Prowadzący wywiad: Faust, Wuyue, Geek Web3
Rozmówca: Luis, ScaleBit
Redakcja: Faust, Jomosis
1 lipca Geek Web3 zaprosił Luisa ze ScaleBit, firmy zajmującej się audytem bezpieczeństwa Web3, aby odpowiedział na wiele pytań dotyczących audytu kodu i bezpieczeństwa Web3. W tym okresie obie strony omawiały audyt kodu i bezpieczeństwo Web3, a także ZK, sztuczną inteligencję, ekologię Bitcoin itp. z komercyjnego i technicznego punktu widzenia. Poruszane kwestie obejmowały:
Dlaczego ScaleBit początkowo wybrał kierunek bezpieczeństwa Web3 i zapuścił korzenie w ekosystemie MOVE;
Podział logiki biznesowej i hierarchii klientów w branży audytu kodu;
Różnica i związek pomiędzy bezpieczeństwem Web3 i bezpieczeństwem Web2;
Jaka jest złożoność audytu obwodu ZK i jakie wysiłki poczynił w tym celu Scalebit;
Poglądy na ekosystem Bitcoin i drugą warstwę z perspektywy operacyjnej i technicznej;
Wpływ i pomoc narzędzi AI, takich jak Chatgpt, na branżę audytu kodu;
Ten artykuł jest tekstową wersją tego wywiadu, liczącą około 7 000 słów. W tym okresie Luis wykorzystał własne doświadczenia do przeprowadzenia stosunkowo szczegółowego popularnonaukowego wywiadu na temat wielu zagadnień w branży bezpieczeństwa Web3. Dla tych, którzy nie mają pojęcia o bezpieczeństwie Web3 i branży audytu kodu, ten artykuł będzie świetną okazją do poznania organizacji audytu. Zdecydowanie zaleca się jego przeczytanie, zebranie i przekazanie dalej.
1. Faust: Pierwsze pytanie, które chcę zadać, dotyczy kierunku przedsiębiorczości. Kiedy po raz pierwszy założono firmę ScaleBit, dlaczego wybrała zabezpieczenia Web3?
Luis: Początkowo skupiliśmy się na bezpieczeństwie Web3 z następujących powodów:
Po pierwsze, wiele osób w naszym zespole stosunkowo wcześnie weszło do kręgu blockchain z Doliny Krzemowej i mają nadzieję znaleźć długoterminowe i stabilne potrzeby użytkowników. Audyt kodu okazuje się bardzo podstawową i długoterminową ścieżką przetrwania, dlatego wybraliśmy ten kierunek Mamy nadzieję, że staniemy się firmą ochroniarską, szanowaną w branży.
Po drugie, wierzymy, że bezpieczeństwo Web3 jest na bardzo wczesnym etapie, jednak kwestie bezpieczeństwa w Web3 są znacznie ważniejsze niż tradycyjne bezpieczeństwo w Internecie, ponieważ to pierwsze wiąże się bezpośrednio z aktywami finansowymi i jest zdecydowanie cenniejsze niż tradycyjne bezpieczeństwo w Internecie.
Chociaż niektórzy uważają obecnie, że pułap biznesowy związany z audytem umów jest ograniczony, w rzeczywistości oprócz audytu kontraktów w związku z bezpieczeństwem Web3 pojawia się więcej nowych firm i w dalszym ciągu będą pojawiać się różne nowe wymagania, dlatego uważamy, że bezpieczeństwo/kod Web3 Nadal bardzo dobrze jest przesłuchać ten utwór.
Po trzecie, doświadczenie członków naszego zespołu w dużym stopniu pokrywa się z audytem kodu/bezpieczeństwem blockchain. Zgromadziliśmy duże doświadczenie w branży zabezpieczeń. Byłem członkiem-założycielem innej firmy zajmującej się bezpieczeństwem blockchain. Nasz główny naukowiec, pan Chen Ting, również prowadził badania na temat bezpieczeństwa blockchain i jest ekspertem w dziedzinie bezpieczeństwa Web3 profesorowie zgromadzili doświadczenie, a pozostali członkowie również mają wiedzę z zakresu bezpieczeństwa dewizowego, weryfikacji formalnej i analizy statycznej.
Z tych powodów ostatecznie wybraliśmy ścieżkę bezpieczeństwa Web3.
2. Faust: Słyszałem, że ScaleBit pierwotnie nazywał się MoveBit, ale później marka została zaktualizowana i zaczęła używać nazwy ScaleBit. Czy możesz nam powiedzieć, dlaczego początkowo wybrałeś ekosystem Move i dlaczego później zmieniłeś nazwę?
Luis: To właściwie aktualizacja naszej marki. Marką macierzystą jest BitsLab – używamy trzech podmarek MoveBit, ScaleBit i TonBit. Jest to strategia obejmująca wiele marek. Rozszerzyliśmy także ekosystem Move na więcej ekosystemów ogólne pozycjonowanie było To bezpieczeństwo i infrastruktura w powstającej ekologii.
Jeśli chodzi o to, dlaczego pierwotnie wybraliśmy ekosystem Move, jest taka krótka historia: prawie w 2022 roku, kiedy weszliśmy w kierunku audytu bezpieczeństwa, spędziliśmy trzy miesiące na badaniu najodpowiedniejszych pododdziałów do głębokiej uprawy. Wierzyliśmy wówczas, że jeśli mamy być firmą ochroniarską pełnej kategorii, trudno będzie nam wyprzedzić konkurencję na rynku, dlatego musieliśmy znaleźć odrębną drogę na wejście.
Omówiliśmy kilka kierunków, jeden to Move, a następnie ZK. Dodatkowo wpadliśmy na pomysł stworzenia audytu pionowego marki, np. skupienia się na GameFi lub określonym rodzaju biznesu. Krótko mówiąc, strategia jest aby przebić się w jednym punkcie. Później połączyliśmy różne czynniki i wybrałem ekosystem Move.
Było nas wtedy tylko siedmiu lub ośmiu i odnosiliśmy względne sukcesy w ekosystemie Move. Około 80% do 90% z 20 najlepszych projektów TVL w ekosystemie Move zostało przez nas skontrolowanych. Przeprowadziliśmy również audyt ważnych komponentów łańcucha, takich jak MoveVM i Aptos Framework, i odkryliśmy także wiele luk w zabezpieczeniach łańcucha. Zatem w ścieżce Move mamy duży udział w rynku.
Obecnie przejmujemy także działalność związaną z audytem kodu w ekosystemie Move, która obecnie odpowiada za około 50% naszych przychodów i około 40% naszego obciążenia pracą związaną z audytem. Ponieważ ekosystem Move ma więcej zagranicznych klientów potrzebujących audytu kodu, cena jednostkowa tego typu działalności będzie wyższa.
Obecnie TonBit zajmuje się głównie audytem ekologicznym Ton, zaś ScaleBit zajmuje się ekologią BTC Layer2, ZK i innymi nowymi ekologiami. Nasza ogólna pozycja w BitsLab polega na skupieniu się na wschodzących ekosystemach i ekosystemach z potencjałem masowej adopcji.
3. Faust: Chciałbym zadać pytanie dotyczące ZK. Prace audytowe związane z ZK są bardzo kłopotliwe. Vitalik mówił też wcześniej, że obwody systemów takich jak zkEVM są zbyt skomplikowane. Nawet przy testach funkcjonalnych lub audytach nadal nie ma gwarancji, że nie będzie problemów z obwodami. Czy możesz o tym mówić na podstawie własnego doświadczenia?
Luis: Audyty związane z ZK dzielą się na wiele aspektów, które dzielą się głównie na audyty obwodów, audyty języka źródłowego i ogólne audyty obliczeniowe. Najpierw opowiem o audytach obwodów.
Główną trudnością w audytowaniu obwodów jest to, że kod obwodu ma słabą czytelność w porównaniu z tradycyjnymi językami programowania, a ekologia związana z językami obwodów jest bardzo fragmentaryczna. Obecnie może istnieć kilkanaście języków i struktur do pisania obwodów. wśród których znajdują się Circom, Halo2, Artwork, Bellman itp., dlatego obecnie nie ma jednolitego standardu pisania obwodów.
Oczywiście w zasadzie niemożliwe jest, aby jakakolwiek agencja ochrony była biegła we wszystkich językach obwodów jednocześnie. Dlatego weszliśmy na teren ZK wybiórczo. Obecnie robimy głównie dwie rzeczy na ścieżce ZK. Jedna z nich to współorganizacja konkursu ZK Security Capture the Flag Competition (zkCTF) z firmami Scroll, EthStorage i panem Guo Yu z Ambi Labs. Konkurs ten odbywa się mniej więcej raz w roku rok. Konkurs ten ma na celu głównie kultywowanie większej liczby talentów ZK w zakresie bezpieczeństwa.
Kolejną rzeczą jest to, że stworzyliśmy narzędzie do wykrywania podatności - zkScanner, które wykorzystuje głównie pewne metody analizy formalnej i statycznej do skanowania w poszukiwaniu podatności na obwodach ZK. Po tym jak zkScanner wstępnie przeskanuje obwód, znajdzie kilka podejrzanych punktów, a następnie przekaże je do ręcznego potwierdzenia, które może być wykorzystane jako uzupełnienie ręcznego audytu. Oczywiście to zautomatyzowane narzędzie audytu nie może całkowicie zastąpić audytu ręcznego, ale nadal jest stosunkowo skuteczne w wykrywaniu bardziej ukrytych ograniczeń, czyli problemów z ograniczeniami.
Wuyue: Czy wspomniane narzędzie do automatycznego audytu jest podobne do narzędzia do wykrywania statycznego, które wykrywa tokeny ERC-20?
Luis: Mniej więcej tak, ale nie do końca tak. Ich przebieg jest podobny: skanowany jest kod statyczny oraz podawana jest lokalizacja i przyczyna wystąpienia luki. Różnica polega na tym, że błędy, na których koncentruje się obwód, są podzielone głównie na dwie kategorie, a mianowicie niedostateczne ograniczenie i nadmierne ograniczenie; jednocześnie zwykła analiza leksykalna jest trudna do znalezienia tych błędów.
Wuyue: Jeśli samo mówienie o ograniczeniach jest nieco abstrakcyjne, czy możesz podać przykład, jak to wygląda?
Luis: Myślę, że możemy spojrzeć na to z boku. W istocie obwód jest wyrażeniem bardziej matematycznym niż język inteligentnych kontraktów. Ostatecznie należy go przekonwertować na R1CS, który można rozumieć jako czyste wyrażenie wielomianowe. Dlatego niektóre problemy, które mogą wystąpić w konwencjonalnych procedurach, są stosunkowo rzadkie w obwodach.
Ponieważ obwód jest w rzeczywistości „nieomylny”, każdy obwód musi użyć prawidłowego wejścia i wyjścia, aby wygenerować odpowiedni dowód. Jeśli w obwodzie występują błędy, nie przejdzie on kompilacji. Dzięki temu wyniki obliczeń obwodu muszą być „poprawne”. Jednak samo „poprawne” nie wystarczy dla obwodu. Musi być „poprawne” we wszystkich sytuacjach, co prowadzi do dwóch poprzednich problemów z ograniczeniami.
Jeśli jest to Over Constraint, niektóre wejścia spełniające wymagania nie będą mogły przejść przez obwód; jeśli jest Under Constraint, niezgodne wejścia staną się zgodne, co jest poważnym problemem.
Wuyue: Zatem kompilator nie może wykryć tych problemów. Należą one do jego własnych warunków wstępnych przed zaprojektowaniem obwodu. Wyrażanie ich powoduje problemy, prawda?
Luis: Tak, ponieważ te kwestie nie są całkowicie gramatyczne, dotyczą także intencji programisty i pewnych powszechnych konwencji w kryptografii. W szczególności problemy te często wymagają użycia formalnych narzędzi, takich jak SMT-Solver, aby je wykryć.
4. Faust: Co z biznesowego punktu widzenia sądzisz o usługach audytorskich związanych z ZK?
Luis: Działalność audytorska związana z ZK zasługuje na długoterminową uwagę. Stale gromadzimy audyty ZK. Uwzględniając nasz późniejszy audyt ekosystemu Bitcoin, było to również dlatego, że odkryliśmy, że ekosystem Bitcoin ma dobrą integrację z ZK, podczas gdy narracja ZK warstwy 2 ekosystemu Ethereum nieco osłabła, a kolejna fala narracji na ścieżce ZK nie został jeszcze oficjalnie uruchomiony. Coming, być może będzie to związane z FHE.
Oczywiście nie jest ani za wcześnie, ani za późno, abyśmy oficjalnie wkroczyli w obszar audytu ZK. Jest to raczej etap długoterminowej uwagi i długoterminowej akumulacji. Na poziomie biznesowym w dalszym ciągu koncentrujemy się na dwóch rzeczach wspomnianych wcześniej, jednej to zkCTF, a drugiej zkScanner, czyli wspomnianym powyżej narzędziu do wykrywania podatności obwodu ZK.
Wuyue: Czy możesz pokrótce przedstawić działanie zkCTF?
Luis: Jest to zainicjowany przez nas konkurs CTF (Security Capture the Flag Competition) związany z dziedziną ZK. Organizowany jest raz w roku najlepszych badaczy bezpieczeństwa w branży, a do udziału zapraszani są badacze ZK. Będziemy współpracować ze Scrollem, EthStorage i panem Guo Yu z Anbi Labs, aby zadać uczestnikom pytania. Otrzymaliśmy również silne wsparcie od takich instytucji, jak Ingonyama, zkMove i HashKey.
Policzyliśmy listę uczestników, którzy pochodzą w zasadzie z całego świata, a ich poziom jest stosunkowo wysoki, a wśród nich znajdują się:
OpenZepplin, Offside, Salus, Amber Group, Sec3 itp., a także niektórzy doktoranci z zakresu bezpieczeństwa i ZK w Georgia Tech i Berkeley.
5. Faust: Chciałbym zapytać ScaleBit o opinię na temat ekosystemu Bitcoin. Słyszałem, że przeprowadziłeś już audyt ponad 30 projektów ekosystemów Bitcoin. Co sądzisz o drugiej warstwie Bitcoina?
Luis: Ponad 30 wspomnianych tutaj projektów ekologicznych Bitcoin obejmuje projekty ekologiczne drugiego lub drugiego poziomu, takie jak UniSat, Arch Network, Merlin Chain, RGB++, B² Network itp., a także Liquidium itp. związane z napisami projekty runes i wiele innych projektów to protokoły Defi w ekosystemie drugiej warstwy.
Jeśli chodzi o pogląd na drugą warstwę Bitcoina, zgadzam się z wcześniejszym poglądem Kevina He z Bitlayer, który głosi, że rywalizacja o drugą warstwę Bitcoina zostanie podzielona na trzy etapy. Pierwszy etap polega na przyciągnięciu TVL, drugi etapem jest przyciągnięcie deweloperów, a etap trzeci polega na przyciągnięciu deweloperów. Trzy etapy to rywalizacja tras technicznych. Myślę, że wciąż jesteśmy na końcu pierwszej fazy, czyli dopiero zaczynamy konkurować o deweloperów i budować ekosystem.
Faust: Kiedy audytujesz projekty w ekosystemie Bitcoin, jakie aspekty lub wskaźniki głównie przeglądasz?
Luis: Jeśli odnosi się to do warstwy 2 Bitcoina, dzielimy to na kilka wymiarów. Na przykład niektórzy muszą przejrzeć skrypty tych projektów w łańcuchu Bitcoin, a niektórzy muszą przejrzeć kontrakty wdrożone w warstwie 2 Bitcoin. Niektóre obiekty audytu to mosty międzyłańcuchowe lub dolna warstwa łańcucha. Niektóre drugie warstwy mogą nie korzystać z EVM. Na tych poziomach należy przeprowadzić audyt.
Przyglądamy się głównie powierzchni ataku w kodzie tych projektów i sprawdzamy, czy zawiera on luki z różnych wymiarów. Jest to w rzeczywistości bardzo skomplikowane, ponieważ druga warstwa Bitcoina to system podobny do łańcucha publicznego. Wszyscy przyjrzymy się punktom, które należy sprawdzić podczas audytu łańcuchów publicznych w branży, na przykład, czy w tym projekcie występują ataki typu double-spend, ataki Eclipse, ataki czarownic, bezpieczeństwo zależności zewnętrznych, problemy z centralizacją, man-in-. ataki średnie itp., przyjrzymy się im szczegółowym wymaganiom. Jest to bardzo szczegółowe. Możemy porozmawiać o tym innym razem.
Należy powiedzieć, że nasze możliwości audytu łańcucha w ScaleBit są co najmniej na najwyższym poziomie w Azji. Członkowie zespołu odkryli luki w zabezpieczeniach znanych sieci publicznych, takich jak Sui, OKX Chain, GalaChain i Nervos. Ostatnio wykopali także wysokie i a Niski poziom luk w konkursie dotyczącym audytu publicznego Babilonu.
6. Faust: Bazując na Twoim doświadczeniu w audytowaniu bezpieczeństwa, czy najbardziej narażonym miejscem na występowanie luk w zabezpieczeniach są mosty międzyłańcuchowe? O ile rozumiem, wiele mostów międzyłańcuchowych jest zasadniczo rozszerzeniami Defi, więc są tak samo podatne na ataki jak protokół Defi. Co o tym myślisz?
Luis: Jeśli chodzi o częstotliwość, pieniądze najprawdopodobniej zostaną utracone w miejscach związanych z DeFi, ale jeśli chodzi o kwotę, największa ilość pieniędzy zostanie utracona po ataku przez most. Jeśli coś pójdzie nie tak, będzie to duże problemy. Oczywiście, mówiąc o DeFi, mam na myśli bardziej poziom kontraktu, dopóki istnieje problem z umową protokołu DeFi, można go zaatakować, a środków zaradczych jest stosunkowo niewiele.
Jeśli chodzi o mosty międzyłańcuchowe, to rzeczywiście one sprawiają najwięcej problemów, ponieważ ilość środków zwykle kojarzonych z mostami międzyłańcuchowymi jest stosunkowo duża, a wiele z nich korzysta z multipodpisu, z którym łatwo się pomylić.
7. Faust: Czy sądzisz, że narzędzia LLM, takie jak Chatgpt, pomogą w audytowaniu kodu i jaki będzie to miało wpływ?
Luis: Właściwie jest to całkiem pomocne, ale to bardziej rola pomocnicza. Czasami audytorzy przyglądają się niektórym kodom i aby szybko zrozumieć funkcje tych kodów, użyją Chatgpt do przeanalizowania, co prawdopodobnie robi kod. Oczywiście jest to tylko asystent i ostatecznie to zależy od ludzi wiele szczegółów.
Innym aspektem jest pisanie dokumentów i raportów z audytów, zwłaszcza pisanie w języku angielskim. Niektórzy audytorzy, dla których angielski nie jest zbyt ojczysty, poproszą Chatgpt o dopracowanie tych dokumentów, co jest dość pomocne.
Ale z punktu widzenia audytu szkolimy również wewnętrznie niektóre konkretne LLM, używając do szkolenia niektórych dużych modeli językowych typu open source, ale obecnie mają one jedynie charakter pomocniczy. Chociaż może to poprawić wydajność pracy, absolutnie nie możemy całkowicie polegać na sztucznej inteligencji w zakresie audytu. Mówi się jedynie, że efektywność można poprawić o około 20%, ale daleko jeszcze do etapu ograniczania liczby audytorów na dużą skalę.
Obecnie LLM nadal ma dwie oczywiste wady. Pierwsza to problem wyników fałszywie ujemnych, a druga to wyniki fałszywie dodatnie. Możemy użyć LLM do wyszukiwania luk w zabezpieczeniach, ale musimy zwracać uwagę na odsetek fałszywych alarmów. Jeśli użyjesz sztucznej inteligencji do pomocy w znalezieniu luk w kodzie, będzie to miało wysoki współczynnik fałszywych alarmów, co jest stratą czasu i będzie. zabrać ze sobą bagaż. Będziemy jednak w dalszym ciągu zwracać uwagę na postęp w dziedzinie sztucznej inteligencji, na przykład na to, czy uda jej się osiągnąć efektywne wykrywanie luk w zabezpieczeniach na poziomie narzędzia. Jest to wciąż stosunkowo nowatorskie rozwiązanie i wszyscy wciąż go badają, ale nie widzieliśmy żadnej firmy, która by to stwierdziła że rzeczywiście może osiągnąć powyższy efekt.
Wuyue: Jeśli chodzi o automatyczny audyt kodu AI, czy myślisz, że w przyszłości skupimy się na tym? Według mojego zrozumienia sztuczna inteligencja potrafi odczytać kod niemal natychmiast, a przy tym zgromadziła więcej doświadczenia i potrafi wyczerpująco niż ludzie. Jest to wielka zaleta sztucznej inteligencji. Jeśli istnieje firma zajmująca się bezpieczeństwem, która jest głęboko zaangażowana w tę dziedzinę, szkoli wyspecjalizowaną sztuczną inteligencję do przeprowadzania automatycznych audytów kodu i przewyższa konkurencję, co o tym myślisz?
Luis: Zwracaliśmy uwagę na ten kierunek. Myślę, że musimy spojrzeć na to z dwóch aspektów:
W pierwszym aspekcie, jeśli uważasz, że rzeczywiście da się ustanowić automatyczny audyt AI, pojawi się sytuacja:
Teoretycznie LLM może zharmonizować całą branżę audytu kodu, ponieważ jeśli wszyscy używają LLM do generowania kodu, LLM może zapewnić, że wygenerowany przez niego kod nie zawiera żadnych problemów ani błędów, wtedy nie ma potrzeby audytu. W tym czasie zabił nie tylko branżę audytorską, ale i programistów. Ale osiągnięcie takiego efektu jest bardzo trudne.
Jeśli uważamy, że LLM może zabić audytorów, musi to być trudniejsze niż zabicie programistów. Znacznie trudniej jest napisać kod bez luk, niż po prostu zaimplementować kod odpowiadający potrzebom, dlatego myślę, że sztucznej inteligencji będzie trudniej wyeliminować audytorów niż zastąpić programistów.
Innym aspektem jest to, że sztuczna inteligencja nie tylko pojawia się i zabija audyty bezpieczeństwa, ale najpierw dokonuje przełomów w określonych kierunkach. Na przykład, jak wspomniano wcześniej, sztuczna inteligencja może pomóc w eksploracji luk w zabezpieczeniach. Chociaż nie może pomóc w znalezieniu wszystkich błędów, może pomóc w wykryciu jednego lub dwóch typów problemów, które mogą zostać przeoczone podczas ręcznych audytów aplikacji skupiamy się na.
8. Faust: Chciałbym jeszcze raz zapytać, co sądzisz o samej pracy audytowej. Co obejmuje konkretny proces pracy, gdy przeprowadzasz audyt? To nie jest tak proste, jak wydanie certyfikatu, czy w procesie czytania kodu pomożesz zespołowi projektowemu zoptymalizować kod?
Luis: Zależy to od potrzeb klienta. Czasami pomagamy klientom wprowadzić pewne optymalizacje do ich oryginalnego kodu, na przykład zmniejszenie zużycia gazu przez niektóre operacje DeFi.
Jeśli chodzi o proces audytu, pokrótce go przedstawię. Mamy co najmniej dwie niezależne rundy audytu: audyt wstępny i ponowną ocenę. Podczas audytu wstępnego grupa osób przeprowadzi w tym czasie odrębny audyt strona musi wprowadzić zmiany w pierwotnym kodzie, a następnie przystąpić do ponownej analizy, w ramach przeglądu inna grupa osób będzie kontynuować kontrolę kodu. W rezultacie co najmniej dwie grupy osób będą przeprowadzać audyt krzyżowy kodu.
Mówiąc o różnicach w stosunku do innych firm audytorskich, ScaleBit najlepiej radzi sobie z audytowaniem innowacyjnych firm. Lubimy rekrutować osoby z doświadczeniem CTF (Security Capture the Flag) do przeprowadzania audytów. Ich zdolność uczenia się i zrozumienie różnych metod ataków są duże.
Ponadto różnimy się od innych firm audytorskich tym, że preferujemy metodę audytu butikowego. Jeśli w skontrolowanym przez nas kodzie nie będą znajdować się luki większe i wyższe, zwrócimy od 30% do 50% opłat. Jest to coś, czego inne firmy audytorskie nie ośmielają się obiecać.
9. Faust: Niektórzy uważają, że audyty bezpieczeństwa w rzeczywistości uwzględniają poparcie marki, podobnie jak agencje ratingowe z Wall Street. Efekt Matthew jest w tym obszarze bardzo silny. Firmy o ugruntowanej pozycji, takie jak Slow Mist, mają przewagę jako pierwsi na rynku, a ich przewaga jest bardzo silna. i nowi gracze są bardzo silni. Trudno konkurować o ciasto z tak ugruntowaną potęgą, jak Slow Mist. Co o tym myślisz?
Luis: Częściowo zgadzam się z tym punktem widzenia, ale zależy to również od różnych sytuacji. Na przykład dzielimy naszych klientów na trzy kategorie w zależności od ich potrzeb audytowych, a mianowicie niską, średnią i wysoką. Lokalny projekt dla psów to najniższy poziom, a wyższy poziom to projekt średniego poziomu, czyli taki, który ma pewną siłę, ale nie jest zespołem gwiazd. Najwyższy poziom to zespół gwiazd o stosunkowo dużej sile finansowej.
Porozmawiajmy najpierw o najwyższym poziomie klientów. Ten poziom klientów zwykle szuka więcej niż 2 do 3 firm audytorskich i przywiązuje dużą wagę do jakości audytów kodu. Mogą najpierw znaleźć jedne z najlepszych instytucji audytorskich na świecie, ale instytucje te również mają do czynienia ze zbyt dużą liczbą transakcji i mogą nie być w stanie ustalić priorytetów dla potrzeb niektórych klientów. Dlatego wiele gwiazdorskich zespołów projektowych znajdzie także mniej znane instytucje audytowe charakteryzujące się doskonałą jakością audytu Instytucje przeprowadzą kontrolę w tym samym czasie.
Wspomniany powyżej typ klientów jest ulubieńcem firm audytorskich, ponieważ są one bardzo bogate, ale ci klienci również bardzo dbają o jakość audytu, dlatego zazwyczaj znajdują wiele firm audytorskich, jeśli masz doskonałe umiejętności audytorskie, będziesz je mieć możliwość skontaktowania się z nimi. Docieraj do tego typu klientów, dlatego ten typ klientów jest jedną z naszych głównych grup klientów.
Drugi poziom to klienci „talia”, którzy „bardziej przejmują się jakością audytu, ale niekoniecznie mają dużo pieniędzy”, ale mają potencjał, aby w przyszłości stać się czołowymi klientami. Chociaż mają nadzieję znaleźć gwiazdorską agencję audytorską, niekoniecznie mogą sobie pozwolić na pieniądze.
W tym kręgu jest tylko 4 do 5 organizacji, które można naprawdę nazwać „firmami zajmującymi się bezpieczeństwem”, podobnie jak OpenZeppelin i Trail of Bits. Każdy wie, że są to instytucje bardzo dobre, jednak ich ceny są też bardzo drogie, które potrafią być 3-10 razy wyższe niż w przypadku konwencjonalnych firm audytorskich.
Klienci powyżej pasa trafiają do czołowych instytucji audytorskich, ale mogą ich nie przyjąć. Dlatego w przypadku klientów z niższej półki, zamiast wydawać cały budżet na znalezienie wiodącej firmy audytorskiej, lepiej przekazać budżet instytucji audytorskiej o doskonałej jakości audytu lub znaleźć wiele audytów. Tego typu klienci stanowią naszą największą grupę i my również mamy nadzieję rozwijać się wraz z nimi.
Ostatnim rodzajem klienta są wspomniane wcześniej projekty z niższej półki. Ten rodzaj klienta w zasadzie trafia do tego, kto jest tańszy, lub wydaje pieniądze w celu znalezienia znanej agencji audytorskiej w celu sprawdzenia umowy.
Zatem z powyższych punktów stwierdzenie, o którym wspomniałeś, ma sens w Twojej ocenie branży audytorskiej. W przypadku firm audytorskich z dłuższą historią i lepszą reputacją rzeczywiście występuje efekt Mateusza, ale widać, że niektóre stare firmy audytorskie, choć są dobrze znane, w ostatnich latach przeżywają straszliwy rozkwit.
Jednak jako firma audytorska, która pojawiła się później, musiała mieć zróżnicowane atuty, dlatego nasza strategia polega na przebiciu się w jednym punkcie:
Najpierw wejdź na określoną, podzieloną na segmenty ścieżkę i zdobądź absolutną przewagę. Na przykład w ekosystemie Bitcoin Layer 2 nasz obecny wskaźnik pokrycia przekroczył 50%, a nasz wskaźnik pokrycia w ekosystemie Move przekroczył 80%. Nawet czołowe instytucje audytowe, takie jak OpenZepplin, mogą nie być w stanie pokryć tych podzielonych na segmenty ścieżek i Let's PK . Zatem tak zwany „efekt Mateusza” zależy od środowiska.
10.Faust: Jaka jest największa różnica między bezpieczeństwem Web2 i Web3, z Twojego osobistego punktu widzenia? Możesz o tym rozmawiać na podstawie swoich przeszłych doświadczeń.
Luis: Po pierwsze, uważam, że bezpieczeństwo Web3 jest na bardzo wczesnym etapie rozwoju, a bezpieczeństwo Web3 musi mieć większy rynek niż bezpieczeństwo Web2, ponieważ Web3 ma surowsze wymagania dotyczące bezpieczeństwa.
Opowiem wam historię. W kręgu bezpieczeństwa Doliny Krzemowej był kiedyś pewien chiński dyrektor, który kiedyś osiągnął stanowisko wiceprezesa spółki giełdowej w Dolinie Krzemowej. Powiedział, że dwa główne kręgi zajmujące się bezpieczeństwem w Dolinie Krzemowej to Chińczycy i Żydzi. Dlaczego więc Chińczycy mogą tak dobrze radzić sobie z bezpieczeństwem? Skoro branża bezpieczeństwa to typowa branża, która w normalnych czasach nie ma sensu istnienia i musi brać na siebie odpowiedzialność, gdy coś pójdzie nie tak. Ani Hindusi, ani biali ludzie nie chcą tego zrobić to, więc wyskakują Chińczycy. To prawda. Dla firmy zajmującej się bezpieczeństwem Web2;
Ale bezpieczeństwo Web3 jest inne, ponieważ blockchain bezpośrednio zajmuje się pieniędzmi, obecność zabezpieczeń Web3 jest o wiele rzędów wielkości większa. Co więcej, w tej dziedzinie wielu „praktyków zajmujących się bezpieczeństwem” może bezpośrednio zarabiać. Ktoś kiedyś zażartował: „Ludzie odnoszący największe sukcesy w branży”. transformacji z Web2 do Web3 to hakerzy.
Z technicznego punktu widzenia zawartość Web3 dotycząca bezpieczeństwa obejmuje część dotyczącą bezpieczeństwa Web2 i ponownie wykorzystuje wiele technologii tej drugiej. Obecnie istnieje wiele systemów. Na przykład wiele aplikacji DeFi ma serwery i interfejsy, które również wymagają tradycyjnych testów penetracyjnych, obrony DoS itp., które w rzeczywistości są częścią bezpieczeństwa Web2.