声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表MarsBit官方立场。
边肖:记得要集中注意力。
来源:Flowie
原标题:半年亏损超20亿美元,区块链安全赛道被资本抢购一空
阿卡拉被黑客入侵,发行了超过12亿枚AUSD稳定币,索拉纳生态钱包大面积被盗.毫不夸张地说,2022年上半年,区块链有一半的热点是由安全问题造成的。
根据Certik发布的安全报告,仅2022年前6个月,区块链和Web3项目因黑客攻击和利用而损失超过20亿美元,已经超过2021年全年的总和。
安全问题爆发的同时,很多项目方的智能合同都要审核,但可能要排队等半年。即使审计完成了,大家也看到了,还是会面临被攻击的风险。
区块链安全无疑是刚需,但现实是,无论是项目方还是普通用户,似乎都很难有安全感。
在这种背景下,我们观察到新进入的安全服务提供商正在一波接一波地前进。截至目前,2022年,Carret、BlockSec、Secure3、Halborn、Redefine等国内外安全公司相继获得大量融资,其中Certik在差不多一年的时间里筹集了四轮资金,可见市场之火爆。
本文试图从安全“卫士”的现状中看出,整个区块链安全面临着怎样的困境?行业格局正在发生怎样的演变?
仍在“开拓”的区块链区块链安全部门“野蛮”地成长,同时对安全的需求激增,但安全服务却没有跟上。
BlockSec联合创始人周提到“智能合约的安全审计已经排队2-3月近两年,很多项目的安全审计服务甚至排队半年。”从成都联安的数据来看,2022年第二季度,被攻击的项目中,接近普通项目未能通过安全审核。
虽然安全服务商一波接一波的推进,但据YM资本投资人Thomas说,“真正有供应能力和一定品牌影响力的服务商并不多,全球也就一二十家。”周认为,即使有一些知名的公司,如康森斯的勤奋,线索的位,链安全,Certik等。其中较早进入安全审计的,他们的市场份额不是很大,整个市场还很分散。
此外,在具体的细分赛道上,进场的选手并没有完全覆盖不同的需求,大部分都是在收入模式清晰、现金流良好的安全审核中“卷”进来的。
其实和传统互联网安全类似,区块链安全服务也大致分为to B和TO C,在to B端,一个区块链项目的安全可以分为上行前和上行后。上行前主要是智能合约代码的安全审计,上行后有攻击溯源、危险情报等实时监控。在to C端,主要涉及用户钱包、NFT等各种资产的安全。
周认为,在整个安全服务市场中,to B端DaPP开发者的安全,to C端用户的钱包,安全等重要的安全服务都是比较空白的市场。“区块链的安全部门几乎仍处于开拓状态”。
为什么供需失衡会成为常态?供需失衡背后的原因不难理解。首先,区块链行业的开源特性和目前的发展阶段使得区块链安全服务的需求“野蛮生长”。
押注区块链安全赛道的YM资本投资人Thomas的一个基本判断是,“比传统互联网安全更需要区块链安全。”
一方面,由于区块链业界对代码开源的高度重视,也使得大部分项目源代码对所有人开放,也为黑客等技术人员挖掘漏洞提供了更多天然的便利;另一方面,目前区块链项目上线门槛为v
另外,与Web2相比,Web3安全服务有一个很大的痛点就是攻击者可以通过执行漏洞来获利。在Web2的世界里,虽然攻击者可以关闭一些主要的服务,窃取一些数据,出售恶意软件等等来获利,但是收益还是有限的。然而,在Web3世界中,由于区块链代码链接了各种复杂的经济和金融场景,并与用户的加密货币资产直接相关,因此一个漏洞就可以轻易地给攻击者带来数百万甚至数万亿美元的损失。“在社会各界的监督和共创下,区块链安防产品的每一次变化都需要一个复杂的解释过程。相对于传统互联网,很难快速做产品迭代,所以产品的安全性需要在上线前考虑得更周全。”
在这样一个安全刚需的情况下,区块链产品对安全的需求和支付意愿都很高。根据Certik b3融资披露的数据,2021年,Certik收入增长12倍,利润增长3000倍。
在需求端野蛮生长的情况下,供给端本身就有很多“无力”。
类似于传统互联网安全早期需要手动去本地库匹配攻击方式的“土办法”。单从安全审核的角度来看,大部分服务商几乎不可能做到标准化和自动化,也就是说供给能力非常受限于人力。
就算人力可以推动,到哪里去找那么多合格的安全审计人才,是一个巨大的问号。合同审计需要结合具体的业务场景来做。不同区块链不同场景所需要的审计能力是不一样的,合格的审计人才非常稀缺。很多有审计能力的技术人员可能更愿意做独立黑客或者白帽黑客,无论是攻击智能合约还是提交智能合约的漏洞来获得一笔报酬,都可以获得更可观的利益。今年以来,区块链行业出现了许多超过百万美元的漏洞。
相比数量级上的完全供需失衡,在Go安全创始人Mike看来,还有一个更核心的问题,就是安全资源的供需结构不匹配,导致匹配效率低下。
当我们谈论安全问题时,似乎我们都把安全卫士放在了安全审计上。但在整个开发过程中,自测、优化合约设计、提高代码质量、同步扫描漏洞,如果有合适的工具或服务,其实可以大大减少审计工作量。业内目前的一个情况是,很多专业的安全审计人员在审查非常低级的代码级错误上浪费了大量的精力。
“标准化”是核心竞争力。目前市场有很大的想象空间和蓝海。无论是新玩家还是老玩家,我们观察除了对安全技术本身的迭代,基本都是在两个痛点寻找更大的机会:一是要推出更标准化、自动化的产品,降低边际成本,打破发展瓶颈;二是覆盖更细分的场景或具体环节,吃掉更多的安全预算。
从融资势头最猛的Certik来看,除了绕前的安全审计,Certik还推出了绕后7*24小时连续运行的自动监控SaaS平台天网,防御安全威胁。OpenZeppelin使用游戏化技术来识别智能合约中的安全漏洞,并提供“Defender”等服务来帮助项目实现智能合约管理的自动化,创建自动化脚本等。
最近结束新一轮融资的BlockSec,不仅提供绕前安全审计的服务,还提供绕后区块链项目实时安全监控服务产品。
“目前,区块链的安全审计项目仍然是通过股权融资上市。如果不能推出SaaS标准化自动化产品,基本不可能顺利完成上市。”米拉娜风险投资公司的投资者肯尼斯认为,这也是SaaS产品的驱动因素之一。“但目前区块链迭代太快,细分场景多,攻击事件问题复杂。一些提供安全服务的类似SaaS的软件还没有被市场接受,而且大部分都是个案,这也提供了新的玩家
为了追求更多的自动化,目前业界普遍采用的是形式化验证,会事先定义安全规则,然后证明客户的代码符合这些规则,从而避免违反这些规则的安全漏洞。
不过,BlockSec创始人周认为,很多安全漏洞都与智能合约的具体业务场景有关。仅仅保证代码的正确性并不能保证整个智能合约的安全性。此外,正式的验证规则本身也需要定制项目。所以在具体操作中,BlockSec会通过‘攻击’的思路对代码进行审计,具体技术包括攻击面的提取和分析以及结合自动Fuzzing(模糊测试)等技术的整体方案。
Go Security的创始人Mike也持同样的观点。目前国内外业界公认,形式验证还没有找到明确的提高技术效率的方法,很难取代人工审核,人工审核在整个审核过程中所占的比重仍然比较低。
在没有很好的自动化解决方案的情况下,审计流程的设计实际上是传统安全审计公司的核心竞争力。“比如Quantstamp同时进行三线审计。商业表达的核心点是付出足够的人力,进行足够的审核,保证良好的安全效果,然后通过服务案例为自己背书。”
对于处于to B端的区块链安防服务商来说,除了技术竞争力之外,品牌竞争力也是核心竞争力。如何运营好社区,以及一些战略合作,向市场输出自己的安全实力,显得尤为重要。
与传统互联网安全从to C安全起步的路径相反,区块链安全仍然主要集中在项目端,而to C的安全服务相对冷清。
但也有少数创业者选择做C端业务,Go Security的创始人Mike就是其中之一。Go Security通过动态风险检测平台,以数据API的形式接入Web3应用,覆盖用户的风险场景,实时识别用户可能遇到的资产和行为风险,如基于合同检测的令牌、NFT和授权检测,以及基于用户使用场景的反钓鱼网站、钓鱼邮件和社区欺诈,不仅为用户提供安全防护,还剥离了Web3应用之前难以处理的用户端风险。
Mike认为,虽然从传统互联网的经验来看,只有少部分用户会为安全付费,但Web3用户购买安全服务的营收模式更加清晰,这有点像买了车还得上保险。安全服务可能是未来所有Web3用户的必备服务,to C的核心其实就是安全流量和数据。业务逻辑不同于to B按项目收取服务费,扩大数据规模是关键。“相反,to C端的整个技术架构更快。每天都有新的攻击方式出现。为了识别和定位,安全引擎有数百种策略。当十几种检测类型同时运行时,如何在2秒内产生准确的结果?这可能是to C安全的关键。”除了提供产品和服务,扩大数据规模还要靠生态的发展和聚合。
无论是to C还是to B,或者是能否突破标准化,在米拉娜创投的投资人kenneth看来,关键是人,SaaS软件也需要人力研发,所以项目目前扩充人力容量也很重要。“投资的BlockSec和Secure3创始团队都有学术和大学背景,可以为区块链安全培养一些高端人才,在人力成本上也有优势。”
目前市场主体,除了在标准化自动化和业务深度上做出努力,也出现了一些小而美的玩法。
比如北美有一些新的审计公司,以精细审计为主,主要服务于StepN、BanklessDao等创新业务。这部分细分市场是传统审计公司难以咀嚼或者性价比不高的,因为有很多复杂的修改来配合创新业务。
此外,还有一些创业者为了反作弊这种细分痛点切入安全服务。很多GameFi项目需要花费50%的R&D资源做反作弊层,但这一层未来可能会变成类似API的数据服务层,让专业的反作弊第三方服务帮助项目更高效的应对。
两个模糊区域:收费和问责除了产品的标准化,还有一些付费和责任分配的模式不够清晰。
虽然区块链项目有很高的支付安全服务的意愿,但这并不意味着它愿意或能够花费大量的安全预算。即使一个漏洞确实保护了很多平台用户的资产,安全服务商能拿多少钱,怎么收费,都是个问题。
传统项目常见的收费模式基本有三种。一种是按项目或SaaS模式收取服务费。二是收取一定比例的佣金,用于保护项目的网格资产,三是提供安全API,按照调用次数收费。如果是代币项目,也可能通过内置代币模式达到付费的目的,但这种做法目前还不是很成熟。
周说,代码审计通常是根据项目的大小,按次收费。智能合约上线后,数据监控部分会采取订阅制,比如按年收费。对于失而复得的服务,除了订阅制之外,还会根据失而复得的金额按百分点收取费用。
不过,在米拉娜创投的投资人肯尼斯看来,“行业内其实并没有明确的收费标准。虽然大家都在强调推出SaaS,但是收费还是个案收费,类似的项目方最后付款可能会差很多,不利于市场拓展”。
除了收费模式不规范,安全审计或保护项目最终也会遭受类攻击。谁来承担责任?目前大部分被攻击的项目都已经完成了安全审计,很多都是知名安全公司的升级,但是依然没有避免被攻击的命运。
Kenneth提到,像传统四大会计师事务所的审计服务,一旦出现问题,有第三方制定一套自上而下的规则,明确哪些是项目的责任,哪些是服务方的责任。目前,区块链安全局尚未制定这套规则。“即使以后有,法律法规的不完善,不同国家和地区的规则不一样,也会带来一些责任审核和责任追究的问题。”
生态化、细分化将是大势所趋。“从市场份额来看,区块链安全服务类似于传统互联网安全的最终格局,几家头部厂商仍然主导着整个市场。”按照BlockSec创始人周金亚的判断,区块链安全会先沉淀几个在代码审计赛道比脑袋的选手。
即使会有头部玩家,也很可能是区域头部玩家。米拉娜风险投资公司(Bernstein Ventures)投资人肯尼斯(kenneth)表示,从最近因反洗钱而对Tornado Cash实施的制裁来看,安全服务未来将从代码审计扩展到私人数据等其他服务,这将受到当地政策的非常限制,许多数据相关的业务无法跨越国界。
在市场格局日趋稳定和成熟的同时,YM资本投资人Thomas表示,从Web2的发展经验来看,安全业务本身存在大量的并购机会,包括横向并购和纵向并购。在未来,安全公司也可能突破安全边界,扩展到其他非安全数据服务。
从目前的情况来看,很多所谓的Web3安全公司还是很Web2的心态,本质上只是服务客户从Web2切换到Web3。YM资本的投资人Thomas所期待的是,是否有比Web3更去中心化的公司或组织,或者是否可以通过渠道建立一个去中心化的安全网络。
Go Security的创始人Mike也认为,在不同的安全领域会有一些头部公司,但与传统的互联网安全服务相比,它将更加生态化,而不是由一家头部公司垄断整个市场
区块链安全赛道是一个非常巨大的市场,但要从根本上解决问题,不仅需要依靠安全审计公司在项目上线前尽可能地疏通漏洞,还需要白帽黑客等独立研究人员在上线后基于赏金模型不断挖掘漏洞,更需要监管机制、用户教育等多方面的努力,形成全方位、全周期的区块链项目安全保障机制。
责任编辑:凯特