BLO:半年损失超20亿美元 区块链安全被资本疯抢_Tracer DAO

作者：Flowie，链捕手

Acala遭黑客攻击增发超12亿稳定币AUSD、Solana生态钱包大面积被盗……不夸张地说，区块链2022年这大半年一半热点都是安全问题贡献的。

根据Certik发布的安全报告，仅在2022年前6个月，区块链与Web3项目就因黑客攻击和漏洞利用而损失超20亿美元，并已经超过2021全年的总和。

安全问题爆发的同时，很多项目方的智能合约要安排上安全审计，却可能要排队到半年之后。即使审计完成了，也如大家所看的那样，依然会面临被攻击的风险。

区块链安全毫无疑问是刚需，但一个现实是，无论是项目方还是普通用户，似乎都很难有安全感。

在这样的背景下，我们观察到新入场的安全服务厂商们前赴后继。截止到目前，2022年陆续有Carret、BlockSec、Secure3、Halborn、Redefine等海内外安全公司获得了较大金额的融资，其中Certik几乎近一年内筹集了4轮资金，市场之火热可见一斑。

在本文中，我们试图从安全“守护者”的现状去看，整个区块链安全究竟面临着怎样的困境？行业格局又在发生怎样的演变？

还在“拓荒”的区块链安全服务

区块链“野蛮”生长，安全的需求同时激增，但安全服务却跟不上。

BlockSec联合创始人周亚金提到，“智能合约的安全审计排队2-3月是近两年的常态，很多项目的安全审计服务甚至都排队到了半年之后。”而从成都链安的数据来看，2022年第二季度，被攻击的项目中，接近一般的项目未能经过安全审计。

尽管安全服务商们前赴后继，但在YMCapital?投资人Thomas看来，“真正有供给能力，且品牌有一定影响力的服务商并不够，全球内也就一二十家。”周亚金认为，安全审计上即使有一些ConsensysDiligence、TrailofBits、Chain?Security、Certik等较早入局的知名公司，但其实它们所占据但市场份额也并没有很大，整个市场仍然很分散。

Zcash升级后或因部分节点未及时更新，网络难度降至半年低点:隐私币项目Zcash（ZEC）于7月16日完成Heartwood网络升级。升级之后可以看到其网络难度骤降至，达到近半年低点。根据币印矿池数据显示，由于难度下降，蚂蚁矿机Z15的单日净收益一度达到了240元人民币。截止发稿时，数据已逐步回归正常，当前Z15的净收益约为180元。[2020/7/17]

此外，在具体的细分赛道上，入场的玩家们并没有充分覆盖不同需求，大多还是在收入模式清晰、有很好现金流的安全审计里“卷”。

实际上，与传统互联网安全类似，区块链的安全服务也大致分为to?B端和to?C端。在to?B端，一个区块链项目的安全，分为则上链前和上链后，上链前主要是智能合约代码的安全审计，上链后则有攻击溯源、危险情报等实时监测。而在to?C端，主要涉及用户钱包、NFT等各类资产安全。

周亚金认为，在整个安全服务市场，toB端的DaPP开发者运营的安全性，toC端用户的钱包、NFT安全等等重要的安全服务，都是较为空白的市场。“区块链的安全服务几乎还在一个拓荒的状态”。

为什么供需不平衡成为常态？

供需失衡背后的原因也不难理解，首先区块链行业开源特性和当下发展阶段，让区块链安全服务的需求在“野蛮生长”。

?YMCapital?投资人Thomas押注区块链安全赛道的一个基本判断是，“相比传统互联网安全，区块链安全更刚需。”

一方面，由于区块链行业非常重视代码开源，这也使得多数项目源代码向所有人开放出来，也为黑客等技术人员发掘其中漏洞提供了更多的天然的便利；另一方面，目前区块链项目上线门槛很低并且缺乏监管，项目方质量也层次不齐，项目方与用户都需要安全审计等方式为自己提供安全背书。

动态 | 新湖中宝半年报：趣链科技Hyperchain区块链平台已为三十余家金融机构提供区块链服务:据证券日报报道，新湖中宝（600208）披露2019年半年报。报告期内，公司继续加大对已投入高科技企业的赋能，加快其在相关领域，特别是在传统金融服务领域等的应用，邦盛科技、趣链科技、谐云科技、晶晨股份等高科技企业的业务领域得到了进一步拓展，业务规模有了快速增长。

以趣链科技为例，趣链科技持续发力研究区块链底层技术，推出国产自主可控的Hyperchain区块链平台,Hyperchain区块链底层平台已为包括中国人民银行、中国银联、中国建设银行、上海证券交易所等三十余家金融机构，以及谷歌、微软、思科、因特尔等国外各领域龙头企业提供区块链服务。已经上线的应用场景包括数字票据、资产证券化、应收账款、数字存证、数据交易、国际贸易、智慧政务、养老金、医疗、溯源、能源等，成为国内区块链案例落地数目最多、涵盖范围最广、产生业务价值和社会效应最大的区块链公司。[2019/8/30]

此外，Web3安全服务相比与Web2有个很大痛点是，攻击者可以通过执行漏洞来获利。在Web2世界中，攻击者虽然可以关闭一些主要服务、窃取一些数据、出售恶意软件等来获利，但从收益来看仍然有限。但在Web3世界中，由于区块链代码链接了各类庞杂的经济金融场景，直接与用户的加密货币资产相关联，一个漏洞很容易就为攻击者带来数百万乃至数千万亿美元以上的收益。“在面临社区的监督共创下，区块链安全产品每一次更迭都需有复杂的解释流程，相比于传统互联网很难快速做产品迭代，那么产品的安全性也需要在上线前更慎重地去考虑。”

在这样安全更刚需的情况下，区块链产品对于安全的需求以及付费意愿极高。从Certikb3轮融资中披露的数据来看，2021年Certik收入增长了12倍，利润增长了3000倍。

现场 | 百度将于明年2020上半年开源超级节点技术 实现跨链:7月27日，在百度超级链举办的线下沙龙上，高级开发工程师郑旗和资深开发工程师樊冰新详细介绍了百度超级链。超级链由百度自主研发，简单易用，支持网络、链、智能合约完全线上化部署、管理和使用，并支持热插拔共识机制，例如TDPoS、PoW、XPoS等，以此满足不同的共识应用需求。郑旗表示XuperModel 是超级链独特的技术，它指的是，通过判断交易的输入引用是否有冲突来实现事务，并发性能好。樊冰新表示百度将于明年2020上半年开源超级节点技术，实现跨链。[2019/7/27]

在需求端野蛮生长情况下，供给端自身也有很多“力不从心”。

和早期传统互联网安全需要手动去本地库里匹配攻击方式“土方法”类似。单从安全审计来看，大部分服务商几乎难做到标准化自动化，这意味着供给能力非常受人力限制。

即使能靠人力来推，上哪去找那么多合格的安全审计人才，也是个巨大的问号。合约审计需要结合具体业务场景来做，针对区块链不同的链不同的场景所需要的审计能力都不一样，合格的审计人才非常稀缺。很多具有审计能力的技术人员，可能更愿意做一名独立黑客或者白帽黑客，无论是进行智能合约攻击还是提交智能合约漏洞以获得赏金，都能获得更可观的收益。今年以来，区块链行业已经出现过多笔超过百万美元的漏洞赏金。

相比于数量级上供需完全失衡，在Go+Security创始人Mike看来，还有一个更核心的问题是在安全资源供需结构上的不匹配，导致匹配效率很低。

当我们谈安全问题的时候，似乎都把安全守方压在了安全审计上。但在整个开发流程中进行自测，优化合约设计，提高代码质量，同步进行漏洞扫描这些方面，如果有合适的工具或服务，其实是可以大幅降低审计工作量的。“行业一个现状是，很多专业的安全审计师审很多精力都浪费了非常低级别的代码层错误”。

动态 | 区块链初创公司上半年共获8.22亿美元投资 159笔为种子轮阶段:据The Block 7月2日消息，风险投资公司Outlier Ventures发布报告称，2019年上半年区块链初创公司共获得 8.22亿美元投资。该金额系279笔独立投资总和，其中159笔投资为种子轮阶段。Outlier Ventures认为这表明尽管加密货币市场处于熊市，但生态中的创业热情并未下降。此外，企业不再建立概念证明，而是推出完全开源的开发项目，例如安永、摩根大通、Target都在过去六个月内发布了开源代码。尽管监管活动有所增加，加密货币交易所仍在继续成为投资者的热门标的，例如交易所Bithumb获得了 2 亿美元的投资。[2019/7/3]

“标准化”是核心竞争力

在目前市场有很多想象空间且蓝海的当下，无论是新老玩家，我们观察到，除了在安全技术本身去迭代之外，基本是在两个痛点上寻找更大的机会：一是推出要更标准化、更自动化产品来降低边际成本，打破发展瓶颈；二是覆盖更多的细分场景或者特定环节，吃到更多的安全预算。

从融资势头最猛的Certik来看，除了上链前的安全审计之外，Certik也推出了上链后7*24小时无间断运行的自动监测SaaS平台Skynet来防御安全威胁。OpenZeppelin则将游戏化技术来识别智能合同中的安全漏洞，提供“Defender”等服务，帮助项目实现智能合同管理的自动化、创建自动化脚本等等。

而近期结束新一轮融资的BlockSec，为上链前的安全审计提供服务之外，也会为上链后区块链项目提供实时安全监控服务产品。

“目前来看区块链安全审计类项目还是以股权融资上市的模式，如果无法推出SaaS化标准化自动化产品，基本不可能成功完成上市。”MiranaVentures?投资人kenneth认为这也是促成产品SaaS化的一个动力因素之一。“但目前区块链迭代太快，细分场景很多，攻击事件的问题庞杂，一些类似SaaS类的软件提供安全服务没有被市场所接受，大部分还是case?by?case，这也给新入场的玩家提供了很多弯道超车的机会”

动态 | JRR周报：主流币算力保持在近半年高位，部分币种存在补涨需求:据JRR研究院发布的最新周报显示，过去一周，加密货币市场总市值再次创下近半年新高，在5月30日达到2798.03亿美元，同时，以EOS、BSV及TRX为代表的几个主流加密货币交易量同比暴增，交易量的急剧攀升推高了这三个币种的价格。目前各个主流币算力均保持在近半年的高位。此外，一些前期涨幅较低的加密货币开始新一轮补涨，如ZEC一周内上涨18%，ETC一周内上涨25%。[2019/6/4]

除了申请人工审计，也越来越多的项目方会同时寻求自动化审计。

为了追求更加自动化，目前业界常用的手段是是形式化验证(formalverification)，这种方式会事先定义好安全规则，之后证明客户的代码符合这些规则，从而避免违反这些规则的安全漏洞。

但BlockSec创始人周亚金认为，很多安全漏洞是与智能合约的具体业务场景有关，仅保证代码的正确性并不能保证整个智能合约的安全性，另外形式化验证规则本身也需要对项目进行定制。所以在具体操作中，BlockSec会通过"攻"的思路进行代码审计，具体技术包括攻击面的提取和分析以及自动化Fuzzing等技术相结合的整体方案。

Go+Security创始人Mike观点也是如此，目前国内外行业的认知是，形式化的验证还没有找到明确提高技术效率的方法，还很难取代人工审计，在整个审计流程中占比还比较低。

在还没有很好的解决自动化思路出现时，传统的安全审计公司中，审计流程的设计其实是审计公司的核心竞争力，?“比如说像Quantstamp，同时进行三线审计。业务表述上的核心点就在于说付出足够多的人力，进行充份审计，来保证好的安全结果，再通过服务的案例来为自己背书。”

对于toB端的区块链安全服务厂商而言，除了技术能力之外，品牌能力也是一个核心竞争力，如何运营好社区以及一些战略合作，来向市场输出自己的安全实力尤为重要。?

和传统互联网安全最开始从?toC端安全做起的路径相反，区块链安全目前还是主要集中在项目方中，而toC端的安全服务相对冷清。

但也有少数创业者选择做C端业务，Go+Security创始人Mike就是其中之一。Go+Security通过动态风险检测平台，以数据API的方式接入Web3应用，覆盖用户的风险场景，实时识别用户可能遇到的资产，行为风险，比如基于合约检测的Token，NFT，授权检测，也有基于用户使用场景的防钓鱼网站、钓鱼邮件、社群等，在为用户提供安全防护的同时，也剥离了Web3应用之前不好处理的用户侧风险。

Mike认为虽然从传统互联网的经验来看，只有少量用户会为安全付费，但Web3用户对于购买安全服务的收益模型更明确，这个有点像买车必须上保险，安全服务可能是日后所有Web3用户的必备服务，且toC端核心其实是安全流量和数据，商业逻辑和to?B按项目收服务费的逻辑并不一样，扩大数据规模是关键。“to?C端整个技术架构反而是要快，每天都有新的攻击方法出现，要识别定位，安全引擎有几百个策略，十多个检测类型在跑的时候，如何能在2秒内，出准确结果，这可能是toC安全的关键。”而扩大数据规模除了做好产品服务外，依赖于对生态的开发聚合。

无论是to?C还是toB，或者是否能突破标准化，在MiranaVentures?投资人kenneth看来，关键还是人，SaaS软件也需要人力研发，所以项目目前拓展人力上的能力也非常关键，“投资的BlockSec、Secure3的创始团队都有学术和高校背景，能培养一些针对区块链安全的高端人才，且在人力成本上也有优势。”

目前市场玩家们，除了在标准化自动化上和业务深度上做出努力之外，也出现了一些小而美的打法。

比如北美有一些新审计公司，定位于精细化审计，主要服务于StepN、BanklessDao等创新型业务。这部分细分市场对于传统审计公司来说很难嚼或者说性价比不高，因为要做很多复杂的修改才能匹配到创新型业务。

此外还有一些针对类似于反作弊这样很细分痛点去切入安全服务的创业者。很多GameFi项目需要花50%的研发资源去做反作弊这一层，但这一层未来可能变化成类似于可介入?API的数据服务层，让专业的反作弊第三方服务来帮项目进行更高效地处理。

两个模糊地带：收费与追责

除了产品上的标准化，还有一些付费和责任分配模式不够清晰。

区块链项目虽然对安全服务的付费意愿很高，但不代表愿意或者说有能力去支出大额的安全预算。即使一个漏洞确实保护了平台用户非常多的资产，但安全服务商能拿付到多少比例，怎么收费，都是个问题。

传统的项目常见的收费模式基本上有三类，一种是按项目收服务费或者SaaS模式收费。第二种是收取保护项目网格资产的一定比例提成，第三种是提供安全API，按调用次数来收费。如果是token类项目，可能还会通过内置代币模型来达到付费目的，但这类目前还没有很成熟的做法。

周亚金表示，代码审计通常是根据项目大小，按次收费。而智能合约上链后，数据监控的部分则会采取订阅制，比如按年收费。而对于追损服务，在订阅制之外，同时会根据追回金额的多少，按百分点收取费用。

不过在MiranaVentures投资人kenneth看来，“行业内其实没有一个清晰的收费标准，尽管大家在强调推出SaaS，但收费上还是case?by?case，可能差不多的项目方最终付费差得很多，不利于市场拓展”。

除了收费模式不标准外，安全审核或保护类的项目最终遭受类攻击，谁来担责呢？目前来看，大多数被攻击的项目都曾完成过安全审计，并且很多都是来自知名安全公司的升级，但仍然没有避免遭受被攻击的命运。

kenneth提到，像传统四大会记事务所的审计服务，一旦出现问题，都有第三方来制定一套从上到下的规则，来明确哪些是项目的责任和服务方的责任，目前区块链的安全服务并没有建立到这套规则。“即使未来有，但法律法规的不健全，不同国家和地区的规则差异，也会带来一些责任审查和追责的难题。”

生态化、细分化将是大势

“从市场份额来看，区块链安全服务和传统互联网安全最终格局类似，依然是几家头部厂商来领导整个市场”。按照BlockSec创始人周金亚的判断，区块链安全最先在代码审计赛道里会沉淀下来几家比较头部的玩家。

即使会出现头部玩家，也大概率是区域性的头部玩家，在MiranaVentures投资人kenneth看来，从最近TornadoCash因反被制裁来看，安全服务未来会从代码审计拓展到类似与隐私数据等等其它服务上，会很受当地政策限制，很多数据相关业务并不能跨越国界。

而市场格局走向稳定成熟过程中，YMCapital?投资人Thomas表示，从Web2的发展经验来看，安全商业本身存在一个大量兼并机会，包括横向并购与纵向并购，未来安全公司也可能突破安全的边界，向非安全的其它数据业务方向做拓展。

从目前现状来看，很多所谓的Web3安全公司还是一个很Web2的心态，本质上还是只是服务的客户从Web2切换到Web3。YMCapital投资人Thomas期待的是，有没有更Web3去中心化形态的公司或组织，或者渠道上，能构建一张去中心化的安全网络。

Go+Security创始人Mike也认为，安全不同的细分领域里面都会有一些头部公司，但相比于传统互联网安全服务，它会更加生态化，而不是靠一个头部公司来垄断整个市场。

区块链安全赛道是一个非常庞大的市场，但要根本上解决问题，不仅要依赖安全审计公司在项目上线前尽可能疏通漏洞，也需要白帽黑客等独立研究者在上线后基于赏金模式持续发掘漏洞，更需要监管机制、用户教育等方面的发力，形成针对区块链项目的全方位全周期安全保障机制。

来源：金色财经

标签：区块链ECUBLOCER区块链dapp开发教程moleculePay BlockTracer DAO

币安下载热门资讯