Опрашивающий: Фауст, Вую, Geek Web3
Опрашиваемый: Луис, ScaleBit
Монтажер: Фауст, Джомосис
1 июля Geek Web3 пригласил Луиса из ScaleBit, компании, занимающейся аудитом безопасности Web3, ответить на множество вопросов об аудите кода и безопасности Web3. В течение этого периода обе стороны обсуждали аудит кода и безопасность Web3, а также ZK, AI, экологию Биткойна и т. д. с коммерческой и технической точек зрения. Затрагиваемые вопросы включали:
Почему ScaleBit изначально выбрал направление безопасности Web3 и прижился в экосистеме MOVE;
Отдел бизнес-логики и иерархии клиентов в сфере аудита кода;
Разница и связь между безопасностью Web3 и безопасностью Web2;
В чем сложности аудита цепи ЗК и какие усилия Scalebit приложил для этого;
Взгляды на экосистему Биткойн и второй уровень с операционной и технической точки зрения;
Влияние и помощь инструментов искусственного интеллекта, таких как Chatgpt, на индустрию аудита кода;
Эта статья представляет собой текстовую версию этого интервью, около 7000 слов. В этот период Луис использовал свой собственный опыт для проведения относительно подробного научно-популярного исследования по многим вопросам индустрии безопасности Web3. Для тех, кто не знает о безопасности Web3 и индустрии аудита кода, эта статья станет отличной возможностью узнать об организации аудита. Настоятельно рекомендуется прочитать ее и переслать.
1. Фауст: Первый вопрос, который я хочу задать, касается направления предпринимательства. Когда компания ScaleBit была впервые основана, почему она выбрала безопасность Web3?
Луис: Изначально мы сосредоточились на безопасности Web3 по следующим причинам:
Во-первых, многие люди в нашей команде относительно рано вошли в круг блокчейнов из Кремниевой долины и надеются найти долгосрочные и стабильные потребности пользователей. Аудит кода оказывается очень простым и долгосрочным способом выживания, поэтому мы выбрали это направление. . И мы больше всего надеемся на то, что станем охранной компанией, уважаемой в отрасли.
Во-вторых, мы считаем, что безопасность Web3 находится на очень ранней стадии, но вопросы безопасности в Web3 гораздо важнее традиционной интернет-безопасности, поскольку первая напрямую связана с финансовыми активами и определенно более ценна, чем традиционная интернет-безопасность.
Хотя некоторые сейчас считают, что бизнес-потолок, связанный с аудитом контрактов, ограничен, на самом деле, в дополнение к аудиту контрактов, в области безопасности Web3 появляется больше новых предприятий, и различные новые требования будут продолжать появляться, поэтому мы считаем, что безопасность/код Web3 Еще очень хорошо провести аудит этого трека.
В-третьих, опыт членов нашей команды во многом пересекается с аудитом кода и безопасностью блокчейна. Мы накопили большой опыт в сфере безопасности. Я был одним из основателей другой компании, занимающейся безопасностью блокчейнов. Наш главный научный сотрудник г-н Чэнь Тинг также занимается исследованиями в области безопасности блокчейнов и является экспертом в области безопасности Web3. профессора накопили опыт, а другие члены также имеют опыт работы в области безопасности обмена, формальной проверки и статического анализа.
По этим причинам мы, наконец, выбрали путь безопасности Web3.
2. Фауст: Я слышал, что ScaleBit изначально назывался MoveBit, но позже бренд был обновлен и стал использовать название ScaleBit. Можете ли вы рассказать нам, почему вы изначально выбрали экосистему Move и почему позже изменили название?
Луис: На самом деле это обновление нашего бренда. Материнским брендом является BitsLab — мы используем три суббренда MoveBit, ScaleBit и TonBit. Это мультибрендовая стратегия. Мы также расширили экосистему Move до большего количества экосистем. общее позиционирование было таким: безопасность и инфраструктура в развивающейся экологии.
Что касается того, почему мы изначально выбрали экосистему Move, то есть небольшая история: почти в 2022 году, когда мы вошли в направление аудита безопасности, мы потратили три месяца на исследование наиболее подходящих подразделений для глубокого развития. На тот момент мы считали, что если мы будем охранной компанией полной категории, то нам будет сложно обогнать конкурентов на рынке, поэтому нам пришлось искать отдельное направление для выхода.
Мы обсудили несколько направлений, одно — Move, а потом ZK. Кроме того, у нас возникла идея сделать вертикальный аудит бренда, например, с ориентацией на GameFi или определенный вид бизнеса. Короче говоря, стратегия такая. чтобы прорваться в одной точке. Позже мы объединили различные факторы и выбрали экосистему Move.
В то время нас было всего семь или восемь человек, и мы были относительно успешны в экосистеме Move. Около 80–90 % из 20 лучших проектов TVL в экосистеме Move были проверены нами. Мы также проверили важные компоненты базовой цепочки, такие как MoveVM и Aptos Framework, а также обнаружили множество уязвимостей базовой цепочки. Таким образом, в направлении Move у нас высокая доля рынка.
В настоящее время мы также берем на себя бизнес по аудиту кода в экосистеме Move, на который в настоящее время приходится около 50% нашего дохода и около 40% нашей рабочей нагрузки по аудиту. Поскольку в экосистеме Move больше зарубежных клиентов, нуждающихся в аудите кода, цена за единицу этого вида бизнеса будет выше.
В настоящее время TonBit в основном проводит экологический аудит Ton, а ScaleBit занимается экологией BTC Layer2, ZK и другой новой экологией. Наша общая позиция в BitsLab заключается в том, чтобы сосредоточиться на развивающихся экосистемах и экосистемах с потенциалом массового внедрения.
3. Фауст: Я хотел бы задать вопрос о ЗК. Аудиторская работа, связанная с ЗК, очень хлопотная. Виталик и раньше говорил, что схемы таких систем, как zkEVM, слишком сложны. Даже если есть функциональные тесты или аудиты, все равно нет гарантии, что со схемами не возникнет проблем. Можете ли вы рассказать об этом, основываясь на собственном опыте?
Луис: Аудит, связанный с ZK, разделен на множество аспектов, которые в основном подразделяются на аудит цепей, аудит исходного языка и общий аудит компьютеров. Позвольте мне сначала поговорить о аудите цепей.
Основная трудность при аудите схем заключается в том, что код схемы имеет плохую читаемость по сравнению с традиционными языками программирования, а экология, связанная с языками схем, очень фрагментирована. В настоящее время может существовать более десятка языков и сред для написания схем. среди которых Включая Circcom, Halo2, Artwork, Bellman и т. д., поэтому в настоящее время не существует единого стандарта для написания схем.
Очевидно, что для любого агентства безопасности принципиально невозможно владеть всеми языками связи одновременно. Поэтому в область ЗК мы входили выборочно. В настоящее время мы в основном делаем две вещи на треке ZK. Одна из них — совместная организация конкурса ZK Security Capture the Flag (zkCTF) с Scroll, EthStorage и г-ном Го Ю из Ambi Labs. Это соревнование проводится примерно раз в год. год. Этот конкурс в основном проводится для развития талантов в области безопасности ZK.
Другое дело, что мы сделали инструмент обнаружения уязвимостей — zkScanner, который в основном использует некоторые формальные и статические методы анализа для поиска уязвимостей на цепях ZK. После того как zkScanner первоначально просканирует схему, он обнаружит некоторые подозрительные точки, а затем передаст их на ручное подтверждение, которое можно использовать как дополнение к ручному аудиту. Конечно, этот автоматизированный инструмент аудита не может полностью заменить аудит вручную, но он по-прежнему относительно эффективен в обнаружении еще некоторых скрытых ограничений, то есть проблем с ограничениями.
Уюэ: Похож ли упомянутый вами автоматизированный инструмент аудита на инструмент статического обнаружения, который обнаруживает токены ERC-20?
Луис: Примерно так, но не совсем верно. По рабочему процессу они схожи: сканируется статический код и указывается место и причина уязвимости. Разница в том, что ошибки, на которых фокусируются схемы, в основном делятся на две категории, а именно Under-Constrain и Over-Constrain, в то же время обычным лексическим анализом эти ошибки найти сложно;
Уюэ: Если просто говорить об ограничениях-ограничениях — это немного абстрактно, можете ли вы привести пример того, как это выглядит?
Луис: Я думаю, мы можем посмотреть на это со стороны. По сути, схема на самом деле является более математическим выражением, чем язык смарт-контрактов. В конечном итоге ее необходимо преобразовать в R1CS, который можно понимать как чисто полиномиальное выражение. Поэтому некоторые проблемы, которые могут возникнуть при обычных процедурах, в схемах встречаются относительно редко.
Поскольку схема на самом деле «безошибочна», каждая схема должна использовать правильные входные и выходные данные для генерации соответствующего доказательства. Если в схеме есть ошибки, она не пройдет компиляцию. Это гарантирует, что результаты расчета схемы будут «правильными». Но для схемы недостаточно просто «правильно». Она должна быть «правильной» во всех ситуациях, что приводит к двум предыдущим проблемам с ограничениями.
Если это чрезмерное ограничение, некоторые входы, соответствующие требованиям, не смогут пройти через цепь; если оно находится под ограничением, несоответствующие входы станут совместимыми, что является фатальной проблемой.
Уюэ: Значит, эти проблемы не могут быть обнаружены компилятором. Они относятся к его собственным предварительным условиям перед проектированием схемы. Есть проблемы при их выражении, верно?
Луис: Да, поскольку эти вопросы не совсем грамматические, они также затрагивают намерения разработчика и некоторые общие соглашения в криптографии. В частности, для их обнаружения эти проблемы часто требуют использования формальных инструментов, таких как SMT-Solver.
4. Фауст: Что вы думаете об аудиторских услугах, связанных с ZK, с точки зрения бизнеса?
Луис: Аудиторский бизнес, связанный с ZK, заслуживает долгосрочного внимания. Мы постоянно накапливаем аудит ZK. Включая наш последующий аудит экосистемы Биткойн, это произошло также потому, что мы обнаружили, что экосистема Биткойн имеет хорошую интеграцию с ZK, в то время как повествование ZK Layer 2 экосистемы Ethereum несколько ослабло, и следующая волна повествований на треке ZK еще официально не запущен, возможно, это будет связано с FHE.
Конечно, нам еще не рано и не поздно официально выйти в сферу аудита ЗК. Это скорее этап долгосрочного внимания и долгосрочного накопления. На бизнес-уровне мы продолжаем фокусироваться на двух вещах, упомянутых ранее: одна — это zkCTF, а другая — zkScanner, упомянутый выше инструмент обнаружения уязвимостей цепей ZK.
Вую: Можете ли вы вкратце рассказать о деятельности zkCTF?
Луис: Это конкурс CTF (Security Capture the Flag), инициированный нами в области ZK. Он проводится раз в год. К участию будут приглашены ведущие исследователи безопасности в отрасли. Мы будем работать со Scroll, EthStorage и г-ном Го Юем из Anbi Labs, чтобы задавать вопросы участникам. Мы также получили сильную поддержку от таких организаций, как Ingonyama, zkMove и HashKey.
Мы посчитали список участников. В основном они приехали со всего мира и их уровень относительно высок, в том числе:
OpenZepplin, Offside, Salus, Amber Group, Sec3 и т. д., а также некоторые аспиранты по безопасности и ZK в Технологическом институте Джорджии и Беркли.
5. Фауст: Я хотел бы узнать мнение ScaleBit об экосистеме Биткойн. Я слышал, что вы уже проводили аудит более 30 проектов экосистемы Биткойн. Что вы думаете о втором слое Биткойна?
Луис: Более 30 экологических проектов Биткойн, упомянутых здесь, включают экологические проекты второго или второго уровня, такие как UniSat, Arch Network, Merlin Chain, RGB++, B² Network и т. д., а также Liquidium и т. д., связанные с надписью. проекты рун и многие другие проекты представляют собой протоколы Defi в экосистеме второго уровня.
Что касается взгляда на второй уровень Биткойна, я согласен с предыдущим мнением Кевина Хе из Bitlayer, который заключается в том, что конкуренция второго уровня Биткойна будет разделена на три этапа. Первый этап — привлечение TVL, второй. этап – привлечение застройщиков, третий этап – привлечение застройщиков. Три этапа – это конкурс технических маршрутов. Я думаю, что мы все еще находимся в конце первого этапа или только начинаем конкурировать за разработчиков и строить экосистему.
Фауст: Когда вы проверяете проекты в экосистеме Биткойн, какие аспекты или показатели вы в основном проверяете?
Луис: Если речь идет об уровне биткойна 2, мы разделяем его на несколько измерений. Например, некоторым приходится проверять сценарии этих проектов в цепочке биткойнов, а некоторым приходится проверять контракты, развернутые на уровне биткойнов 2. Некоторые объекты аудита являются межцепочными мостами или нижним уровнем цепочки. Некоторые вторые уровни могут не использовать EVM. На этих уровнях необходимо выполнить работу по аудиту.
В основном мы смотрим на поверхность атаки в коде этих проектов и видим, есть ли в нем уязвимости различных аспектов. На самом деле это очень сложно, поскольку второй уровень Биткойна представляет собой систему, похожую на публичную цепочку. Мы все рассмотрим моменты, которые необходимо проверять при аудите публичных цепочек в отрасли. Например, есть ли в этом проекте атаки двойного расходования, атаки затмения, атаки ведьм, безопасность внешних зависимостей, проблемы централизации, вмешательство человека. средние атаки и т. д., мы рассмотрим их. Конкретные требования. Мы можем поговорить об этой теме в другой раз.
Можно сказать, что наши возможности аудита цепочек в ScaleBit являются, по крайней мере, первоклассными в Азии. Члены команды обнаружили уязвимости в известных публичных цепочках, таких как Sui, OKX Chain, GalaChain и Nervos. Недавно они также обнаружили High и a. Низкий уровень лазеек в конкурсе государственного аудита Вавилона.
6. Фауст: Судя по вашему опыту аудита безопасности, являются ли наиболее уязвимыми местами для уязвимостей безопасности межсетевые мосты? Насколько я понимаю, многие межцепочные мосты по сути являются расширениями Defi, поэтому они так же уязвимы для атак, как и протокол Defi. Что вы думаете об этом?
Луис: С точки зрения частоты, деньги, скорее всего, будут потеряны в местах, связанных с DeFi, но с точки зрения суммы, наибольшая сумма денег будет потеряна после атаки через мост. Если что-то пойдет не так, это будет большая сумма. проблемы. Конечно, когда я говорю о DeFi, я больше имею в виду уровень контракта. Пока существует проблема с контрактом протокола DeFi, его можно атаковать, и мер по исправлению ситуации относительно мало.
Что касается кросс-чейн мостов, то они действительно чаще всего вызывают проблемы, поскольку объем средств, обычно связанных с кросс-чейн мостами, относительно велик, и многие из них используют мультиподпись, с которой легко испортиться.
7. Фауст: Как вы думаете, такие инструменты LLM, как Chatgpt, помогут аудиту кода и какое влияние это окажет?
Луис: На самом деле это очень полезно, но это скорее вспомогательная роль. Иногда аудиторы смотрят на некоторые коды. Чтобы быстро понять функции этих кодов, они используют Chatgpt для анализа того, что, вероятно, делает код. Конечно, это лишь помощник. В конце концов, людям приходится выяснять многие детали.
Другим аспектом является написание документов и аудиторских отчетов, особенно на английском языке. Некоторые аудиторы, чей английский не является родным, попросят Chatgpt доработать эти документы, что весьма полезно.
Но с точки зрения аудита мы также обучаем некоторых конкретных LLM внутри компании, используя для обучения некоторые большие языковые модели с открытым исходным кодом, но в настоящее время они являются лишь вспомогательными. Хотя это может повысить эффективность работы, мы абсолютно не можем полностью полагаться на ИИ для аудита. Говорят лишь, что эффективность можно повысить примерно на 20%, но до масштабного сокращения числа аудиторов еще далеко.
Теперь у LLM все еще есть два очевидных недостатка. Первый — это проблема ложноотрицательных результатов, а второй — ложноположительных результатов. Мы можем использовать LLM для анализа уязвимостей, но мы должны обратить внимание на уровень ложных срабатываний. Если вы используете ИИ, чтобы помочь вам найти уязвимости кода, он будет иметь высокий уровень ложных срабатываний, что является пустой тратой вашего времени. принести вам багаж. Но мы продолжим обращать внимание на прогресс ИИ, например, на то, сможет ли он обеспечить эффективный анализ уязвимостей на уровне инструментов. Это все еще относительно передовая технология, и все ее еще изучают, но мы не видели, чтобы какая-либо компания говорила об этом. что он действительно может достичь вышеуказанного эффекта.
Уюэ: Что касается автоматизированного аудита кода с помощью ИИ, думаете ли вы, что этому будет уделяться особое внимание в будущем? Насколько я понимаю, ИИ может читать код практически мгновенно, и он накопил больше опыта и может исчерпывающе, чем люди. Это большое преимущество ИИ. Если есть охранная компания, которая глубоко вовлечена в эту область, обучает специализированный ИИ проводить автоматический аудит кода и превосходит своих конкурентов, что вы об этом думаете?
Луис: Мы уделяем этому направлению внимание. Думаю, нам нужно посмотреть на него с двух сторон:
В первом аспекте, если вы считаете, что автоматизированный аудит ИИ действительно можно организовать, возникнет ситуация:
Теоретически LLM может гармонизировать всю индустрию аудита кода, потому что, если все используют LLM для генерации кода, LLM может гарантировать, что в генерируемом им коде нет проблем или ошибок, тогда вам не нужно будет проводить аудит. На этот раз он убил не только аудиторскую отрасль, но и программистов. Но добиться такого эффекта очень сложно.
Если мы думаем, что LLM может убить аудиторов, это должно быть сложнее, чем убийство разработчиков. Гораздо сложнее написать код без лазеек, чем просто реализовать код, отвечающий потребностям, поэтому я думаю, что ИИ будет труднее устранить аудиторов, чем заменить программистов.
Другой аспект заключается в том, что ИИ не просто приходит и уничтожает проверки безопасности, но сначала совершает прорывы в определенных направлениях. Например, как упоминалось ранее, ИИ может помочь вам в поиске уязвимостей. Хотя он не может помочь вам найти все ошибки, он может помочь вам выявить один или два типа проблем, которые могут быть упущены из виду при ручном аудите. Вот что такое сценарии приложений. мы фокусируемся на.
8. Фауст: Я хотел бы еще раз спросить вас, что вы думаете о самой аудиторской работе. Когда вы проводите аудит, что включает в себя конкретный рабочий процесс? Это не так просто, как выдать сертификат. В процессе чтения кода вы будете помогать команде проекта оптимизировать код?
Луис: Это зависит от потребностей клиентов. Иногда мы помогаем клиентам внести некоторые оптимизации в их исходный код, например, чтобы определенные операции DeFi потребляли меньше газа.
Что касается процесса аудита, позвольте мне кратко представить его. У нас есть как минимум два независимых раунда аудита: предварительный аудит и повторная проверка. В ходе первоначального аудита группа людей проводит отдельный аудит. сторона должна внести изменения в исходный код, а затем ввести повторную проверку, проверка будет продолжена другой группой людей. В конечном итоге код будет проверять как минимум две группы людей.
Говоря об отличиях от других аудиторских компаний, ScaleBit лучше всего проводит аудит инновационных предприятий. Нам нравится нанимать людей с опытом CTF (Security Capture the Flag) для проведения аудита. У них хорошие способности к обучению и понимание различных методов атак.
Кроме того, мы отличаемся от других аудиторских компаний тем, что предпочитаем эксклюзивный маршрут аудита. Если в проверенном нами коде отсутствуют серьезные и выше уязвимости, мы возвращаем от 30% до 50% сборов. Это то, чего другие аудиторские компании не смеют обещать.
9. Фауст: Некоторые думают, что аудит безопасности на самом деле направлен на одобрение бренда, как и рейтинговые агентства Уолл-стрит. Эффект Мэтью в этой области очень силен. У авторитетных компаний, таких как Slow Mist, есть преимущества первопроходца, их рвы очень сильны. и новички очень сильны. Трудно конкурировать за торт с такой признанной силой, как Slow Mist. Что вы думаете об этом?
Луис: Я частично согласен с этой точкой зрения, но это также зависит от разных ситуаций. Например, мы разделяем наших клиентов на три категории в зависимости от их потребностей в аудите: низкий, средний и высокий. Местный проект по собакам — это самый низкий уровень, а верхний уровень — это проект среднего уровня, который обладает определенной силой, но не является звездной командой. Самый высокий уровень – это звездная команда с относительно сильной финансовой устойчивостью.
Давайте сначала поговорим о самом высоком уровне клиентов. Этот уровень клиентов обычно ищет более 2–3 аудиторских компаний и уделяет большое внимание качеству аудита кода. Сначала они могут найти некоторые из лучших в мире аудиторских учреждений, но этим учреждениям также приходится иметь дело со слишком большим объемом бизнеса и они могут быть не в состоянии расставить приоритеты в потребностях определенных клиентов. Поэтому многие звездные проектные команды также найдут менее известные. аудиторские учреждения с отличным качеством аудита. Учреждения будут проверять одновременно.
Упомянутые выше клиенты являются фаворитами аудиторских компаний, поскольку они очень богаты, но эти клиенты также очень обеспокоены качеством аудита, поэтому они обычно находят несколько аудиторских компаний. Если у вас есть отличные аудиторские навыки, у вас будут все возможности. возможность связаться с ними. Охватить этот тип клиентов, поэтому этот тип клиентов является одной из наших основных групп клиентов.
Второй уровень — это клиенты, которые «больше озабочены качеством аудита, но не обязательно имеют много денег», но имеют потенциал стать ведущими клиентами в будущем. Хотя они надеются найти звездное аудиторское агентство, они не обязательно смогут позволить себе деньги.
В этом круге всего 4–5 организаций, которые действительно можно назвать «топовыми охранными компаниями», по аналогии с OpenZeppelin и Trail of Bits. Всем известно, что эти учреждения очень хороши, но и цены у них очень дорогие, которые могут быть в 3-10 раз выше, чем у обычных аудиторских компаний.
Клиенты ростом выше пояса идут в топовые аудиторские учреждения, но там их могут не принять. Поэтому для клиентов с низким уровнем дохода вместо того, чтобы тратить весь свой бюджет на поиск ведущей аудиторской фирмы, лучше отдать бюджет аудиторскому учреждению с отличным качеством аудита или найти несколько аудитов. Этот тип клиентов — наша самая большая группа, и мы надеемся расти вместе с ними.
Последний тип клиентов — это бюджетный проект, упомянутый выше. Этот тип клиентов в основном обращается к тому, кто дешевле, или тратит деньги на то, чтобы найти известное аудиторское агентство для проверки контракта.
Итак, исходя из вышеизложенного, упомянутое вами утверждение имеет смысл для вашей оценки аудиторской отрасли. Для аудиторских компаний с более богатой историей и лучшей репутацией действительно существует эффект Мэтью, но вы можете видеть, что некоторые старые аудиторские компании, хотя и хорошо известны, в последние годы сильно разрослись. Возникают различные проблемы.
Однако, как появившаяся позже аудиторская компания, она должна была иметь дифференцированные преимущества, поэтому наша стратегия – прорваться в какой-то одной точке:
Сначала врезайтесь в определенную сегментированную трассу и получите абсолютное преимущество. Например, в экосистеме Bitcoin Layer 2 наш текущий уровень покрытия превысил 50%, а наш уровень покрытия в экосистеме Move превысил 80%. Даже ведущие аудиторские учреждения, такие как OpenZepplin, возможно, не смогут охватить эти сегментированные треки и Let's PK. . Итак, так называемый «эффект Мэтью» зависит от окружающей среды.
10.Фауст: С вашей личной точки зрения, в чем самая большая разница между безопасностью Web2 и Web3? Вы можете говорить об этом, основываясь на своем прошлом опыте.
Луис: Прежде всего, я считаю, что безопасность Web3 находится на очень ранней стадии развития, и безопасность Web3 должна иметь более широкий рынок, чем безопасность Web2, потому что у Web3 более строгие требования к безопасности.
Здесь я расскажу вам историю. Раньше в сфере безопасности Кремниевой долины был китайский руководитель. Однажды он достиг уровня вице-президента котирующейся на бирже компании в Кремниевой долине. Он сказал, что в сфере безопасности в Силиконовой долине работают в основном два круга китайцев и евреев. Тогда почему китайцы могут так хорошо работать в сфере безопасности? Потому что индустрия безопасности — это типичная индустрия, которая в обычное время не имеет смысла существовать и должна брать на себя вину, когда что-то идет не так. Ни индийцы, ни белые люди не хотят этого делать. это так, китайцы всплывают. Это правильно для компании Web2 Security.
Но безопасность Web3 отличается. Поскольку блокчейн напрямую связан с деньгами, наличие безопасности Web3 на много порядков выше. Более того, в этой области многие «специалисты по безопасности» могут напрямую монетизировать. Кто-то однажды пошутил: «Самые успешные люди в мире». переход от Web2 к Web3 — это хакеры.
С технической точки зрения контент безопасности Web3 включает в себя часть безопасности Web2 и повторно использует многие технологии последнего. Сейчас существует множество систем. Например, многие приложения DeFi имеют серверы и интерфейсы, которые также требуют традиционного тестирования на проникновение, защиты от DoS и т. д., что на самом деле является частью безопасности Web2.
