不止於審計——Web3安全賽道黑馬Numen|鏈茶訪

發表於 2023-03-21 14:33 作者: 區塊鏈情報速遞pro

受訪人:Chris

採訪:北辰

 

拋开行情波動的影響因子,Web3行業一直在高歌猛進,應該沒有人會懷疑「 Next Billion Users」的敘事不會到來,那只是時間維度的問題。

 

但Web3安全賽道的發展遠遠沒有跟上Web3行業發展的步伐,目前普遍停留在安全審計的階段,監控分析已經是相當精英化的服務,更不用說實時阻斷攻擊了。

 

Numen提供全覆蓋的安全服務,去年成立不久後就全球獨家發現了數個Aptos和Sui生態的高危漏洞。

 

本次鏈茶訪邀請了Numen創始人Chris,爲我們介紹Web3安全賽道有哪些我們沒有意識到的空白。

 

  1.團隊是什么時候決定去做Numen?當時是基於哪些判斷而做出的決策?

 

我們是在2021年決定开始做Numen,並在下半年正式啓動。

 

在此之前,我本人在互聯網安全領域有十六年的從業經歷(主要在亞馬遜、百度、新浪),Co-Founder也有超過十年的行業積累(主要在360和華爲的區塊鏈安全和漏洞研究團隊),可以說我是伴隨着整個行業的發展而成長起來的,掌握了最復雜的攻擊並知道如何防御它,這些技術的沉澱最終都能體現在我們的產品上。

 

我們在2021年注意到Web3領域近幾年發展非常迅速,但安全方面幾乎是一片空白(基本只有安全審計,沒有成熟的產品服務),所以就想把我們在Web2積累的對安全的理解應用到Web3。

 

目前我們公司40人規模,三分之二都是技術團隊,主要base新加坡。

 

  2.Web3安全涉及從代碼審計到威脅情報等Web3生命周期的不同階段,涉及不同的領域,Numen做全覆蓋的優勢是什么?

 

我們的技術團隊裏每個人的從業經歷和個人技能的側重點不一樣,這就決定了我們公司的業務覆蓋度比較高。

 

例如我之前是做應用安全、紅藍對抗和安全產品研發,Co-Founder專攻區塊鏈和底層系統安全漏洞研究,其他人也各有側重點。

 

而且Web3項目不只是合約安全和公鏈安全,也會用到Web2的服務器、辦公網,這也是我們所擅長的,安全審計只是Web3安全很小的一部分。

 

  3.Numen是如何檢測針對Web3項目發起的網絡攻擊和異常交易的?

 

每個Web3項目都有不同的業務邏輯,因此對應的檢測規則也需要定制。

 

Numen的核心檢測引擎是ImmunX,之所以能對公鏈上的Web3項目進行7/24監控,是因爲我們自己的Web3安全研究團隊以及第三方开發者針對不同項目定制了不同攻擊類型的檢測規則。

 

如果是ImmunX的客戶,我們通常在上鏈前就做安全審計,並針對它的業務邏輯去定制化地开發各種檢測規則,客戶購买這些檢測規則並部署到ImmunX系統,就相當於一道防火牆,可以實時監控針對該項目的攻擊並在第一時間快速發出攻擊警報,並對攻擊進行攔截阻斷,從而防止或減少資金損失。

 

當然,Numen對非客戶的頭部Web3項目也會开發檢測規則,但只能做到事件監控,並在事後做一份分析報告,讓大家去了解前因後果。

 

  4.那么定制檢測規則的成本高嗎?

 

對檢測規則开發者(包括Numen官方團隊和外部开發者)而言,成本其實不是很高。

 

首先我們技術團隊的水平相對較高,其次我們對第三方开發者會提供非常友好的在线IDE(集成开發環境)來減少工作量,只需要按照开發指南掌握我們提供的一系列邏輯,就可以編寫出非常有效的檢測規則。

 

  5.ImmunX和Leukocyte這兩款產品的區別是什么?

 

ImmunX主要針對Web3項目的鏈上交易安全,能夠實時檢測惡意攻擊並自動阻斷。我們之所以能夠自動阻斷,是因爲我們有智能合約防火牆模塊。

 

簡單來說就是先針對項目方的智能合約定制一層代理合約,然後正常的交易直接放行,也就不會影響交易體驗,但是如果發現異常,就會把它放到檢測模塊裏分析,確認它就是攻擊的話直接阻斷。從發現到阻斷的整個過程是以秒來計的。

 

Leukocyte則是保護服務器安全。無論是Web3還是Web2產品,都會用到服務器,而Leukocyte會實時檢測黑客針對服務器的各種攻擊並自動阻斷、報警。

 

當然,傳統的安全服務商也會提供這項服務,但我們的技術實力在行業內也算最頂尖的一批,更重要的是傳統的安全服務商則是把不同功能拆分开訂閱銷售,而Leukocyte直接开放所有的防護模塊,整體的價格也相對更有優勢。

 

 

  6.Numen在做一些零知識證明的科普,請問Numen會基於零知識證明做什么?

 

我們主要是做零知識證明的安全審計以及安全研究。

 

隨着零知識證明在區塊鏈領域的影響越來越大,未來會出現一大批基於零知識證明的Web3項目,但現在能做零知識證明安全審計的公司並不多。Numen未來會陸續去开展這個業務,會繼續投入很多精力去做ZK相關的安全研究。

 

Numen的技術實力是全球頂尖的,去年Aptos和Sui兩大公鏈非常火,全球的Web3安全公司都在研究它的安全性,但至今爲止只有Numen全球獨家發現了Aptos和Sui四五個重大安全漏洞。

 

  7.作爲Web3安全衛士的Numen,目標用戶都有哪些群體?Numen都是如何觸達他們的?

 

所有的Web3項目方都是我們的目標用戶,包括各種公鏈、交易所等。現階段主要側重於To B,唯一的To C服務是針對被盜資產的取證追蹤服務,後續不排除會推出一些To C的安全產品。

 

Numen現在主要是以技術交流的方式來觸達To B用戶,讓他們了解安全知識,在這個過程中會分享我們的各種案例。如果項目方有興趣,再做深入的技術交流,並提供完整的定制化技術方案。目前轉化率還不錯,例如Binance和Cobo這種知名Web3生態都是我們的用戶。

 

安全不是單獨的服務器安全、智能合約安全,而是一個完整的體系,Numen的優勢就在於可以提供完整的解決方案,從智能合約到公鏈、錢包、交易所、網站、服務器、辦公網都可以覆蓋到。

 

  8.Numen現階段的進展是否符合預期?最近一段時間會聚焦哪些領域?

 

Numen還處在初期階段,有一些產品的功能模塊在研發測試階段(今年會陸續發布出來),在市場上樹立我們的品牌也需要一個過程,但進度還是比較符合我們最初的預期。

 

我相信Numen技術團隊的實力逐漸會被大家看到,就像去年發現了Aptos和Sui的重大安全漏洞,引起了市場對我們的關注。其實後來還發現過幾個高危漏洞,我們沒有公布出來,而是私下報告給他們官方團隊。

 

  9.前面提到Numen未來的商業模式可能會採用token,爲什么To B的服務要採用token的模式?

 

Numen的產品背後其實是一個生態在支撐,把項目方和第三方开發者都聚集到我們的鏈上安全生態社區之中,而在整個生態裏面有很多的付費場景,token可以作爲支付貨幣,當然什么時候發行token取決於業務發展和市場環境。

 

其實Numen作爲網絡安全服務商,商業模式也不是一定要採用token。

 

我們去年底天使輪規模爲400萬美元,來自於新加坡本地的一家傳統網絡安全公司。後來跟大投資方也接觸過,他們更愿意在Pre A輪進入,Numen最近也已經啓動Pre A輪的融資。

 

  10.最後,Numen未來的機遇與挑战可能是什么?

 

機遇在於Web3行業還在快速成長,而Web3安全目前只有審計,所以市場幾乎是一片空白。

 

Numen的技術團隊的實力能夠快速學習研究最新的生態並發現高危漏洞,所以只要Web3行業在發展,我們就會一直走在Web3安全的最前沿。

 

我覺得挑战是整個Web3行業的人對安全方面的理解還不夠,停留安全審計的階段,但其實產品後續還有很多迭代以及被攻擊的可能性,所以這是一個市場教育的問題。

標題:不止於審計——Web3安全賽道黑馬Numen|鏈茶訪

地址:https://www.coinsdeep.com/article/11577.html

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

你可能還喜歡
熱門資訊