CoinFund：Web3 セキュリティサービス分野の概要と考察

原文标题：《Web3 セキュリティ: 暗号通貨採用への道を守る》

著者：アイザイア・ワシントン、CoinFund 研究員

編纂：ビスケット、ChainCatcher

Chainalysis の 2022 年 Web3 脆弱性レポートは、スマートコントラクトの損失が 30 億ドルを超えることを示しており、これらのデータは Web3 セキュリティの状況が未成熟であり、セキュリティ事例からの経験が十分に活用されていないことを明らかにしています。Web2 と Web3 技術の根本的な違いは、ユーザーデータと資産を攻撃または保護するための新たな機会を生み出しています。

マッキンゼーのデータによれば、現在の世界のサイバーセキュリティ市場は約 1670 億ドルと推定されています。Web3 が S カーブに沿って大規模に採用されるにつれて、この市場は財務データと非財務データを含むことになり、少なくとも千億規模の Web3 セキュリティ市場が見込まれます。

Web3 セキュリティは破壊されているのではなく、未発達である。Web2 のセキュリティソリューションの幅に比べて、現在の Web3 セキュリティ企業のエコシステムはまだ始まったばかりです。A ラウンドの資金調達を完了したり、年収が 300 万ドルを超える Web3 セキュリティ企業のほとんどは、サービスベースであり、主な業務はスマートコントラクトの監査です。

監査作業のプロセスは、プロジェクトのコードを手動で注意深くチェックし、セキュリティの脆弱性をマークすることです。監査は Web3 セキュリティの重要な柱ですが、2022 年には 167 件の重大なハッキングが発生しました。その半分は監査済みのスマートコントラクトを対象としており（Beosin Web3 セキュリティレポート）、この分野にはより多くのセキュリティインフラと自動化が必要であることを示しています。

Web3 セキュリティの状況

Web3 セキュリティ企業のビジネスは、監査、ツール、コミュニティの三つの大きなカテゴリに分けられます。ツールとコミュニティの中で、多くの初期活動は、安全なコードの開発、継続的または実行時の監視、セキュリティ脆弱性のバウンティと競争コミュニティ、取引の安全性に関するものです。

安全なコードの開発： 安全な製品は、開発者のプロセスに統合する必要があります。開発者が「安全第一」の心構えで構築し、誤ったコードをデプロイするのを防ぐ手助けをするこのソリューションは、Web3 における監査ビジネスをよりスケーラブルにすることができます。CoinFund のポートフォリオ企業であるCertoraは、この論点を支持する事例であり、スマートコントラクトを保護するための正式な検証戦略を通じたツールを提供し、デプロイおよび事前監査の前にスマートコントラクトの脆弱性を最小限に抑えることを目的としています。他の革新的な例には、Dev0xのために開発中の継続的なセキュリティ開発ツールであるEnigma Labsが含まれ、これは安全な製品のオーケストレーションのための開発者向けのものです。さらに、取引とエコシステムのテストおよびシミュレーションツールとして、Tenderly、Chaos Labs、Gauntletなどがあります。これらのプロジェクトは、開発者がスマートコントラクトを正式にデプロイする前に、その出力結果を管理および予測できるようにし、開発者の安全ツールセットに貢献します。

継続的 /即時監視： Chainalysis や TRM Labs などの企業は、事後の AML 検出、調査、データ分析のために 6.865 億ドルを調達しました。しかし、セキュリティ脆弱性を積極的に防ぐための即時監視ソリューション市場は依然としてかなり不足しています。FortaやCyversなどの企業は、リアルタイムで脆弱性を監視し、予防検出などの機能を通じてこのギャップを埋めています。Forta は継続的な実行時監視のための分散型ネットワークであり、CyVers は機械学習を利用して複数のネットワークを継続的に監視し、取引所、カストディアン、DeFi プロトコルに対して攻撃検出を提供するソリューションです。（AI と暗号の交差点に関する詳細は、CoinFund の AI に関する論文を参照してください）。これらのソリューションによる検出後、開発者は取引の先行プログラムや自動ブレーカーなどの技術的ソリューションをデプロイして資産の損失を減らすことができます。

安全ネットワーク / コミュニティ： Web3 はコミュニティの参加によって推進されており、主要なコミュニティは開発者コミュニティ（例：Developer DAO）、投資者コミュニティ（例：FlamingoDAO）、金融コミュニティインフラ（例：SyndicateDAO、Juicebox）に分けられます。将来的には、安全なソリューションやプラットフォームが、専門のセキュリティ担当者を集めて Web3 を保護するために動員することが期待されます。例えば、最近 A シリーズで 2400 万ドルを調達したImmuneFiは、コミュニティの力を利用して Web3 コードを保護するために、スマートコントラクト内の脆弱性やバグを特定するためにホワイトハットハッカーのネットワークを構築し、奨励しています。これまでに、Immunefi はホワイトハットハッカーに対して 6500 万ドル以上のバグバウンティを支払うことを促進しています。他の類似の初期例には、Code4rena、Secure3、PwnedNoMoreがあります。Forta の分散型ネットワークは、セキュリティ専門家や愛好者がユーザーに契約リスクを警告し、悪意のあるスマートコントラクトに応答するための検出ロボットやスマートコントラクトを構築およびデプロイすることを奨励します。

消費者および機関向け取引セキュリティソリューション： ユーザー向けの取引およびウォレットセキュリティ製品は、Web3 資産のセキュリティにおいて重要な役割を果たします。このソリューションは、ウォレットに販売され、全体的な使用体験をより安全にすることもできます。ウォレットもその製品にセキュリティ機能を内蔵することができますが、リスクを検出し、可能な限り統合を簡素化するために専用アルゴリズムを使用するソリューションが際立つでしょう。Redefine はこの方向性を探求する企業であり、リアルタイムの取引リスク評価と警告を提供し、これらの警告はリアルタイムのシミュレーション取引と監視メカニズムを通じて、リスク情報を直接エンドユーザーに伝えます。他の取引者を保護するための「ファイアウォール」ソリューションには、Shield、Hexagon、Web3Builders の TrustCheckなどがあります。

監査業務の拡張： 通常、監査会社は、企業をよりスケーラブルにするために製品化が必要だと考えています。Halborn は現在主に手動監査に焦点を当てていますが、その構築の目的は監査と開発運営のプロセスを自動化するツールを市場に投入することです。Quantstamp や CoinFund のポートフォリオ企業であるSherlockなどの企業は、セキュリティ監査と資産保険の交差点を探求する別のアプローチを取っています。

Web3 セキュリティにおける重要な要素の考察

高いレベルで、Web3 セキュリティ開発に対する私の考えを引き起こすいくつかの重要な論点があります：

• 重要なセキュリティ利害関係者の特定： Web3 は、セキュリティ製品とサービスのターゲット市場に対する根本的な見方を変えます。Web3 開発者、プロジェクト、ユーザーは、最も重要なセキュリティソリューションの顧客です。これは Web2 とは異なり、Web2 では企業がユーザーデータを保護する法的および経済的責任を負っています。ユーザーが自分のデータを所有する世界では、彼らもデータを保護する課題に直面し、ユーザーは自分の資産を直接保護する必要があります。
• 予防、緩和、応答： セキュリティは層状のアプローチ（IBM）であり、継続的かつ積極的なセキュリティ戦略が必要ですが、現在の Web3 では立ち上げ前の監査がこれを実現できていません。コードは完全に脆弱性がないわけではなく、これにより Web3 と Web2 の両方でリアルタイムの脆弱性緩和と応答ソリューションが必要です。
• 従来のセキュリティと Web3 の専門知識の統合： セキュリティは歴史的に非常に挑戦的で混雑した市場であり、ハッカーの才能と最前線の戦略は進化し続けています。市場には数千のセキュリティスタートアップがありますが、突破口の可能性を持つものはごくわずかです。Web3 は新しいものですが、基本的なセキュリティ問題と解決策は広く知られています。したがって、技術的な脆弱性を理解するために数年を費やしたセキュリティ研究者が Web3 を保護する道を切り開くでしょう。

Web3 セキュリティ投資機会

スケーラブルなソリューション、製品、ネットワークは、Web3 セキュリティを構築する重要な要素です。投資の観点から見ると、最も魅力的なチームは、(1) 深い Web2 セキュリティの専門知識と暗号学的視点を持つチーム、(2) Web3 セキュリティのプロトコルと開発者、機関、個人ユーザーを橋渡しできるプラットフォームであり、Web3 セキュリティ担当者の能力に価値を提供できるもの、(3) 基盤技術に基づいて顧客にサービスを提供できる製品またはネットワークです。

Web3 セキュリティ市場では、Web2 セキュリティと同様に数千のソリューションが創出されるでしょうが、相対的に少数の企業が十億ドル規模に成長する可能性があります。CoinFund の目標は、創業者と協力し、Web3 セキュリティスタックを拡張しているチームに投資することです。