Interviewer: Faust, Wuyue, Geek Web3
Befragter: Luis, ScaleBit
Herausgeber: Faust, Jomosis
Am 1. Juli lud Geek Web3 Luis von ScaleBit, einem Web3-Sicherheitsprüfungsunternehmen, ein, viele Fragen zur Codeprüfung und Web3-Sicherheit zu beantworten. Während des Berichtszeitraums diskutierten die beiden Parteien Code-Auditing und Web3-Sicherheit sowie ZK, KI, Bitcoin-Ökologie usw. aus kommerzieller und technischer Sicht.
Warum ScaleBit ursprünglich die Web3-Sicherheitsrichtung wählte und im MOVE-Ökosystem Fuß fasste;
Abteilung für Geschäftslogik und Kundenhierarchie in der Code-Audit-Branche;
Der Unterschied und Zusammenhang zwischen Web3-Sicherheit und Web2-Sicherheit;
Was sind die Komplexitäten des ZK-Circuit-Audits und welche Anstrengungen hat Scalebit hierfür unternommen?
Ansichten zum Bitcoin-Ökosystem und zur zweiten Schicht aus betrieblicher und technischer Sicht;
Die Auswirkungen und Hilfe von KI-Tools wie Chatgpt auf die Code-Audit-Branche;
Dieser Artikel ist die Textversion dieses Interviews, etwa 7.000 Wörter. Während dieser Zeit nutzte Luis seine eigenen Erfahrungen, um eine relativ detaillierte populärwissenschaftliche Studie zu vielen Themen in der Web3-Sicherheitsbranche durchzuführen. Für diejenigen, die sich mit Web3-Sicherheit und der Code-Audit-Branche nicht auskennen, ist dieser Artikel eine großartige Gelegenheit, mehr über die Audit-Organisation zu erfahren. Es wird dringend empfohlen, ihn zu lesen, zu sammeln und weiterzuleiten.
1. Faust: Die erste Frage, die ich stellen möchte, betrifft die Richtung des Unternehmertums. Warum hat sich ScaleBit bei seiner Gründung für Web3-Sicherheit entschieden?
Luis: Wir haben uns zunächst aus folgenden Gründen auf die Web3-Sicherheit konzentriert:
Erstens sind viele Leute in unserem Team relativ früh aus dem Silicon Valley in den Blockchain-Kreis eingetreten und hoffen, dass die Codeprüfung ein sehr grundlegender und langfristiger Überlebensweg ist, also haben wir uns für diese Richtung entschieden Und was wir noch mehr hoffen, ist, ein von der Branche respektiertes Sicherheitsunternehmen zu werden.
Zweitens glauben wir, dass sich die Web3-Sicherheit noch in einem sehr frühen Stadium befindet, aber Sicherheitsprobleme bei Web3 sind viel wichtiger als die herkömmliche Internetsicherheit, da erstere direkt mit finanziellen Vermögenswerten zusammenhängt und definitiv wertvoller ist als herkömmliche Internetsicherheit.
Obwohl einige Leute jetzt glauben, dass die Geschäftsobergrenze im Zusammenhang mit der Vertragsprüfung begrenzt ist, entstehen in der Tat neben der Vertragsprüfung auch mehr neue Unternehmen im Bereich der Web3-Sicherheit, und es werden weiterhin verschiedene neue Anforderungen auftauchen, sodass wir der Meinung sind, dass Web3-Sicherheit/-Code Es ist immer noch sehr gut, diesen Track anzuhören.
Drittens weisen die Hintergründe unserer Teammitglieder viele Überschneidungen mit Code-Auditing/Blockchain-Sicherheit auf. Wir haben viel Erfahrung in der Sicherheitsbranche gesammelt. Unser Chefwissenschaftler, Herr Chen Ting, hat ebenfalls zum Thema Blockchain-Sicherheit geforscht und ist ein Experte auf dem Gebiet der Web3-Sicherheit Die Professoren verfügen über umfangreiche Erfahrungen und andere Mitglieder verfügen ebenfalls über Kenntnisse in den Bereichen Austauschsicherheit, formale Verifizierung und statische Analyse.
Aus diesen Gründen haben wir uns schließlich für den Weg der Web3-Sicherheit entschieden.
2. Faust: Ich habe gehört, dass ScaleBit ursprünglich MoveBit hieß, aber später wurde die Marke auf den Namen ScaleBit aufgewertet. Können Sie uns sagen, warum Sie sich zunächst für das Move-Ökosystem entschieden und den Namen später geändert haben?
Luis: Das ist eigentlich unser Marken-Upgrade – wir nutzen die drei Untermarken MoveBit, ScaleBit und TonBit. Wir haben das Move-Ökosystem auch auf weitere Ökosysteme ausgeweitet Die allgemeine Positionierung war: Es geht um Sicherheit und Infrastruktur in der aufstrebenden Ökologie.
Warum wir uns ursprünglich für das Move-Ökosystem entschieden haben, dazu gibt es eine kleine Geschichte: Fast im Jahr 2022, als wir in die Richtung der Sicherheitsprüfung einstiegen, verbrachten wir drei Monate damit, die am besten geeigneten Unterteilungen für die Tiefenkultivierung zu erforschen. Damals glaubten wir, dass es schwierig sein würde, die Konkurrenten auf dem Markt zu überholen, wenn wir ein vollwertiges Sicherheitsunternehmen sein würden, also mussten wir einen separaten Markteintritt finden.
Wir haben mehrere Richtungen besprochen, eine davon ist Move und dann ZK. Darüber hinaus haben wir auch die Idee entwickelt, eine vertikale Audit-Marke zu schaffen, beispielsweise die Konzentration auf GameFi oder eine bestimmte Art von Geschäft Um an einem einzigen Punkt durchzubrechen, haben wir später verschiedene Faktoren kombiniert und mich für das Move-Ökosystem entschieden.
Damals waren wir nur sieben oder acht Personen und im Move-Ökosystem relativ erfolgreich. Etwa 80 % bis 90 % der Top-20-TVL-Top-Projekte im Move-Ökosystem wurden von uns geprüft. Wir haben auch wichtige zugrunde liegende Kettenkomponenten wie MoveVM und Aptos Framework geprüft und auch viele zugrunde liegende Schwachstellen in der Kette entdeckt. Im Bereich Move haben wir also einen hohen Marktanteil.
Wir übernehmen derzeit auch das Code-Audit-Geschäft im Move-Ökosystem, das derzeit etwa 50 % unseres Umsatzes und etwa 40 % unseres Audit-Aufwands ausmacht. Da es im Move-Ökosystem mehr ausländische Kunden mit Code-Audit-Anforderungen gibt, wird der Stückpreis für diese Art von Geschäft höher sein.
Derzeit führt TonBit hauptsächlich Ton-Ökologieprüfungen durch, und ScaleBit führt BTC Layer2-Ökologie, ZK und andere neue Ökologie durch. Unsere Gesamtpositionierung bei BitsLab besteht darin, uns auf aufstrebende Ökosysteme und Ökosysteme mit Potenzial für eine Massenadoption zu konzentrieren.
3. Faust: Ich möchte eine Frage zu ZK stellen. Vitalik sagte zuvor auch, dass die Schaltkreise von Systemen wie zkEVM zu komplex seien. Selbst wenn es Funktionstests oder Audits gäbe, gebe es immer noch keine Garantie dafür, dass es keine Probleme mit den Schaltkreisen gebe. Können Sie aufgrund Ihrer eigenen Erfahrung darüber sprechen?
Luis: ZK-bezogene Audits sind in viele Aspekte unterteilt, die hauptsächlich in Circuit-Audits, Quellsprachen-Audits und allgemeine Computer-Audits unterteilt werden. Lassen Sie mich zunächst über Circuit-Audits sprechen.
Eine große Schwierigkeit bei der Schaltungsprüfung besteht darin, dass Schaltkreiscode im Vergleich zu herkömmlichen Programmiersprachen schlecht lesbar ist und die Ökologie im Zusammenhang mit Schaltkreissprachen sehr fragmentiert ist. Derzeit gibt es möglicherweise mehr als ein Dutzend Sprachen und Frameworks zum Schreiben von Schaltkreisen. Dazu gehören Circom, Halo2, Artwork, Bellman usw., daher gibt es derzeit keinen einheitlichen Standard für das Schreiben von Schaltkreisen.
Offensichtlich ist es grundsätzlich unmöglich, dass eine Sicherheitsbehörde alle Schaltkreissprachen gleichzeitig beherrscht. Daher sind wir gezielt in den Bereich ZK eingestiegen. Derzeit machen wir im ZK-Bereich hauptsächlich zwei Dinge: Zum einen organisieren wir gemeinsam mit Scroll, EthStorage und Mr. Guo Yu von Ambi Labs den ZK Security Capture the Flag Competition Jahr. Dieser Wettbewerb dient hauptsächlich der Förderung weiterer ZK-Sicherheitstalente.
Eine andere Sache ist, dass wir ein Tool zur Schwachstellenerkennung entwickelt haben – zkScanner, das hauptsächlich einige formale und statische Analysemethoden verwendet, um nach Schwachstellen in ZK-Schaltkreisen zu suchen. Nachdem zkScanner zunächst die Schaltung gescannt hat, findet er einige verdächtige Punkte und übergibt sie dann an die manuelle Bestätigung, die als Ergänzung zur manuellen Prüfung verwendet werden kann. Natürlich kann dieses automatisierte Audit-Tool manuelle Audits nicht vollständig ersetzen, aber es ist immer noch relativ effektiv bei der Entdeckung weiterer versteckter Einschränkungen, d. h. Einschränkungsproblemen.
Wuyue: Ist das von Ihnen erwähnte automatisierte Prüftool dem statischen Erkennungstool ähnlich, das ERC-20-Token erkennt?
Luis: So ähnlich, aber nicht ganz richtig. Im Arbeitsablauf ähneln sie sich: Statischer Code wird gescannt und Ort und Ursache der Schwachstelle werden angegeben. Der Unterschied besteht darin, dass die Fehler, auf die sich die Schaltung konzentriert, hauptsächlich in zwei Kategorien unterteilt sind, nämlich Under-Constrain und Over-Constrain. Gleichzeitig ist es bei einer normalen lexikalischen Analyse schwierig, diese Fehler zu finden.
Wuyue: Wenn es etwas abstrakt ist, nur über Constraint-Einschränkungen zu sprechen, können Sie ein Beispiel dafür geben, wie es aussieht?
Luis: Ich denke, wir können dies von der Seite betrachten. Im Wesentlichen ist die Schaltung tatsächlich ein mathematischerer Ausdruck als die intelligente Vertragssprache. Sie muss letztendlich in R1CS umgewandelt werden, das als reiner Polynomausdruck verstanden werden kann. Daher sind einige Probleme, die bei herkömmlichen Verfahren auftreten können, in Schaltkreisen relativ selten.
Da die Schaltung tatsächlich „unfehlbar“ ist, muss jede Schaltung den richtigen Eingang und Ausgang verwenden, um den entsprechenden Beweis zu generieren. Wenn die Schaltung Fehler aufweist, besteht sie die Kompilierung nicht. Dadurch wird sichergestellt, dass die Ergebnisse der Schaltungsberechnung „richtig“ sein müssen. Aber nur „richtig“ reicht für die Schaltung nicht aus, sie muss in allen Situationen „richtig“ sein, was zu den beiden vorherigen Einschränkungsproblemen führt.
Bei einer Überbeschränkung können einige Eingänge, die die Anforderungen erfüllen, die Schaltung nicht passieren. Bei einer Unterbeschränkung werden die nicht konformen Eingänge konform, was ein schwerwiegendes Problem darstellt.
Wuyue: Diese Probleme können vom Compiler also nicht entdeckt werden. Sie gehören zu seinen eigenen Voraussetzungen, bevor er die Schaltung entwirft. Es gibt Probleme, wenn er sie ausdrückt, ist das richtig?
Luis: Ja, da diese Probleme nicht ausschließlich grammatikalischer Natur sind, geht es auch um die Absichten des Entwicklers und einige gängige Konventionen in der Kryptographie. Insbesondere erfordern diese Probleme oft den Einsatz formaler Tools wie SMT-Solver, um sie zu entdecken.
4. Faust: Was halten Sie aus betriebswirtschaftlicher Sicht von ZK-bezogenen Prüfungsleistungen?
Luis: Das ZK-bezogene Prüfungsgeschäft verdient langfristige Aufmerksamkeit. Wir haben kontinuierlich ZK-Prüfungen aufgebaut. Einschließlich unserer anschließenden Prüfung des Bitcoin-Ökosystems haben wir auch festgestellt, dass das Bitcoin-Ökosystem eine gute Integration mit ZK aufweist, während die ZK-Schicht-2-Erzählung des Ethereum-Ökosystems etwas nachgelassen hat und die nächste Welle von Erzählungen auf dem ZK-Track liegt Kommt noch nicht offiziell, vielleicht hängt es mit FHE zusammen.
Natürlich ist es für uns weder zu früh noch zu spät, offiziell in den Bereich der ZK-Prüfung einzusteigen. Es handelt sich eher um eine Phase der langfristigen Aufmerksamkeit und langfristigen Akkumulation. Auf geschäftlicher Ebene konzentrieren wir uns weiterhin auf die beiden zuvor genannten Dinge: Das eine ist zkCTF und das andere ist zkScanner, das oben erwähnte Tool zur Erkennung von Schwachstellen in ZK-Schaltkreisen.
Wuyue: Können Sie die zkCTF-Aktivität kurz vorstellen?
Luis: Dies ist ein von uns initiierter CTF (Security Capture the Flag-Wettbewerb) im Zusammenhang mit dem ZK-Bereich. Er findet einmal im Jahr statt und ZK-Forscher werden zur Teilnahme eingeladen. Wir werden mit Scroll, EthStorage und Herrn Guo Yu von Anbi Labs zusammenarbeiten, um den Teilnehmern Fragen zu stellen. Wir haben auch starke Unterstützung von Institutionen wie Ingonyama, zkMove und HashKey erhalten.
Wir haben die Liste der Teilnehmer gezählt. Sie kommen grundsätzlich aus der ganzen Welt und ihr Niveau ist relativ erstklassig, darunter:
OpenZepplin, Offside, Salus, Amber Group, Sec3 usw. sowie einige Sicherheits- und ZK-Doktoranden an der Georgia Tech und in Berkeley.
5. Faust: Ich möchte ScaleBit nach seiner Meinung zum Bitcoin-Ökosystem fragen. Ich habe gehört, dass Sie bereits mehr als 30 Bitcoin-Ökosystemprojekte geprüft haben. Was halten Sie von der zweiten Schicht von Bitcoin?
Luis: Zu den mehr als 30 ökologischen Bitcoin-Projekten, die hier erwähnt werden, gehören ökologische Projekte der zweiten oder zweiten Ebene wie UniSat, Arch Network, Merlin Chain, RGB++, B² Network usw. sowie Liquidium usw. im Zusammenhang mit der Inschrift Runes-Projekte und viele andere Projekte sind Defi-Protokolle innerhalb des Second-Layer-Ökosystems.
Was die Ansicht zur zweiten Schicht von Bitcoin betrifft, stimme ich mit der vorherigen Ansicht von Kevin He von Bitlayer überein, dass die Konkurrenz der zweiten Schicht von Bitcoin in drei Phasen unterteilt wird. Die erste Phase besteht darin, TVL anzuziehen, die zweite Die Phase besteht darin, Entwickler anzulocken, und die dritte Phase besteht darin, Entwickler anzulocken. Die drei Phasen sind der Wettbewerb der technischen Routen. Ich denke, wir sind immer noch am Ende der ersten Phase oder fangen gerade erst an, um Entwickler zu konkurrieren und ein Ökosystem aufzubauen.
Faust: Wenn Sie Projekte im Bitcoin-Ökosystem prüfen, auf welchen Ebenen überprüfen Sie diese hauptsächlich bzw. anhand welcher Indikatoren?
Luis: Wenn es sich um Bitcoin Layer 2 handelt, unterteilen wir es in mehrere Dimensionen. Einige müssen beispielsweise die Skripte dieser Projekte in der Bitcoin-Kette überprüfen, und andere müssen die auf Bitcoin Layer 2 bereitgestellten Verträge überprüfen. Einige Prüfobjekte sind kettenübergreifende Brücken oder die unterste Schicht der Kette. Einige zweite Schichten verwenden möglicherweise kein EVM. Auf diesen Ebenen müssen Prüfarbeiten durchgeführt werden.
Wir betrachten hauptsächlich die Angriffsfläche im Code dieser Projekte und prüfen, ob sie Schwachstellen aus verschiedenen Dimensionen aufweist. Dies ist tatsächlich sehr kompliziert, da die zweite Schicht von Bitcoin ein System ist, das einer öffentlichen Kette ähnelt. Wir werden uns alle mit den Punkten befassen, die bei der Prüfung öffentlicher Ketten in der Branche überprüft werden müssen, zum Beispiel, ob es bei diesem Projekt einige Double-Spend-Angriffe, Eclipse-Angriffe, Hexenangriffe, externe Abhängigkeitssicherheit, Zentralisierungsprobleme und Man-in-in-Angriffe gibt. Die mittleren Angriffe usw. werden wir uns mit den spezifischen Anforderungen befassen. Wir können über dieses Thema an einem anderen Tag sprechen.
Unsere Chain-Audit-Fähigkeiten bei ScaleBit sind in Asien zumindest erstklassig. Die Teammitglieder haben Schwachstellen in berühmten öffentlichen Ketten wie Sui, OKX Chain, GalaChain und Nervos ausgegraben Niedriges Niveau im öffentlichen Prüfungswettbewerb von Babylon.
6. Faust: Sind aufgrund Ihrer Erfahrungen mit Sicherheitsüberprüfungen die anfälligsten Stellen für Sicherheitslücken kettenübergreifende Brücken? Soweit ich weiß, sind viele Cross-Chain-Brücken im Wesentlichen Erweiterungen von Defi und daher ebenso anfällig für Angriffe wie das Defi-Protokoll. Was haltet Ihr davon?
Luis: In Bezug auf die Häufigkeit ist es am wahrscheinlichsten, dass Geld an Orten verloren geht, die mit DeFi in Verbindung stehen, aber was die Höhe angeht, wird der größte Geldbetrag nach einem Angriff über die Brücke verloren gehen Probleme. Wenn ich über DeFi spreche, beziehe ich mich natürlich eher auf die Vertragsebene. Solange es ein Problem mit dem Vertrag des DeFi-Protokolls gibt, kann es angegriffen werden, und es gibt relativ wenige Abhilfemaßnahmen.
Was Cross-Chain-Brücken betrifft, so verursachen sie in der Tat am wahrscheinlichsten Probleme, da die mit Cross-Chain-Brücken normalerweise verbundenen Geldbeträge relativ groß sind und viele von ihnen Mehrfachsignaturen verwenden, was leicht zu manipulieren ist.
7. Faust: Glauben Sie, dass LLM-Tools wie Chatgpt die Arbeit bei der Codeprüfung unterstützen werden, oder welche Auswirkungen wird das haben?
Luis: Eigentlich ist es ganz hilfreich, aber es ist eher eine Nebenrolle. Manchmal schauen sich Prüfer einige Codes an, und um die Funktionen dieser Codes schnell zu verstehen, verwenden sie Chatgpt, um zu analysieren, was der Code wahrscheinlich tut. Dies ist natürlich nur ein Assistent, und am Ende hängt es von den Leuten ab, dies zu bestimmen viele Details.
Ein weiterer Aspekt ist das Verfassen von Dokumenten und Prüfungsberichten, insbesondere das Verfassen auf Englisch. Einige Prüfer, deren Englisch nicht sehr muttersprachlich ist, werden Chatgpt bitten, diese Dokumente zu verbessern, was sehr hilfreich ist.
Aus Sicht der Prüfung trainieren wir jedoch auch einige spezifische LLMs intern und verwenden für die Schulung einige Open-Source-Modelle in großen Sprachen. Derzeit sind diese jedoch nur Hilfsmittel. Obwohl dies die Arbeitseffizienz verbessern kann, können wir uns bei der Prüfung absolut nicht vollständig auf KI verlassen. Es wird nur gesagt, dass die Effizienz um etwa 20 % verbessert werden kann, aber von dem Schritt, die Zahl der Prüfer in großem Umfang zu reduzieren, ist man noch weit entfernt.
Nun weist LLM immer noch zwei offensichtliche Mängel auf. Das erste ist das Problem der falsch-negativen Ergebnisse und das zweite sind die falsch-positiven Ergebnisse. Wir können LLM zum Schwachstellen-Mining verwenden, müssen aber auf die Falsch-Positiv-Rate achten. Wenn Sie KI verwenden, um Code-Schwachstellen zu finden, ist die Falsch-Positiv-Rate hoch, was eine Verschwendung Ihrer Zeit und Ihres Willens darstellt Bring dir Gepäck. Aber wir werden weiterhin auf die Fortschritte der KI achten, beispielsweise darauf, ob sie ein effizientes Schwachstellen-Mining auf Tool-Ebene erreichen kann. Dies ist immer noch relativ hochmodern und jeder erforscht es noch, aber wir haben noch kein Unternehmen gesehen, das dies sagt dass es den oben genannten Effekt wirklich erzielen kann.
Wuyue: Glauben Sie, dass die automatisierte Codeprüfung durch KI in Zukunft ein Schwerpunkt sein wird? Nach meinem Verständnis kann KI Code fast augenblicklich lesen, und sie hat mehr Erfahrung gesammelt und kann dies umfassender als Menschen. Dies ist ein großer Vorteil der KI. Wenn es ein Sicherheitsunternehmen gibt, das sich stark in diesem Bereich engagiert, spezialisierte KI für die Durchführung automatisierter Code-Audits ausbildet und seine Konkurrenten übertrifft, was denken Sie dann darüber?
Luis: Wir haben dieser Richtung Aufmerksamkeit geschenkt. Ich denke, wir müssen es unter zwei Gesichtspunkten betrachten:
Wenn Sie im ersten Aspekt glauben, dass eine automatisierte KI-Prüfung wirklich etabliert werden kann, wird sich folgende Situation ergeben:
Theoretisch kann LLM die gesamte Code-Audit-Branche harmonisieren, denn wenn jeder LLM zum Generieren von Code verwendet und LLM sicherstellen kann, dass der generierte Code keine Probleme oder Fehler aufweist, ist keine Prüfung erforderlich. Zu dieser Zeit tötete er nicht nur die Wirtschaftsprüfungsbranche, sondern auch Programmierer. Es ist jedoch sehr schwierig, einen solchen Effekt zu erzielen.
Wenn wir glauben, dass LLM Prüfer töten kann, muss dies schwieriger sein als das Töten von Entwicklern. Es ist viel schwieriger, Code ohne Lücken zu schreiben, als einfach Code zu implementieren, der den Anforderungen entspricht. Daher denke ich, dass es für die KI schwieriger sein wird, Prüfer zu eliminieren, als Programmierer zu ersetzen.
Ein weiterer Aspekt ist, dass KI nicht einfach so auftaucht und Sicherheitsüberprüfungen zunichte macht, sondern dass sie zunächst Durchbrüche in bestimmte Richtungen erzielt. Wie bereits erwähnt, kann KI Ihnen beim Schwachstellen-Mining helfen. Obwohl sie Ihnen nicht dabei helfen kann, alle Fehler zu finden, kann sie Ihnen dabei helfen, ein oder zwei Arten von Problemen herauszufinden, die bei solchen Anwendungsszenarien möglicherweise übersehen werden wir konzentrieren uns auf.
8. Faust: Ich möchte Sie noch einmal fragen, was Sie von der Prüfungsarbeit selbst halten. Was beinhaltet der konkrete Arbeitsprozess, wenn Sie ein Audit durchführen? Dies ist nicht nur so einfach wie die Ausstellung eines Zertifikats. Helfen Sie dem Projektteam beim Lesen des Codes?
Luis: Das hängt von den Kundenbedürfnissen ab. Manchmal helfen wir Kunden dabei, einige Optimierungen an ihrem ursprünglichen Code vorzunehmen, beispielsweise dafür zu sorgen, dass bestimmte DeFi-Vorgänge weniger Gas verbrauchen.
Was den Prüfungsprozess betrifft, möchte ich ihn kurz vorstellen. Wir haben mindestens zwei unabhängige Prüfungsrunden: Vorläufige Prüfung und erneute Prüfung. Zu diesem Zeitpunkt führt die Projektpartei eine separate Prüfung durch Wenn Änderungen am ursprünglichen Code vorgenommen werden müssen und die Überprüfung dann erneut durchgeführt wird, führt eine andere Gruppe von Personen weiterhin die Codeprüfung durch. Das Endergebnis ist, dass es mindestens zwei Personengruppen gibt, die den Kodex gegenseitig prüfen.
Apropos Unterschiede zu anderen Prüfungsunternehmen: Wir rekrutieren gerne Leute mit CTF-Hintergrund (Security Capture the Flag), um Prüfungen durchzuführen.
Darüber hinaus unterscheiden wir uns von anderen Prüfungsunternehmen dadurch, dass wir eine Boutique-Prüfungsroute bevorzugen. Wenn der von uns geprüfte Code größere und größere Schwachstellen übersieht, werden 30 % bis 50 % der Gebühren zurückerstattet. Das können andere Wirtschaftsprüfungsgesellschaften nicht versprechen.
9. Faust: Manche Leute denken, dass es bei Sicherheitsaudits tatsächlich um die Markenunterstützung geht, genau wie die Wall Street. Der Matthew-Effekt ist in diesem Bereich sehr stark. Etablierte Unternehmen wie Slow Mist haben sehr starke Vorteile. und Nachwuchskräfte sind sehr stark. Es ist schwer, mit einem etablierten Kraftpaket wie Slow Mist um den Kuchen zu konkurrieren. Was denkst du darüber?
Luis: Ich stimme dieser Ansicht teilweise zu, aber es kommt auch auf unterschiedliche Situationen an. Beispielsweise unterteilen wir unsere Kunden entsprechend ihrem Prüfungsbedarf in drei Kategorien: niedrig, mittel und hoch. Das lokale Hundeprojekt ist die unterste Ebene, und die obere Ebene ist das mittlere Projekt, das zwar eine gewisse Stärke hat, aber kein Starteam ist. Die höchste Stufe ist die Art von Starteam mit relativ starker Finanzkraft.
Lassen Sie uns zunächst über die höchste Kundenebene sprechen. Diese Kundenebene sucht normalerweise nach mehr als 2 bis 3 Prüfungsunternehmen und legt großen Wert auf die Qualität von Code-Audits. Sie finden möglicherweise zuerst einige der weltweit führenden Wirtschaftsprüfungsinstitutionen, aber diese Institutionen müssen sich auch mit zu vielen Geschäften befassen und sind möglicherweise nicht in der Lage, die Bedürfnisse bestimmter Kunden zu priorisieren. Daher werden viele Star-Projektteams auch einige weniger bekannte finden Prüfinstitutionen mit hervorragender Prüfungsqualität prüfen gleichzeitig.
Die oben genannten Kundentypen sind die Favoriten von Wirtschaftsprüfungsgesellschaften, da sie sehr reich sind. Diese Kunden legen jedoch auch großen Wert auf die Prüfungsqualität und finden daher in der Regel mehrere Wirtschaftsprüfungsgesellschaften Möglichkeit, diese Art von Kunden zu erreichen, daher ist diese Art von Kunden eine unserer Hauptkundengruppen.
Die zweite Ebene sind die Taillenkunden, die „mehr Wert auf die Prüfungsqualität legen, aber nicht unbedingt viel Geld haben“, aber das Potenzial haben, in Zukunft Top-Kunden zu werden. Obwohl sie hoffen, eine erstklassige Wirtschaftsprüfungsagentur zu finden, können sie sich das Geld möglicherweise nicht unbedingt leisten.
Es gibt in diesem Kreis nur 4 bis 5 Organisationen, die wirklich als „Top-Sicherheitsunternehmen“ bezeichnet werden können, ähnlich wie OpenZeppelin und Trail of Bits. Jeder weiß, dass diese Institutionen sehr gut sind, aber ihre Preise sind auch sehr teuer, die drei- bis zehnmal höher sein können als bei herkömmlichen Wirtschaftsprüfungsgesellschaften.
Kunden, die über der Taille liegen, wenden sich an die besten Wirtschaftsprüfungsinstitute, werden aber möglicherweise nicht akzeptiert. Daher ist es für Low-End-Kunden besser, das Budget einer Prüfungsinstitution mit ausgezeichneter Prüfungsqualität zu geben oder mehrere Prüfungen zu finden, anstatt ihr gesamtes Budget für die Suche nach einer führenden Wirtschaftsprüfungsgesellschaft auszugeben. Diese Art von Kunden stellt unsere größte Gruppe dar und wir hoffen auch, mit ihnen zu wachsen.
Der letzte Kundentyp ist das oben erwähnte Low-End-Projekt. Dieser Kundentyp geht grundsätzlich zu demjenigen, der günstiger ist, oder gibt Geld aus, um eine bekannte Wirtschaftsprüfungsagentur zu finden, die den Vertrag prüft.
Aus den oben genannten Punkten ergibt die von Ihnen genannte Aussage also Sinn für Ihre Bewertung der Wirtschaftsprüfungsbranche. Bei Wirtschaftsprüfungsgesellschaften mit mehr Geschichte und besserem Ruf gibt es zwar einen Matthew-Effekt, aber man sieht, dass einige alte Wirtschaftsprüfungsgesellschaften, obwohl sie bekannt sind, in den letzten Jahren kläglich explodiert sind. Verschiedene Probleme treten auf.
Als später entstandene Wirtschaftsprüfungsgesellschaft muss sie jedoch über differenzierte Vorteile verfügen, daher besteht unsere Strategie darin, an einem einzigen Punkt durchzubrechen:
Schneiden Sie zuerst einen bestimmten Abschnitt der Strecke ab und verschaffen Sie sich einen absoluten Vorteil. Beispielsweise liegt unsere aktuelle Abdeckungsrate im Bitcoin Layer 2-Ökosystem bei über 50 % und im Move-Ökosystem bei über 80 %. Selbst Top-Prüfungsinstitutionen wie OpenZepplin sind möglicherweise nicht in der Lage, diese segmentierten Spuren abzudecken . Der sogenannte „Matthew-Effekt“ hängt also von der Umgebung ab.
10.Faust: Was ist aus Ihrer persönlichen Sicht der größte Unterschied zwischen Web2- und Web3-Sicherheit? Sie können anhand Ihrer bisherigen Erfahrungen darüber sprechen.
Luis: Zunächst einmal habe ich das Gefühl, dass sich die Web3-Sicherheit in einem sehr frühen Entwicklungsstadium befindet und dass die Web3-Sicherheit einen größeren Markt haben muss als die Web2-Sicherheit, da für Web3 strengere Sicherheitsanforderungen gelten.
Hier erzähle ich Ihnen eine Geschichte. Es gab einmal einen chinesischen Manager im Sicherheitskreis des Silicon Valley. Er erreichte einmal die VP-Ebene eines börsennotierten Unternehmens im Silicon Valley. Er sagte, dass es im Silicon Valley hauptsächlich zwei Kreise chinesischer und jüdischer Menschen gebe, die im Sicherheitsbereich arbeiteten. Warum können die Chinesen dann im Sicherheitsbereich so gute Arbeit leisten? Denn die Sicherheitsbranche ist eine typische Branche, die in normalen Zeiten kein Existenzgefühl hat und die Schuld auf sich nehmen muss, wenn etwas schief geht Es ist also das Richtige für die chinesische Firma Web2 Security.
Aber Web3-Sicherheit ist anders. Da es bei Blockchain direkt um Geld geht, ist die Präsenz von Web3-Sicherheit um viele Größenordnungen größer. Darüber hinaus können viele „Sicherheitspraktiker“ direkt Geld verdienen Transformation von Web2 zu Web3 sind Hacker.
Aus technischer Sicht umfasst der Sicherheitsinhalt von Web3 den Sicherheitsteil von Web2 und verwendet viele Technologien des letzteren wieder. Mittlerweile gibt es viele Systeme. Beispielsweise verfügen viele DeFi-Anwendungen über Server und Schnittstellen, die auch herkömmliche Penetrationstests, DoS-Abwehr usw. erfordern, die eigentlich Teil der Web2-Sicherheit sind.