Pewawancara: Faust, Wuyue, Geek Web3
Orang yang diwawancarai: Luis, ScaleBit
Editor: Faust, Jomosis
Pada tanggal 1 Juli, Geek Web3 mengundang Luis dari ScaleBit, sebuah perusahaan audit keamanan Web3, untuk menjawab banyak pertanyaan tentang audit kode dan keamanan Web3. Selama periode tersebut, kedua pihak membahas audit kode dan keamanan Web3 serta ZK, AI, ekologi Bitcoin, dll. dari perspektif komersial dan teknis.
Mengapa ScaleBit awalnya memilih arah keamanan Web3 dan mengakar di ekosistem MOVE;
Divisi logika bisnis dan hierarki pelanggan dalam industri audit kode;
Perbedaan dan hubungan antara keamanan Web3 dan keamanan Web2;
Apa saja komplikasi dari audit sirkuit ZK dan upaya apa yang telah dilakukan Scalebit untuk hal ini;
Pandangan terhadap ekosistem Bitcoin dan lapisan kedua dari perspektif operasional dan teknis;
Dampak dan bantuan alat AI seperti Chatgpt pada industri audit kode;
Artikel ini adalah versi teks dari wawancara ini, sekitar 7.000 kata. Selama periode ini, Luis menggunakan pengalamannya sendiri untuk melakukan ilmu pengetahuan populer yang relatif rinci tentang banyak masalah di industri keamanan Web3. Bagi mereka yang belum mengetahui tentang keamanan Web3 dan industri audit kode, artikel ini akan menjadi kesempatan bagus untuk mempelajari tentang organisasi audit. Sangat disarankan untuk membaca, mengumpulkan, dan meneruskannya.
1. Faust: Pertanyaan pertama yang ingin saya tanyakan adalah tentang arah kewirausahaan. Ketika ScaleBit pertama kali didirikan, mengapa ia memilih keamanan Web3?
Luis: Kami awalnya fokus pada keamanan Web3 karena alasan berikut:
Pertama, banyak orang di tim kami memasuki lingkaran blockchain dari Silicon Valley relatif lebih awal, dan mereka berharap menemukan kebutuhan pengguna jangka panjang dan stabil. Audit kode merupakan jalur kelangsungan hidup yang sangat mendasar dan berjangka panjang, jadi kami memilih arah ini Dan yang lebih kami harapkan adalah menjadi perusahaan keamanan yang disegani oleh industri.
Kedua, kami percaya bahwa keamanan Web3 berada pada tahap yang sangat awal, namun masalah keamanan di Web3 jauh lebih penting daripada keamanan Internet tradisional, karena keamanan Web3 berhubungan langsung dengan aset keuangan dan tentunya lebih berharga daripada keamanan Internet tradisional.
Meskipun beberapa orang sekarang percaya bahwa batas atas bisnis yang terkait dengan audit kontrak terbatas, pada kenyataannya, selain audit kontrak, keamanan Web3 memiliki lebih banyak bisnis baru yang bermunculan, dan berbagai tuntutan baru akan terus bermunculan, sehingga kami merasa bahwa keamanan/kode Web3 Masih sangat bagus untuk mengaudit trek ini.
Ketiga, latar belakang anggota tim kami banyak yang tumpang tindih dengan audit kode/keamanan blockchain. Kami telah mengumpulkan banyak pengalaman di industri keamanan. Saya adalah anggota pendiri perusahaan keamanan blockchain lainnya. Kepala ilmuwan kami, Tuan Chen Ting, juga telah melakukan penelitian tentang keamanan blockchain dan merupakan pakar di bidang keamanan Web3 para profesor telah mengumpulkan pengalaman, dan anggota lainnya juga memiliki latar belakang dalam keamanan pertukaran, verifikasi formal, dan analisis statis.
Karena alasan tersebut, kami akhirnya memilih jalur keamanan Web3.
2. Faust: Saya dengar ScaleBit awalnya bernama MoveBit, tetapi kemudian mereknya ditingkatkan menggunakan nama ScaleBit. Bisakah Anda memberi tahu kami mengapa Anda pertama kali memilih ekosistem Move, dan mengapa Anda kemudian mengubah namanya?
Luis: Ini sebenarnya adalah peningkatan merek kami. Merek induknya adalah BitsLab - kami menggunakan tiga sub-merek MoveBit, ScaleBit dan TonBit. Ini adalah strategi multi-merek posisi keseluruhannya adalah keamanan dan infrastruktur dalam ekologi yang sedang berkembang.
Mengenai alasan awalnya kami memilih ekosistem Move, ada sedikit cerita: Hampir pada tahun 2022, ketika kami memasuki arah audit keamanan, kami menghabiskan waktu tiga bulan untuk meneliti subdivisi yang paling cocok untuk budidaya mendalam. Pada saat itu, kami percaya bahwa jika kami ingin menjadi perusahaan keamanan kategori penuh, akan sulit untuk menyalip pesaing di pasar, jadi kami harus mencari jalur tersendiri untuk masuk.
Kami sudah membahas beberapa arah, salah satunya adalah Move, lalu ZK. Selain itu, kami juga telah menyusun ide untuk membuat brand audit vertikal, seperti fokus pada GameFi atau jenis bisnis tertentu untuk menerobos pada satu titik. Kemudian, kami menggabungkan berbagai faktor. Saya memilih ekosistem Move.
Saat itu, kami hanya berjumlah tujuh atau delapan orang, dan kami relatif sukses di ekosistem Move. Sekitar 80% hingga 90% dari 20 proyek TVL teratas di ekosistem Move telah kami audit. Kami juga mengaudit komponen rantai penting yang mendasarinya seperti MoveVM dan Kerangka Aptos, dan juga menemukan banyak kerentanan rantai yang mendasarinya. Jadi di jalur Move, kami punya pangsa pasar yang tinggi.
Kami juga saat ini mengambil alih bisnis audit kode di ekosistem Move, yang saat ini menyumbang sekitar 50% pendapatan kami dan sekitar 40% beban kerja audit kami. Karena ekosistem Move memiliki lebih banyak pelanggan luar negeri dengan kebutuhan audit kode, harga satuan bisnis jenis ini akan lebih tinggi.
Saat ini, TonBit terutama melakukan audit ekologi Ton, dan ScaleBit melakukan ekologi BTC Layer2, ZK, dan ekologi baru lainnya. Posisi kami secara keseluruhan di BitsLab adalah fokus pada ekosistem yang sedang berkembang dan ekosistem dengan potensi Adopsi Massal.
3. Faust: Saya ingin bertanya tentang ZK. Pekerjaan audit terkait ZK sangat merepotkan. Vitalik juga mengatakan sebelumnya bahwa sirkuit sistem seperti zkEVM terlalu rumit. Bahkan dengan pengujian atau audit fungsional, masih belum ada jaminan bahwa tidak akan ada masalah dengan sirkuit. Bisakah Anda membicarakan hal ini berdasarkan pengalaman Anda sendiri?
Luis: Audit terkait ZK dibagi menjadi banyak aspek, yang sebagian besar dibagi menjadi audit sirkuit, audit bahasa sumber, dan audit komputasi umum terlebih dahulu.
Kesulitan utama dalam audit sirkuit adalah bahwa kode sirkuit memiliki keterbacaan yang buruk dibandingkan dengan bahasa pemrograman tradisional; dan ekologi yang terkait dengan bahasa sirkuit sangat terfragmentasi. Saat ini, mungkin ada lebih dari selusin bahasa dan kerangka kerja untuk menulis sirkuit. diantaranya Termasuk Circom, Halo2, Artwork, Bellman, dll, sehingga saat ini belum ada standar terpadu untuk penulisan sirkuit.
Jelas sekali, pada dasarnya tidak mungkin bagi lembaga keamanan mana pun untuk mahir dalam semua bahasa sirkuit pada saat yang bersamaan. Oleh karena itu, kami memasuki bidang ZK secara selektif. Saat ini, kami terutama melakukan dua hal di jalur ZK. Salah satunya adalah menyelenggarakan ZK Security Capture the Flag Competition (zkCTF) dengan Scroll, EthStorage, dan Mr. Guo Yu dari Ambi Labs tahun. Kompetisi ini terutama diadakan untuk menumbuhkan lebih banyak talenta keamanan ZK.
Hal lainnya adalah kami membuat alat pendeteksi kerentanan - zkScanner, yang terutama menggunakan beberapa metode analisis formal dan statis untuk memindai kerentanan pada sirkuit ZK. Setelah zkScanner memindai sirkuit terlebih dahulu, ia akan menemukan beberapa titik mencurigakan, dan kemudian menyerahkannya ke konfirmasi manual, yang dapat digunakan sebagai pelengkap audit manual. Tentu saja, alat audit otomatis ini tidak dapat sepenuhnya menggantikan audit manual, namun masih relatif efektif dalam menemukan beberapa kendala yang lebih tersembunyi, yaitu masalah kendala.
Wuyue: Apakah alat audit otomatis yang Anda sebutkan mirip dengan alat deteksi statis yang mendeteksi Token ERC-20?
Luis: Kurang lebih seperti itu tapi kurang tepat. Alur kerjanya serupa: kode statis dipindai dan lokasi serta penyebab kerentanan diberikan. Perbedaannya adalah kesalahan-kesalahan yang menjadi fokus rangkaian pada dasarnya terbagi menjadi dua kategori, yaitu Under-Constrain dan Over-Constrain; pada saat yang sama, analisis leksikal biasa sulit menemukan kesalahan-kesalahan tersebut.
Wuyue: Kalau bicara tentang Constraint agak abstrak, bisakah Anda memberikan contohnya seperti apa?
Luis: Saya pikir kita bisa melihat ini dari samping. Intinya, rangkaian ini sebenarnya lebih merupakan ekspresi matematis daripada bahasa kontrak pintar. Pada akhirnya, rangkaian ini perlu diubah menjadi R1CS, yang dapat dipahami sebagai ekspresi polinomial murni. Oleh karena itu, beberapa masalah yang mungkin terjadi dalam prosedur konvensional relatif jarang terjadi di sirkuit.
Karena rangkaian sebenarnya "sempurna", setiap rangkaian perlu menggunakan input dan output yang benar untuk menghasilkan bukti yang sesuai. Jika terdapat kesalahan pada rangkaian, maka rangkaian tersebut tidak akan lolos kompilasi. Hal ini memastikan bahwa hasil perhitungan rangkaian harus “benar”. Tapi "benar" saja tidak cukup untuk sirkuit. Sirkuit harus "benar" dalam semua situasi, yang mengarah ke dua masalah kendala sebelumnya.
Jika Over Constraint, beberapa input yang memenuhi persyaratan tidak akan dapat melewati rangkaian; jika Under Constraint, input yang tidak memenuhi persyaratan akan menjadi sesuai, yang merupakan masalah fatal.
Wuyue: Jadi masalah ini tidak dapat ditemukan oleh kompiler. Masalah ini merupakan prasyaratnya sendiri sebelum merancang sirkuit.
Luis: Ya, karena masalah ini tidak sepenuhnya gramatikal, ini juga melibatkan niat pengembang dan beberapa konvensi umum dalam kriptografi. Secara khusus, masalah ini sering kali memerlukan penggunaan alat formal seperti SMT-Solver untuk menemukannya.
4. Faust: Dari sudut pandang bisnis, apa pendapat Anda tentang layanan audit terkait ZK?
Luis: Bisnis audit terkait ZK patut mendapat perhatian jangka panjang. Termasuk audit kami selanjutnya di ekosistem Bitcoin, itu juga karena kami menemukan bahwa ekosistem Bitcoin memiliki integrasi yang baik dengan ZK, sementara narasi ZK Layer 2 dari ekosistem Ethereum agak surut, dan gelombang narasi berikutnya di jalur ZK belum diluncurkan secara resmi, mungkin terkait dengan FHE.
Tentu saja, belum terlalu dini atau terlambat bagi kami untuk resmi memasuki bidang audit ZK. Ini lebih merupakan tahap perhatian jangka panjang dan akumulasi jangka panjang. Di tingkat bisnis, kami terus fokus pada dua hal yang disebutkan sebelumnya, satu adalah zkCTF, dan yang lainnya adalah zkScanner, yaitu alat pendeteksi kerentanan sirkuit ZK yang disebutkan di atas.
Wuyue: Bisakah Anda memperkenalkan secara singkat aktivitas zkCTF?
Luis: Ini adalah CTF (Security Capture the Flag Competition) yang kami prakarsai terkait dengan bidang ZK. Ini diadakan setahun sekali. Peneliti keamanan terkemuka di industri dan peneliti ZK akan diundang untuk berpartisipasi. Kami akan bekerja dengan Scroll, EthStorage, dan Mr. Guo Yu dari Anbi Labs untuk mengajukan pertanyaan bagi para kontestan. Kami juga telah menerima dukungan kuat dari institusi seperti Ingonyama, zkMove, dan HashKey.
Kami telah menghitung daftar kontestannya, mereka pada dasarnya berasal dari seluruh dunia dan level mereka relatif unggul, antara lain:
OpenZepplin, Offside, Salus, Amber Group, Sec3, dll., serta beberapa mahasiswa keamanan dan PhD ZK di Georgia Tech dan Berkeley.
5. Faust: Saya ingin menanyakan pandangan ScaleBit tentang ekosistem Bitcoin. Saya mendengar bahwa Anda telah mengaudit lebih dari 30 proyek ekosistem Bitcoin sebelumnya.
Luis: Lebih dari 30 proyek ekologi Bitcoin yang disebutkan di sini termasuk proyek ekologi tingkat kedua atau kedua, seperti UniSat, Arch Network, Merlin Chain, RGB++, B² Network, dll., serta Liquidium, dll. yang terkait dengan prasasti proyek rune, dan banyak proyek lainnya merupakan protokol Defi dalam ekosistem lapisan kedua.
Mengenai pandangan Bitcoin lapis kedua, saya setuju dengan pandangan Kevin He dari Bitlayer sebelumnya, yaitu persaingan Bitcoin lapis kedua akan dibagi menjadi tiga tahap tahapnya adalah menjaring pengembang, dan tahap ketiga adalah menjaring pengembang. Ketiga tahap tersebut adalah kompetisi jalur teknis. Saya rasa kita masih berada di akhir fase pertama, atau baru mulai bersaing untuk mendapatkan pengembang dan membangun ekosistem.
Faust: Saat Anda mengaudit proyek di ekosistem Bitcoin, pada tingkat apa Anda meninjau proyek tersebut, atau berdasarkan indikator apa?
Luis: Jika mengacu pada Bitcoin Layer 2, kami membaginya menjadi beberapa dimensi. Misalnya, beberapa harus meninjau skrip proyek ini di rantai Bitcoin, dan beberapa harus meninjau kontrak yang diterapkan pada Bitcoin Layer 2. Beberapa objek audit merupakan jembatan lintas rantai atau lapisan terbawah rantai. Beberapa lapisan kedua mungkin tidak menggunakan EVM. Ada pekerjaan audit yang harus dilakukan pada tingkat ini.
Kami terutama melihat permukaan serangan dalam kode proyek ini dan melihat apakah proyek tersebut memiliki kerentanan dari berbagai dimensi. Ini sebenarnya sangat rumit karena lapisan kedua Bitcoin adalah sistem yang mirip dengan rantai publik. Kita semua akan melihat poin-poin yang perlu diperiksa ketika mengaudit rantai publik di industri. Misalnya, apakah proyek ini memiliki beberapa serangan pembelanjaan ganda, serangan gerhana, serangan penyihir, keamanan ketergantungan eksternal, masalah sentralisasi, man-in-in-. serangan tengah, dll., kita semua harus melihatnya. Persyaratan spesifiknya sangat rinci. Kita bisa membicarakan topik ini di lain hari.
Kemampuan audit rantai kami di ScaleBit harus dikatakan setidaknya yang terbaik di Asia. Anggota tim telah menambang kerentanan di rantai publik terkenal seperti Sui, OKX Chain, GalaChain, dan Nervos Tingkat rendah dalam kompetisi audit publik Babel.
6. Faust: Berdasarkan pengalaman Anda dalam audit keamanan, apakah tempat yang paling rentan terhadap kerentanan keamanan adalah jembatan lintas rantai? Sejauh yang saya pahami, banyak jembatan lintas rantai yang pada dasarnya merupakan perpanjangan dari Defi, sehingga rentan terhadap serangan seperti protokol Defi. Apa pendapat Anda tentang ini?
Luis: Dari segi frekuensi, uang kemungkinan besar akan hilang di tempat-tempat yang terkait dengan DeFi, tetapi dari segi jumlah, jumlah uang terbesar akan hilang setelah diserang di seberang jembatan masalah. Tentu saja, ketika saya berbicara tentang DeFi, saya lebih mengacu pada tingkat kontrak. Selama ada masalah dengan kontrak protokol DeFi, maka kontrak tersebut dapat diserang, dan tindakan perbaikannya relatif sedikit.
Sedangkan untuk cross-chain bridge memang yang paling mungkin menimbulkan masalah, karena jumlah dana yang biasanya terkait dengan cross-chain bridge relatif besar, dan banyak juga yang menggunakan multi-signature sehingga mudah untuk dikacaukan.
7. Faust: Apakah menurut Anda alat LLM seperti Chatgpt akan membantu pekerjaan audit kode, atau seberapa besar dampaknya?
Luis: Sebenarnya cukup membantu, tapi lebih ke peran pembantu. Terkadang auditor melihat beberapa kode. Untuk memahami fungsi kode-kode ini dengan cepat, mereka akan menggunakan Chatgpt untuk menganalisis apa yang mungkin dilakukan kode tersebut.
Aspek lainnya adalah penulisan dokumen dan laporan audit, terutama penulisan dalam bahasa Inggris. Beberapa auditor yang bahasa Inggrisnya tidak terlalu fasih akan meminta Chatgpt untuk memoles dokumen-dokumen ini, yang cukup membantu.
Namun dari sudut pandang audit, kami juga melatih beberapa LLM tertentu secara internal, menggunakan beberapa model bahasa open source besar untuk pelatihan, namun saat ini model tersebut hanya bersifat tambahan. Meskipun dapat meningkatkan efisiensi kerja, kami sama sekali tidak dapat sepenuhnya mengandalkan AI untuk audit. Efisiensinya hanya dikatakan bisa ditingkatkan sekitar 20%, namun masih jauh dari langkah pengurangan jumlah auditor secara besar-besaran.
Sekarang LLM masih memiliki dua kekurangan yang jelas. Yang pertama adalah masalah false negative, dan yang kedua adalah false positif. Kita dapat menggunakan LLM untuk melakukan penambangan kerentanan, tetapi kita harus memperhatikan tingkat positif palsu. Jika Anda menggunakan AI untuk membantu Anda menemukan kerentanan kode, tingkat positif palsunya akan tinggi, yang hanya membuang-buang waktu dan kemauan Anda. membawa beban. Namun kami akan terus memperhatikan kemajuan AI, seperti apakah AI dapat mencapai penambangan kerentanan yang efisien di tingkat alat. Ini masih relatif mutakhir dan semua orang masih mengeksplorasinya, namun kami belum melihat ada perusahaan yang mengatakannya bahwa itu benar-benar dapat mencapai Efek di atas.
Wuyue: Mengenai audit kode otomatis AI, menurut Anda apakah ini akan menjadi fokus di masa depan? Menurut pemahaman saya, AI dapat membaca kode hampir secara instan, dan ia telah mengumpulkan lebih banyak pengalaman dan dapat membaca kode secara mendalam dibandingkan manusia. Ini adalah keuntungan besar dari AI. Jika ada perusahaan keamanan yang sangat terlibat dalam bidang ini, melatih AI khusus untuk melakukan audit kode otomatis dan mengungguli pesaingnya, apa pendapat Anda tentang hal ini?
Luis: Kami telah memperhatikan arah ini. Saya rasa kami perlu melihatnya dari dua aspek:
Pada aspek pertama, jika menurut Anda audit otomatis AI benar-benar dapat dilakukan, situasi akan muncul:
Secara teori, LLM dapat menyelaraskan seluruh industri audit kode, karena jika semua orang menggunakan LLM untuk menghasilkan kode, LLM dapat memastikan bahwa kode yang dihasilkannya tidak ada masalah atau bug, maka Anda tidak perlu melakukan audit. Saat ini, dia tidak hanya membunuh industri audit, tetapi juga programmer. Tetapi mencapai efek seperti itu sangat sulit.
Jika kita berpikir bahwa LLM dapat membunuh auditor, hal ini pasti lebih sulit daripada membunuh pengembang. Jauh lebih sulit menulis kode tanpa celah daripada sekadar mengimplementasikan kode yang memenuhi kebutuhan, jadi menurut saya akan lebih sulit bagi AI untuk menghilangkan auditor daripada mengganti pemrogram.
Aspek lainnya adalah AI tidak hanya muncul dan menghentikan audit keamanan, namun membuat terobosan ke arah tertentu terlebih dahulu. Misalnya, seperti yang disebutkan sebelumnya, AI dapat membantu Anda dalam penambangan kerentanan. Meskipun tidak dapat membantu Anda menemukan semua bug, AI dapat membantu Anda menggali satu atau dua jenis masalah yang mungkin diabaikan oleh audit manual seperti ini kami fokus pada.
8. Faust: Saya ingin bertanya lagi apa pendapat Anda tentang pekerjaan audit itu sendiri. Saat Anda melakukan audit, apa saja yang termasuk dalam proses kerja spesifiknya? Ini tidak sesederhana menerbitkan sertifikat. Dalam proses membaca kode, apakah Anda akan membantu tim proyek mengoptimalkan kode?
Luis: Ini bergantung pada kebutuhan pelanggan. Terkadang kami akan membantu pelanggan melakukan beberapa pengoptimalan pada kode aslinya, seperti membuat operasi DeFi tertentu mengonsumsi lebih sedikit bahan bakar.
Mengenai proses audit, izinkan saya memperkenalkannya secara singkat. Kami memiliki setidaknya dua putaran audit independen: audit pendahuluan dan pemeriksaan ulang. Selama audit awal, sekelompok orang melakukan audit terpisah perlu melakukan modifikasi pada kode awal; dan kemudian memasukkan pemeriksaan ulang, peninjauan akan membuat sekelompok orang lain terus melakukan pemeriksaan kode. Hasil akhirnya adalah setidaknya akan ada dua kelompok orang yang mengaudit silang kode tersebut.
Berbicara tentang perbedaan dari perusahaan audit lainnya, ScaleBit adalah yang terbaik dalam mengaudit bisnis inovatif. Kami suka merekrut orang-orang dengan latar belakang CTF (Security Capture the Flag) untuk melakukan audit. Kemampuan belajar dan pemahaman mereka tentang berbagai metode serangan sangat kuat.
Selain itu, kami berbeda dari perusahaan audit lain karena kami lebih memilih jalur audit butik. Jika kode yang kami audit tidak memenuhi kerentanan Mayor dan di atas, 30% hingga 50% biaya akan dikembalikan. Ini adalah sesuatu yang tidak berani dijanjikan oleh perusahaan audit lain.
9. Faust: Beberapa orang berpikir bahwa audit keamanan sebenarnya melihat dukungan merek, sama seperti lembaga pemeringkat Wall Street. Efek Matthew di bidang ini sangat kuat. Perusahaan mapan seperti Slow Mist memiliki keunggulan sebagai penggerak pertama, parit mereka sangat kuat, dan pendatang baru sangat kuat. Sulit untuk bersaing dengan pembangkit tenaga listrik mapan seperti Slow Mist untuk mendapatkan kuenya. Apa yang kamu pikirkan tentang itu?
Luis: Saya sebagian setuju dengan sudut pandang ini, tapi itu juga tergantung pada situasi yang berbeda. Misalnya, kami membagi klien kami menjadi tiga kategori sesuai dengan kebutuhan auditnya, yaitu rendah, menengah, dan tinggi. Proyek anjing lokal adalah level terendah, dan level atas adalah proyek level menengah, yaitu jenis yang memiliki kekuatan tertentu tetapi bukan tim bintang. Level tertinggi adalah jenis tim bintang dengan kekuatan finansial yang relatif kuat.
Mari kita bicara tentang pelanggan tingkat tertinggi terlebih dahulu. Pelanggan tingkat ini biasanya mencari lebih dari 2 hingga 3 perusahaan audit dan sangat memperhatikan kualitas audit kode. Mereka mungkin pertama kali menemukan beberapa lembaga audit terkemuka di dunia, namun lembaga-lembaga ini juga harus berurusan dengan terlalu banyak bisnis dan mungkin tidak dapat memprioritaskan kebutuhan pelanggan tertentu. Oleh karena itu, banyak tim proyek bintang juga akan menemukan beberapa yang kurang terkenal lembaga audit dengan kualitas audit yang sangat baik. Lembaga akan melakukan pemeriksaan pada saat yang bersamaan.
Jenis klien yang disebutkan di atas adalah favorit perusahaan audit karena mereka sangat kaya, tetapi klien ini juga sangat memperhatikan kualitas audit, sehingga mereka biasanya menemukan banyak perusahaan audit selama Anda memiliki keterampilan audit yang sangat baik, Anda akan memilikinya kesempatan untuk menghubungi mereka. Jangkau pelanggan jenis ini, jadi pelanggan jenis ini adalah salah satu kelompok pelanggan utama kami.
Tingkat kedua adalah pelanggan kelas menengah, yang “lebih mementingkan kualitas audit, namun belum tentu punya banyak uang”, namun berpotensi menjadi pelanggan teratas di masa depan. Meskipun mereka berharap menemukan lembaga audit yang terkenal, mereka belum tentu mampu membayar uangnya.
Hanya ada 4 hingga 5 organisasi di lingkaran ini yang benar-benar dapat disebut sebagai "perusahaan keamanan teratas", mirip dengan OpenZeppelin dan Trail of Bits. Semua orang tahu bahwa lembaga-lembaga ini sangat bagus, tetapi harganya juga sangat mahal, mungkin 3-10 kali lipat dari harga perusahaan audit konvensional.
Klien yang berada di atas pinggang pergi ke lembaga audit teratas, tetapi mereka mungkin tidak menerimanya. Oleh karena itu, bagi pelanggan low-end, daripada menghabiskan seluruh anggarannya untuk mencari kantor audit terkemuka, lebih baik memberikan anggaran tersebut kepada lembaga audit dengan kualitas audit yang sangat baik, atau mencari beberapa audit. Pelanggan jenis ini adalah kelompok terbesar kami, dan kami juga berharap dapat berkembang bersama mereka.
Jenis pelanggan terakhir adalah proyek kelas bawah yang disebutkan di atas. Pelanggan jenis ini pada dasarnya pergi ke siapa pun yang lebih murah, atau mengeluarkan uang untuk mencari lembaga audit terkenal untuk meninjau kontrak.
Jadi dari poin-poin yang disebutkan di atas, pernyataan yang Anda sebutkan masuk akal dalam penilaian Anda terhadap industri audit. Untuk perusahaan audit dengan lebih banyak sejarah dan reputasi yang lebih baik, memang ada efek Matthew, tetapi Anda dapat melihat bahwa beberapa perusahaan audit lama, meskipun terkenal, telah meledak secara menyedihkan dalam beberapa tahun terakhir.
Namun sebagai perusahaan audit yang muncul belakangan, pasti memiliki keunggulan yang berbeda, sehingga strategi kami adalah melakukan terobosan pada satu titik:
Potong segmen trek tertentu terlebih dahulu dan dapatkan keunggulan absolut. Misalnya, di ekosistem Bitcoin Layer 2, tingkat cakupan kami saat ini telah melampaui 50%, dan tingkat cakupan kami di ekosistem Move telah melampaui 80%. Bahkan lembaga audit terkemuka seperti OpenZepplin mungkin tidak dapat mencakup jalur tersegmentasi ini dan Let's PK . Jadi apa yang disebut "Efek Matius" bergantung pada lingkungan.
10.Faust: Dari sudut pandang pribadi Anda, apa perbedaan terbesar antara keamanan Web2 dan web3? Anda dapat membicarakannya berdasarkan pengalaman masa lalu Anda.
Luis: Pertama-tama, saya merasa keamanan Web3 masih dalam tahap awal pengembangan, dan keamanan Web3 harus memiliki pasar yang lebih besar daripada keamanan Web2, karena Web3 memiliki persyaratan keamanan yang lebih kuat.
Di sini saya akan menceritakan sebuah kisah kepada Anda: Dulu ada seorang eksekutif Tiongkok di lingkaran keamanan Silicon Valley. Dia pernah mencapai level VP sebuah perusahaan yang terdaftar di Silicon Valley. Dia mengatakan bahwa ada dua kalangan, yaitu orang Tionghoa dan Yahudi yang bekerja di bidang keamanan di Silicon Valley. Lalu mengapa Tiongkok bisa melakukan pekerjaan dengan baik di bidang keamanan? Karena industri keamanan adalah industri tipikal yang tidak memiliki rasa kehadiran pada saat-saat biasa dan akan disalahkan ketika terjadi kesalahan. Baik orang India maupun orang kulit putih tidak mau melakukannya , jadi orang Cina telah muncul. Ini benar. Untuk Perusahaan Keamanan Web2;
Tapi keamanan Web3 berbeda. Karena blockchain berhubungan langsung dengan uang, kehadiran keamanan Web3 jauh lebih besar. Terlebih lagi, di bidang ini, banyak "praktisi keamanan" yang bisa langsung menghasilkan uang transformasi dari Web2 ke Web3 adalah peretas.
Dari sudut pandang teknis, konten keamanan Web3 mencakup bagian keamanan Web2 dan menggunakan kembali banyak teknologi Web2. Ada banyak sistem sekarang. Misalnya, banyak aplikasi DeFi yang memiliki server dan antarmuka, yang juga memerlukan pengujian penetrasi tradisional, pertahanan DoS, dll., yang sebenarnya merupakan bagian dari keamanan Web2.
