Entrevistador: Fausto, Wuyue, Geek Web3
Entrevistado: Luis, ScaleBit
Editor: Fausto, Jomosis
El 1 de julio, Geek Web3 invitó a Luis de ScaleBit, una empresa de auditoría de seguridad Web3, a responder muchas preguntas sobre auditoría de código y seguridad Web3. Durante el período, las dos partes discutieron la auditoría de código y la seguridad Web3, así como ZK, AI, ecología de Bitcoin, etc. desde perspectivas comerciales y técnicas.
Por qué ScaleBit inicialmente eligió la dirección de seguridad Web3 y echó raíces en el ecosistema MOVE;
División de lógica empresarial y jerarquía de clientes en la industria de auditoría de códigos;
La diferencia y conexión entre la seguridad Web3 y la seguridad Web2;
¿Cuáles son las complejidades de la auditoría de circuitos ZK y qué esfuerzos ha realizado Scalebit para ello?
Opiniones sobre el ecosistema Bitcoin y la segunda capa desde una perspectiva operativa y técnica;
El impacto y la ayuda de herramientas de inteligencia artificial como Chatgpt en la industria de la auditoría de código;
Este artículo es la versión de texto de esta entrevista, de aproximadamente 7000 palabras. Durante este período, Luis utilizó su propia experiencia para realizar una divulgación científica relativamente detallada sobre muchos temas de la industria de la seguridad Web3. Para aquellos que no conocen la seguridad Web3 y la industria de la auditoría de códigos, este artículo será una gran oportunidad para aprender sobre la organización de auditoría. Se recomienda leerlo, recopilarlo y reenviarlo.
1. Fausto: La primera pregunta que quiero hacer es sobre la dirección del espíritu empresarial. Cuando se fundó ScaleBit, ¿por qué eligió la seguridad Web3?
Luis: Inicialmente nos centramos en la seguridad Web3 por las siguientes razones:
En primer lugar, muchas personas de nuestro equipo ingresaron al círculo blockchain desde Silicon Valley relativamente temprano y esperan encontrar necesidades de usuario estables y a largo plazo. La auditoría de código es una vía de supervivencia muy básica y a largo plazo, por lo que elegimos esta dirección. Y lo que más esperamos es convertirnos en una empresa de seguridad respetada por la industria.
En segundo lugar, creemos que la seguridad de Web3 se encuentra en una etapa muy temprana, pero los problemas de seguridad en Web3 son mucho más importantes que la seguridad de Internet tradicional, porque la primera está directamente relacionada con los activos financieros y definitivamente es más valiosa que la seguridad de Internet tradicional.
Aunque algunas personas ahora creen que el límite comercial relacionado con la auditoría de contratos es limitado, de hecho, además de la auditoría de contratos, están surgiendo más negocios nuevos en seguridad Web3 y seguirán surgiendo varias demandas nuevas, por lo que creemos que la seguridad/código Web3 Sigue siendo muy bueno auditar esta pista.
En tercer lugar, los antecedentes de los miembros de nuestro equipo se superponen mucho con la auditoría de código/seguridad blockchain. Hemos acumulado mucha experiencia en la industria de la seguridad. Fui miembro fundador de otra empresa de seguridad blockchain. Nuestro científico jefe, el Sr. Chen Ting, también ha estado investigando sobre la seguridad blockchain y es un experto en el campo de la seguridad Web3. Los profesores han acumulado experiencia y otros miembros también tienen experiencia en seguridad cambiaria, verificación formal y análisis estático.
Por estas razones, finalmente elegimos el camino de la seguridad Web3.
2. Faust: Escuché que ScaleBit originalmente se llamaba MoveBit, pero luego la marca se actualizó para usar el nombre ScaleBit. ¿Puede decirnos por qué eligió inicialmente el ecosistema Move y por qué cambió el nombre más tarde?
Luis: En realidad, esta es la actualización de nuestra marca. La marca matriz es BitsLab: utilizamos las tres submarcas MoveBit, ScaleBit y TonBit. También nos hemos expandido del ecosistema Move a más ecosistemas. El posicionamiento general ha sido seguridad e infraestructura en la ecología emergente.
En cuanto a por qué elegimos inicialmente el ecosistema Move, hay una pequeña historia: casi en 2022, cuando entramos en la dirección de auditoría de seguridad, pasamos tres meses investigando las subdivisiones más adecuadas para un cultivo profundo. En ese momento, creíamos que si íbamos a ser una empresa de seguridad de categoría completa, sería difícil superar a los competidores en el mercado, por lo que tuvimos que encontrar un camino separado para ingresar.
Hemos discutido varias direcciones, una es Move y luego ZK. Además, también hemos concebido la idea de hacer una marca de auditoría vertical, como centrarnos en GameFi o en un determinado tipo de negocio. Para abrirnos paso en un solo punto, luego combinamos varios factores y elegí el ecosistema Move.
En ese momento, solo éramos siete u ocho y tuvimos relativamente éxito en el ecosistema Move. Aproximadamente del 80% al 90% de los 20 principales proyectos de TVL en el ecosistema Move fueron auditados por nosotros. También auditamos importantes componentes de la cadena subyacente, como MoveVM y Aptos Framework, y también descubrimos muchas vulnerabilidades de la cadena subyacente. Entonces, en el segmento Move, tenemos una alta participación de mercado.
Actualmente también nos estamos haciendo cargo del negocio de auditoría de código en el ecosistema Move, que actualmente representa aproximadamente el 50 % de nuestros ingresos y aproximadamente el 40 % de nuestra carga de trabajo de auditoría. Debido a que el ecosistema Move tiene más clientes extranjeros con necesidades de auditoría de código, el precio unitario de este tipo de negocio será mayor.
Actualmente, TonBit realiza principalmente auditorías ecológicas de Ton, y ScaleBit realiza ecología BTC Layer2, ZK y otras ecologías nuevas. Nuestro posicionamiento general en BitsLab es centrarnos en ecosistemas emergentes y ecosistemas con potencial de adopción masiva.
3. Fausto: Me gustaría hacer una pregunta sobre ZK. El trabajo de auditoría relacionado con ZK es muy problemático. Vitalik también dijo antes que los circuitos de sistemas como zkEVM son demasiado complejos. Incluso si hay pruebas o auditorías funcionales, todavía no hay garantía de que no habrá problemas con los circuitos. ¿Puedes hablar de esto basándose en tu propia experiencia?
Luis: Las auditorías relacionadas con ZK se dividen en muchos aspectos, que se dividen principalmente en auditorías de circuitos, auditorías del lenguaje fuente y auditorías informáticas generales. Permítanme hablar primero de las auditorías de circuitos.
Una dificultad importante en la auditoría de circuitos es que el código del circuito tiene poca legibilidad en comparación con los lenguajes de programación tradicionales y la ecología relacionada con los lenguajes de circuitos está muy fragmentada. Puede haber más de una docena de lenguajes y marcos para escribir circuitos. Incluyendo Circom, Halo2, Artwork, Bellman, etc., por lo que actualmente no existe un estándar unificado para la escritura de circuitos.
Obviamente, es básicamente imposible que cualquier agencia de seguridad domine todos los lenguajes de circuitos al mismo tiempo. Por eso entramos selectivamente en el campo de ZK. En la actualidad, estamos haciendo principalmente dos cosas en la pista de ZK. Una es coorganizar el concurso ZK Security Capture the Flag (zkCTF) con Scroll, EthStorage y el Sr. Guo Yu de Ambi Labs. Este concurso se lleva a cabo aproximadamente una vez al año. año. Esta competencia se lleva a cabo principalmente para cultivar más talentos de seguridad de ZK.
Otra cosa es que creamos una herramienta de detección de vulnerabilidades: zkScanner, que utiliza principalmente algunos métodos de análisis formales y estáticos para buscar vulnerabilidades en los circuitos ZK. Después de que zkScanner escanee inicialmente el circuito, encontrará algunos puntos sospechosos y luego los entregará para confirmación manual, que puede usarse como complemento de la auditoría manual. Por supuesto, esta herramienta de auditoría automatizada no puede reemplazar completamente las auditorías manuales, pero sigue siendo relativamente efectiva para descubrir algunas restricciones más ocultas, es decir, problemas de restricciones.
Wuyue: ¿La herramienta de auditoría automatizada que mencionaste es similar a la herramienta de detección estática que detecta tokens ERC-20?
Luis: Más o menos así pero no del todo bien. Son similares en el flujo de trabajo: se escanea el código estático y se proporcionan la ubicación y la causa de la vulnerabilidad. La diferencia es que los errores en los que se centra el circuito se dividen principalmente en dos categorías, a saber, restricciones insuficientes y restricciones excesivas. Al mismo tiempo, el análisis léxico ordinario es difícil de encontrar estos errores;
Wuyue: Si hablar de restricciones es un poco abstracto, ¿puedes dar un ejemplo de cómo se ve?
Luis: Creo que podemos ver esto desde un lado. En esencia, el circuito es en realidad una expresión más matemática que el lenguaje de contrato inteligente. En última instancia, debe convertirse a R1CS, que puede entenderse como una expresión polinómica pura. Por tanto, algunos problemas que pueden ocurrir en los procedimientos convencionales son relativamente raros en los circuitos.
Debido a que el circuito es en realidad "infalible", cada circuito necesita usar la entrada y salida correctas para generar la prueba correspondiente. Si hay errores en el circuito, no pasará la compilación. Esto garantiza que los resultados del cálculo del circuito deben ser "correctos". Pero simplemente "correcto" no es suficiente para el circuito. Es necesario que sea "correcto" en todas las situaciones, lo que conduce a los dos problemas de restricción anteriores.
Si está por encima de la restricción, algunas entradas que cumplen con los requisitos no podrán pasar a través del circuito; si está por debajo de la restricción, las entradas que no cumplen los requisitos lo serán, lo cual es un problema fatal.
Wuyue: Entonces el compilador no puede descubrir estos problemas. Pertenecen a sus propias condiciones previas antes de diseñar el circuito. Hay problemas al expresarlos, ¿verdad?
Luis: Sí, porque estos temas no son del todo gramaticales, también involucra las intenciones del desarrollador y algunas convenciones comunes en criptografía. Específicamente, estos problemas a menudo requieren el uso de herramientas formales como SMT-Solver para descubrirlos.
4. Faust: Desde una perspectiva empresarial, ¿qué opina de los servicios de auditoría relacionados con ZK?
Luis: El negocio de auditoría relacionado con ZK merece una atención a largo plazo. Hemos ido acumulando continuamente auditorías de ZK. Incluyendo nuestra auditoría posterior en el ecosistema de Bitcoin, también se debió a que descubrimos que el ecosistema de Bitcoin tiene una buena integración con ZK, mientras que la narrativa ZK Layer 2 del ecosistema Ethereum ha disminuido un poco, y la próxima ola de narrativas en la pista ZK Aún no se ha lanzado oficialmente, tal vez esté relacionado con FHE.
Por supuesto, no es ni demasiado pronto ni demasiado tarde para que entremos oficialmente en el campo de la auditoría ZK. Es más bien una etapa de atención y acumulación a largo plazo. A nivel empresarial, seguimos centrándonos en las dos cosas mencionadas anteriormente, una es zkCTF y la otra es zkScanner, que es la herramienta de detección de vulnerabilidades del circuito ZK mencionada anteriormente.
Wuyue: ¿Puedes presentarnos brevemente la actividad zkCTF?
Luis: Este es un CTF (Concurso de Captura de Seguridad de la Bandera) iniciado por nosotros relacionado con el campo ZK. Se lleva a cabo una vez al año y se invitará a participar a los mejores investigadores de seguridad de la industria. Trabajaremos con Scroll, EthStorage y el Sr. Guo Yu de Anbi Labs para formular preguntas a los concursantes. También hemos recibido un fuerte apoyo de instituciones como Ingonyama, zkMove y HashKey.
Hemos contado la lista de concursantes. Básicamente provienen de todo el mundo y su nivel es relativamente de primer nivel, incluyendo:
OpenZepplin, Offside, Salus, Amber Group, Sec3, etc., así como algunos estudiantes de doctorado en seguridad y ZK en Georgia Tech y Berkeley.
5. Faust: Me gustaría preguntarle la opinión de ScaleBit sobre el ecosistema de Bitcoin. Escuché que ha auditado más de 30 proyectos del ecosistema de Bitcoin antes.
Luis: Los más de 30 proyectos ecológicos de Bitcoin mencionados aquí incluyen proyectos ecológicos de segundo nivel o de segundo nivel, como UniSat, Arch Network, Merlin Chain, RGB++, B² Network, etc., así como Liquidium, etc. relacionados con la inscripción. Los proyectos runes y muchos otros proyectos son protocolos Defi dentro del ecosistema de segunda capa.
Con respecto a la opinión sobre la segunda capa de Bitcoin, estoy de acuerdo con la opinión anterior de Kevin He de Bitlayer, que es que la competencia de la segunda capa de Bitcoin se dividirá en tres etapas: la primera etapa es atraer TVL y la segunda. La etapa es atraer desarrolladores y la tercera etapa es atraer desarrolladores. Las tres etapas son la competencia de rutas técnicas. Creo que todavía estamos al final de la primera fase, o apenas estamos comenzando a competir por los desarrolladores y construir un ecosistema.
Faust: Cuando auditas proyectos en el ecosistema Bitcoin, ¿qué aspectos o indicadores revisas principalmente?
Luis: Si se refiere a Bitcoin Layer 2, lo dividimos en varias dimensiones. Por ejemplo, algunos tienen que revisar los scripts de estos proyectos en la cadena de Bitcoin y otros tienen que revisar los contratos implementados en Bitcoin Layer 2. Algunos objetos de auditoría son puentes entre cadenas o la capa inferior de la cadena. Es posible que algunas segundas capas no utilicen EVM. Hay trabajo de auditoría por realizar en estos niveles.
Principalmente observamos la superficie de ataque en el código de estos proyectos y vemos si tiene vulnerabilidades de varias dimensiones. Esto en realidad es muy complicado porque la segunda capa de Bitcoin es un sistema similar a una cadena pública. Todos veremos los puntos que deben inspeccionarse al auditar las cadenas públicas en la industria. Por ejemplo, si este proyecto tiene algunos ataques de doble gasto, ataques de eclipse, ataques de brujas, seguridad de dependencia externa, problemas de centralización, hombre en persona. ataques intermedios, etc., los veremos. Los requisitos específicos son muy detallados. Podemos hablar de este tema otro día.
Se debe decir que nuestras capacidades de auditoría de cadena en ScaleBit son al menos de primer nivel en Asia. Los miembros del equipo han descubierto vulnerabilidades en cadenas públicas famosas como Sui, OKX Chain, GalaChain y Nervos. Recientemente, también descubrieron un High y un. Bajo nivel en las lagunas jurídicas del concurso de auditoría pública de Babylon.
6. Faust: Según su experiencia en auditoría de seguridad, ¿el lugar más vulnerable para las vulnerabilidades de seguridad son los puentes entre cadenas? Hasta donde tengo entendido, muchos puentes entre cadenas son esencialmente extensiones de Defi, por lo que son tan vulnerables a los ataques como el protocolo Defi. ¿Qué opinas de esto?
Luis: En términos de frecuencia, es más probable que se pierda dinero en lugares relacionados con DeFi, pero en términos de cantidad, la mayor cantidad de dinero se perderá después de ser atacado al otro lado del puente. Si algo sale mal, habrá grandes pérdidas. problemas. Por supuesto, cuando hablo de DeFi, me refiero más al nivel del contrato. Siempre que haya un problema con el contrato del protocolo DeFi, se puede atacar y existen relativamente pocas medidas correctivas.
En cuanto a los puentes entre cadenas, de hecho son los que tienen más probabilidades de causar problemas, porque la cantidad de fondos generalmente asociados con los puentes entre cadenas es relativamente grande, y muchos de ellos usan firmas múltiples, lo que es fácil de alterar.
7. Faust: ¿Crees que las herramientas LLM como Chatgpt ayudarán a que funcione la auditoría de código o qué impacto tendrá?
Luis: En realidad es bastante útil, pero es más bien un papel auxiliar. A veces, los auditores miran algunos códigos y, para comprender rápidamente las funciones de estos códigos, usarán Chatgpt para analizar lo que probablemente hace el código. Por supuesto, esto es solo un asistente y, al final, depende de las personas determinarlo. muchos detalles.
Otro aspecto es la redacción de documentos e informes de auditoría, especialmente en inglés. Algunos auditores cuyo inglés no es muy nativo le pedirán a Chatgpt que pule estos documentos, lo cual es muy útil.
Pero desde la perspectiva de la auditoría, también estamos capacitando a algunos LLM específicos internamente, utilizando algunos modelos de lenguaje grandes de código abierto para la capacitación, pero actualmente solo son auxiliares. Aunque puede mejorar la eficiencia del trabajo, no podemos confiar completamente en la IA para la auditoría. Solo se dice que la eficiencia se puede mejorar en aproximadamente un 20%, pero aún está lejos de dar el paso de reducir el número de auditores a gran escala.
Ahora LLM todavía tiene dos deficiencias obvias: la primera es el problema de los falsos negativos y la segunda, los falsos positivos. Podemos usar LLM para extraer vulnerabilidades, pero debemos prestar atención a la tasa de falsos positivos. Si usa IA para ayudarlo a encontrar vulnerabilidades en el código, tendrá una alta tasa de falsos positivos, lo cual es una pérdida de tiempo. traerte equipaje. Pero continuaremos prestando atención al progreso de la IA, por ejemplo, si puede lograr una extracción eficiente de vulnerabilidades a nivel de herramienta. Esto todavía es relativamente vanguardista y todos todavía lo están explorando, pero no hemos visto a ninguna empresa decirlo. que realmente puede lograr el efecto anterior.
Wuyue: Con respecto a la auditoría automatizada de código de IA, ¿cree que será un tema central en el futuro? Según tengo entendido, la IA puede leer código casi instantáneamente, ha acumulado más experiencia y puede hacerlo de manera exhaustiva que los humanos. Esta es una gran ventaja de la IA. Si hay una empresa de seguridad que está muy involucrada en este campo, entrenando IA especializada para hacer auditorías automatizadas de código y superando a sus competidores, ¿qué opinas de esto?
Luis: Hemos estado prestando atención a esta dirección. Creo que debemos mirarla desde dos aspectos:
En el primer aspecto, si cree que realmente se puede establecer una auditoría automatizada de IA, surgirá una situación:
En teoría, LLM puede armonizar toda la industria de auditoría de código, porque si todos usan LLM para generar código y LLM puede garantizar que el código que genera no tenga problemas ni errores, entonces no es necesario realizar una auditoría. En ese momento, no solo mató a la industria de auditoría, sino también a los programadores. Pero es muy difícil lograr tal efecto.
Si pensamos que LLM puede matar a los auditores, debe ser más difícil que matar a los desarrolladores. Es mucho más difícil escribir código sin lagunas que simplemente implementar código que satisfaga las necesidades, por lo que creo que será más difícil para la IA eliminar a los auditores que reemplazar a los programadores.
Otro aspecto es que la IA no sólo aparece y acaba con las auditorías de seguridad, sino que primero logra avances en ciertas direcciones. Por ejemplo, como se mencionó anteriormente, la IA puede ayudarlo con la extracción de vulnerabilidades. Aunque no puede ayudarlo a encontrar todos los errores, puede ayudarlo a descubrir uno o dos tipos de problemas que pueden pasarse por alto mediante auditorías manuales. nos centramos en. .
8. Fausto: Me gustaría preguntarle nuevamente qué piensa del trabajo de auditoría en sí. Cuando se hace una auditoría, ¿qué incluye el proceso de trabajo específico? Esto no es tan simple como emitir un certificado. En el proceso de lectura del código, ¿ayudará al equipo del proyecto a optimizar el código?
Luis: Esto depende de las necesidades del cliente. A veces ayudaremos a los clientes a realizar algunas optimizaciones en su código original, como hacer que ciertas operaciones DeFi consuman menos gas.
En cuanto al proceso de auditoría, permítanme presentarlo brevemente. Tenemos al menos dos rondas de auditoría independientes: auditoría preliminar y reexamen. Durante la auditoría inicial, un grupo de personas realizará una auditoría por separado. parte necesita hacer modificaciones al código inicial; y luego ingresar al reexamen, la revisión hará que otro grupo de personas continúe realizando la inspección del código. El resultado final es que habrá al menos dos grupos de personas que realizarán una auditoría cruzada del código.
Hablando de diferencias con otras empresas de auditoría, ScaleBit es mejor para auditar empresas innovadoras. Nos gusta reclutar personas con experiencia en CTF (Security Capture the Flag) para realizar auditorías. Su capacidad de aprendizaje y comprensión de varios métodos de ataque son sólidas.
Además, nos diferenciamos de otras empresas de auditoría en que preferimos una ruta de auditoría boutique. Si el código que hemos auditado no detecta vulnerabilidades mayores o superiores, se reembolsará entre el 30% y el 50% de las tarifas. Esto es algo que otras empresas auditoras no se atreven a prometer.
9. Faust: Algunas personas piensan que las auditorías de seguridad en realidad analizan el respaldo de la marca, al igual que las agencias de calificación de Wall Street. El efecto Matthew en esta área es muy fuerte. Las empresas establecidas como Slow Mist tienen ventajas de ser las primeras en actuar, sus fosos son muy fuertes. y los recién llegados son muy fuertes. Es difícil competir con una potencia establecida como Slow Mist por el pastel. ¿Que piensas de eso?
Luis: Estoy parcialmente de acuerdo con este punto de vista, pero también depende de diferentes situaciones. Por ejemplo, dividimos a nuestros clientes en tres categorías según sus necesidades de auditoría: baja, media y alta. El proyecto de perros local es el nivel más bajo y el nivel superior es el proyecto de nivel medio, que es del tipo que tiene cierta fuerza pero no es un equipo estrella. El nivel más alto es el tipo de equipo estrella con una solidez financiera relativamente fuerte.
Hablemos primero del nivel más alto de clientes. Este nivel de clientes generalmente busca más de 2 o 3 empresas de auditoría y presta gran atención a la calidad de las auditorías de código. Es posible que primero encuentren algunas de las principales instituciones de auditoría del mundo, pero estas instituciones también tienen que lidiar con demasiados negocios y es posible que no puedan priorizar las necesidades de ciertos clientes. Por lo tanto, muchos equipos de proyectos estrella también encontrarán algunos menos conocidos. Las instituciones de auditoría con excelente calidad de auditoría las instituciones verificarán al mismo tiempo.
El tipo de clientes mencionado anteriormente son los favoritos de las empresas de auditoría porque son muy ricos, pero estos clientes también están muy preocupados por la calidad de la auditoría, por lo que normalmente encuentran varias empresas de auditoría. Siempre que tenga excelentes habilidades de auditoría, tendrá la oportunidad. oportunidad de contactar con ellos llegar a este tipo de clientes, por lo que este tipo de clientes es uno de nuestros principales grupos de clientes.
El segundo nivel son los clientes de cintura, que están "más preocupados por la calidad de la auditoría, pero no necesariamente tienen mucho dinero", pero tienen el potencial de convertirse en los mejores clientes en el futuro. Aunque esperan encontrar una agencia de auditoría estrella, es posible que no necesariamente puedan permitirse el dinero.
Sólo hay de 4 a 5 organizaciones en este círculo que realmente pueden llamarse "empresas de seguridad superiores", similares a OpenZeppelin y Trail of Bits. Todo el mundo sabe que estas instituciones son muy buenas, pero sus precios también son muy caros, que pueden ser de 3 a 10 veces más que los de las empresas de auditoría convencionales.
Los clientes que están por encima de la cintura acuden a las principales instituciones de auditoría, pero es posible que no las acepten. Por lo tanto, para los clientes de nivel inferior, en lugar de gastar todo su presupuesto en encontrar una firma de auditoría líder, es mejor darle el presupuesto a una institución de auditoría con excelente calidad de auditoría, o buscar múltiples auditorías. Este tipo de clientes es nuestro grupo más grande y también esperamos crecer con ellos.
El último tipo de cliente es el proyecto de gama baja mencionado anteriormente. Este tipo de cliente básicamente acude a quien sea más barato o gasta dinero para encontrar una agencia de auditoría reconocida para revisar el contrato.
Entonces, a partir de los puntos mencionados anteriormente, la afirmación que usted mencionó tiene sentido en su evaluación de la industria de la auditoría. Para las empresas de auditoría con más historia y mejor reputación, existe efectivamente un efecto Matthew, pero se puede ver que algunas empresas de auditoría antiguas, aunque son muy conocidas, han explotado miserablemente en los últimos años.
Sin embargo, como empresa auditora que surgió después, debe tener ventajas diferenciadas, por lo que nuestra estrategia es abrirse paso en un único punto:
Primero, corte una determinada pista segmentada y obtenga una ventaja absoluta. Por ejemplo, en el ecosistema Bitcoin Layer 2, nuestra tasa de cobertura actual ha superado el 50%, y nuestra tasa de cobertura en el ecosistema Move ha superado el 80%. Incluso las principales instituciones de auditoría como OpenZepplin pueden no poder cubrir estas pistas segmentadas y Let's PK. . Por tanto, el llamado "efecto Matthew" depende del entorno.
10.Faust: Desde su perspectiva personal, ¿cuál es la mayor diferencia entre la seguridad Web2 y Web3? Puedes hablar de ello basándose en tus experiencias pasadas.
Luis: En primer lugar, creo que la seguridad Web3 se encuentra en una etapa muy temprana en términos de desarrollo, y la seguridad Web3 debe tener un mercado más grande que la seguridad Web2, porque Web3 tiene requisitos de seguridad más estrictos.
Aquí les contaré una historia. Solía haber un ejecutivo chino en el círculo de seguridad de Silicon Valley. Una vez alcanzó el nivel de vicepresidente de una empresa que cotiza en bolsa en Silicon Valley. Dijo que hay principalmente dos círculos de chinos y judíos trabajando en seguridad en Silicon Valley. Entonces, ¿por qué los chinos pueden hacer un trabajo tan bueno en materia de seguridad? Porque la industria de la seguridad es una industria típica que no tiene sentido de existencia en tiempos normales y tiene que asumir la culpa cuando algo sale mal. Ni los indios ni los blancos están dispuestos a hacerlo. así que aparece el mensaje chino. Esto es correcto para Web2 Security Company;
Pero la seguridad de Web3 es diferente. Debido a que blockchain se ocupa directamente del dinero, la presencia de seguridad de Web3 es mucho mayor. Además, en este campo, muchos "practicantes de seguridad" pueden monetizar directamente. La transformación de Web2 a Web3 son piratas informáticos.
Desde una perspectiva técnica, el contenido de seguridad de Web3 incluye la parte de seguridad de Web2 y reutiliza muchas tecnologías de este último. Hay muchos sistemas ahora. Por ejemplo, muchas aplicaciones DeFi tienen servidores e interfaces, que también requieren pruebas de penetración tradicionales, defensa DoS, etc., que en realidad forman parte de la seguridad Web2.
