการรักษาความปลอดภัยเองมีโอกาสในการควบรวมกิจการจำนวนมาก รวมถึงการควบรวมกิจการในแนวนอนและการควบรวมกิจการในแนวตั้ง และบริษัทด้านความปลอดภัยก็อาจก้าวข้ามขอบเขตได้เช่นกัน ด้านความปลอดภัย ในอนาคต ขยายไปยังบริการข้อมูลที่ไม่ปลอดภัยอื่นๆ

เมื่อพิจารณาจากสถานะปัจจุบัน บริษัท ที่เรียกว่าการรักษาความปลอดภัย Web3 จำนวนมากยังคงมีความคิดเกี่ยวกับ Web2 อย่างมาก โดยพื้นฐานแล้วพวกเขาเพียงแค่เปลี่ยนลูกค้าบริการจาก Web2 เป็น Web3 Thomas นักลงทุนของ YM Capital กำลังตั้งตารอว่าจะมีบริษัทหรือองค์กรที่มี Web3 ในรูปแบบกระจายอำนาจมากขึ้น หรือมีช่องทางใดที่สามารถสร้างเครือข่ายความปลอดภัยแบบกระจายอำนาจ

Mike ผู้ก่อตั้ง Go+ Security ยังเชื่อว่าจะมีบริษัทชั้นนำบางแห่งในกลุ่มการรักษาความปลอดภัยที่แตกต่างกัน แต่เมื่อเทียบกับบริการความปลอดภัยทางอินเทอร์เน็ตแบบดั้งเดิมแล้ว มันจะเป็นระบบนิเวศมากกว่า แทนที่จะพึ่งพาบริษัทชั้นนำเพื่อผูกขาดตลาดทั้งหมด

เส้นทางการรักษาความปลอดภัย blockchain เป็นตลาดที่ใหญ่มาก แต่เพื่อแก้ปัญหาโดยพื้นฐาน ไม่เพียงแต่พึ่งพาบริษัทตรวจสอบความปลอดภัยเพื่อเคลียร์ช่องโหว่ให้ได้มากที่สุดก่อนที่โครงการจะออนไลน์ แต่ยังต้องการนักวิจัยอิสระ เช่น แฮ็กเกอร์หมวกขาว ให้รางวัลหลังจากโครงการออนไลน์ การค้นพบช่องโหว่อย่างต่อเนื่องในโมเดลต้องใช้ความพยายามมากขึ้นในกลไกการกำกับดูแลและการศึกษาผู้ใช้เพื่อสร้างกลไกการรับประกันความปลอดภัยรอบด้านและครบวงจรสำหรับโครงการบล็อกเชน