前言
區(qū)块链生态企服行业迎来爆发,找寻Web3.0产业独角兽,链上安全企服赛道的黑马在哪?
2022年,區(qū)块链安全赛道非常热闹,伴随着區(qū)块链的破圈和生态激增,安全事件频频爆发,區(qū)块链安全企业也成為(wèi)资本手中的香饽饽。今年5月,區(qū)块链数据追踪平台Chainalysis获得1.7亿美元F轮投资,估值达到86亿美金。海外區(qū)块链安全企业CertiK,目前也已达到20亿美元估值。
國(guó)内區(qū)块链安全企业零时科(kē)技凭借其独特的业務(wù)创新(xīn)能(néng)力和过硬的技术实力在业界杀出重围、崭露头角。行内称其為(wèi)Web3.0网络攻防领跑者,链上安全超级侦探。
据悉,零时科(kē)技从 2018年创办之初,团队就收到了来自由國(guó)内知名安全企业四叶草(cǎo)与暗泉的投资意向,随后携手深圳互联工场联合投出800万人民(mín)币的天使轮投资。与海外安全公司动辄几十亿美金的估值相比,零时科(kē)技从初创即获得这些國(guó)内安全大厂的投资,充分(fēn)说明其创始人及团队追求務(wù)实的极客态度及专业能(néng)力,得到业界的肯定和认可(kě)。
那究竟是什么样的团队,会在诞生之初就备受青睐呢(ne)?本文(wén)将从行业投资者视角,结合區(qū)块链生态规模及安全现状,剖析该领域區(qū)块链安全解决方案提供商(shāng)零时科(kē)技的业務(wù)模式与发展潜力。
一、行业
新(xīn)一代价值网络,刚性的安全需求
2022年,Web3.0和元宇宙热度空前,新(xīn)老创业者与用(yòng)户不断涌入,应用(yòng)场景如雨后春笋般涌现。Web3.0分(fēn)散化、无单一的平台控制,多(duō)个平台提供服務(wù)的特征,在其具有(yǒu)明显的优势情况下,也带来巨大安全隐患。
區(qū)块链生态繁荣背后,黑客丛生、合约漏洞、洗钱洼地、诈骗勒索,这四大因素,让平台与用(yòng)户资产损失惨重,加密货币犯罪也日益递增。
据零时科(kē)技情报中心信息显示,2022年上半年Top10的區(qū)块链安全事件来自以下板块(见下图)。在平台端,钱包、交易所、洗钱、漏洞攻击、病毒攻击、大额盗币事件层出不穷;在个人端,钓鱼、欺诈、诈骗安全事件也是高发年份。
區(qū)块链跨链桥项目Ronin就曾被黑客窃取超6亿美元的加密货币,知名歌星周杰伦持有(yǒu)的价值高达55万美元的无聊猿NFT也被盗。据数据统计,仅2022上半年,链上安全攻击事件已超百起,累计损失超百亿美金。
根据Grand View Research, Inc.的最新(xīn)报告,到2030年,全球區(qū)块链技术市场规模预计将达到1.43万亿美元,随着元宇宙与NFT的快速发展,网络安全侵害数字还有(yǒu)可(kě)能(néng)继续飙升。
在巨大的财富引力下,區(qū)块链匿名隐秘性强、去中心化、分(fēn)布式交易账本等特征,Web3.0网络正迎来一群全球高科(kē)技“掠夺者”。执法机构、企业和个人,如何在这错综复杂的网络新(xīn)阵地上拿(ná)起技术盾牌,守卫“链”上安全?
二、為(wèi)什么关注零时科(kē)技?
1、零时科(kē)技,新(xīn)一代网络安全护航者
零时科(kē)技作為(wèi)一家新(xīn)成立不到4年时间的區(qū)块链安全公司,已经為(wèi)200多(duō)家企业、1000多(duō)个區(qū)块链生态项目,提供了區(qū)块链安全服務(wù),為(wèi)用(yòng)户保护了数百亿资产安全。目前已经在深圳、西安、北京等多(duō)地设立分(fēn)公司及联合实验室。
同时,他(tā)们协助地市區(qū)执法机构,打击加密货币赌博、洗钱、诈骗等犯罪行為(wèi),為(wèi)其提供了線(xiàn)索分(fēn)析、资金追踪、调证分(fēn)析、搜查协助、资金处置等有(yǒu)力的技术和系统支持,是國(guó)内实战经验丰富的區(qū)块链安全解决方案提供商(shāng),同时也是國(guó)内屈指可(kě)数,只专注于區(qū)块链安全领域的安全企业。
2、团队:以攻促防--零时科(kē)技的极客基因
创始人邓永凯先生,在创立零时之前,已经在网络安全行业摸爬滚打,精耕细作了近10年时光,累积了丰富的经验和人脉。
邓永凯就读于素有(yǒu)中國(guó)安全圈黄埔军校之称的西安邮電(diàn)大學(xué),并攻读信息安全专业。(西安邮電(diàn)大學(xué)是中國(guó)電(diàn)子信息领域科(kē)學(xué)研究和人才培养的核心基地,中國(guó)雷达、信息论、密码學(xué)、電(diàn)子对抗、微波天線(xiàn)等學(xué)科(kē)的发源地)
后任职于國(guó)内主板上市安全网络龙头企业绿盟科(kē)技。他(tā)曾带领团队开发过持续多(duō)年全球领先的网络安全攻防产品,也是一名Web漏洞挖掘及分(fēn)析专家,还曾创办《安全参考》、《书安》等免费電(diàn)子安全杂志(zhì),是國(guó)内多(duō)个漏洞提交平台及安全应急响应中心核心白帽子,是名符其实的安全极客。
他(tā)在一次采访中曾表示,安全这一行的核心竞争力就是攻防技术能(néng)力,这也是零时科(kē)技的核心能(néng)力。
他(tā)认為(wèi),从技术层面,“黑客”与“白帽子”本质的區(qū)别只是在于出发点不同:一个是利用(yòng)自己的技术在网络世界专门进行破坏,从而获得经济或其他(tā)利益。另一个恰恰相反,则是用(yòng)技术捍卫互联网安全,防止黑客攻击,保护用(yòng)户数据和资产安全,甚至生命安全。只有(yǒu)最懂得攻击的手段,才能(néng)建立起最有(yǒu)效的防御。无论是“黑客”还是“白帽子”,都必须了解系统的薄弱点所在,而渗透测试与安全攻击,是了解系统薄弱点不可(kě)或缺的步骤。即使是“白帽子”,也只有(yǒu)在对网络进行攻击过后,才能(néng)找出漏洞并加以防范。
安全行业是考验人性的一个行业,对此他(tā)说,“安全领域的白帽子们心中自有(yǒu)正义。如果你没有(yǒu)正义感,你就不能(néng)成為(wèi)一个合格的白帽。你必须在任何时候坚持原则,以确保团队没有(yǒu)做错任何事情。一念成佛,一念成魔。”
除了创始人,零时科(kē)技团队也是由从事安全技术研究和安全服務(wù)多(duō)年经验丰富的高级网络安全专家组成,团队成员在漏洞挖掘、代码审计、逆向工程、渗透测试、虚拟币反洗钱等领域经验丰富,技术积累深厚。曾為(wèi)阿里巴巴、百度,腾讯,微软,施耐德,Adobe等國(guó)内外知名企业提交大量高质量安全漏洞并获官方致謝(xiè)。
3、专业:黑客向左,白帽向右--标准、案例与行业贡献
區(qū)块链虽诞生多(duō)年,但从2017年起,应用(yòng)才规模化发展起来。行业早期,區(qū)块链安全资料十分(fēn)短缺。
零时科(kē)技团队结合实战案例,提炼出一套独有(yǒu)的分(fēn)析逻辑形式,以实际渗透测试项目為(wèi)基础,模块化成不同的测试方向,提炼出通用(yòng)漏洞点,并辅以案例进行说明,用(yòng)系统全面的视角,在2019年出版了國(guó)内首本區(qū)块链安全实战热销书籍《區(qū)块链安全入门与实战》,為(wèi)业内从业人员提供了指南。
他(tā)们参与编制了區(qū)块链行业标准和國(guó)家标准研究项目《區(qū)块链服務(wù)技术安全要求》、區(qū)块链地标《區(qū)块链安全评测技术要求》《區(qū)块链关键服務(wù)安全技术要求》,其中《数字货币溯源技术白皮书》,对反洗钱(AML)技术和应用(yòng)进行了深度分(fēn)析总结,為(wèi)行业提供了标准和参考。
安全行业不仅事关技术,更与普通人息息相关。在大量的安全应急服務(wù)及安全事件中,零时科(kē)技发现人的问题是导致安全问题的核心,為(wèi)了提高企业与个人的网络安全意识,零时科(kē)技发表了上百篇區(qū)块链生态企业安全事件分(fēn)析与安全知识普及文(wén)章,為(wèi)生态参与者提供了區(qū)块链网络及资产安全“防控手册”。
他(tā)们还走进高校,向清华大學(xué)、深圳大學(xué)、西安交通大學(xué)、西安電(diàn)子科(kē)技大學(xué)、西安邮電(diàn)大學(xué)、西北大學(xué)、長(cháng)安大學(xué)、西安理(lǐ)工大學(xué)等高校的同學(xué)们普及區(qū)块链安全技术与安全漏洞知识,成立联合实验室,為(wèi)高校提供了區(qū)块链安全领域的实战经验。
其系统的區(qū)块链安全解决方案,得到多(duō)个政企及监管部门的认可(kě),曾為(wèi)多(duō)家银行及政府单位的基于联盟链的區(qū)块链应用(yòng)系统提供全方位的安全审计及區(qū)块链安全培训服務(wù),包括中國(guó)工商(shāng)银行、西藏银行、民(mín)生银行,陕西省公安厅、西安市政府、商(shāng)洛市政府等,其丰富的虚拟币反洗钱分(fēn)析及链上虚拟币追踪分(fēn)析能(néng)力得到监管部门的青睐,為(wèi)深圳、成都、重庆、陕西、山(shān)西等多(duō)家警方提供虚拟币犯罪打击侦查技术,并获得高度认可(kě)。
从指南到标准,从普及到教授、从方案、产品到技术支持,零时科(kē)技在區(qū)块链生态安全这条路上,责任担当一点也没缺席。
4、产品:基于攻防技术优势和专业系统能(néng)力打造产品矩阵
据零时科(kē)技官网显示,目前主要有(yǒu)5个系列产品:智能(néng)合约安全自动化审计平台、區(qū)块链安全审计服務(wù)、虚拟币追踪溯源系统、區(qū)块链安全情报威胁中心和安全意识评估管理(lǐ)平台,均為(wèi)自研,并获得多(duō)项发明专利。据悉,其链上安全监控预警系统也正在开发中。
在产品实力上,其团队曾多(duō)次获得“最佳區(qū)块链安全团队”奖项,获评區(qū)块链安全领军企业。
零时科(kē)技的五个系列产品具體(tǐ)是什么,有(yǒu)什么优势?
(1)Web3里的极客版“普华永道”:智能(néng)合约自动化审计平台
与传统财務(wù)审计不同,零时科(kē)技的安全审计面向的不是纸质账本,而是智能(néng)合约代码。
程序员写代码如同财務(wù)给自己做账,做得有(yǒu)多(duō)专业,漏洞考虑是否周全,是否自留后门监守自盗。作為(wèi)平台创业者,如果非技术人员,很(hěn)难发现。目前业内技术外包居多(duō),链上平台经济模型和智能(néng)合约绑定,一旦出现漏洞,被攻击和利用(yòng),损失惨重,后果不堪设想。
据零时科(kē)技情报中心数据统计,2022年上半年与DeFi相关的漏洞就被盗了价值约18.8亿美元的数字资产。
但是,安全审计行业有(yǒu)个痛点。即当客户需求审计大时,用(yòng)户需要支付大量的审计费用(yòng),而且时间周期長(cháng)。对于安全团队来说,审计工作量大,效率低。
2018年,零时科(kē)技推出了第一款自主研发的智能(néng)合约安全自动化审计系统,其团队将區(qū)块链智能(néng)合约常规安全漏洞通过合约代码语法分(fēn)析,形式化验证等方法自动化扫描,并研究最新(xīn)的漏洞扫描方法及时更新(xīn),将一些基础重要的安全审计逻辑做成工具,开放给C端用(yòng)户。它的功能(néng)在于,通过这个系统,可(kě)以检测你的合约是否安全,结果准确,还可(kě)以给出具审计报告。
该产品不仅支持多(duō)种合约语言,多(duō)条公链,还支持安全审计漏洞30余个,扫描速度快、漏报误报率低,可(kě)以给予丰富的漏洞描述及安全修补建议,进行可(kě)视化展示,项目可(kě)实时监控其动态。
(2)经验丰富的链上审计师:安全审计服務(wù)
基于智能(néng),加注智慧
对于安全审计,仅靠自动化,并不十分(fēn)靠谱。因為(wèi)机器规则是死的,涉及到业務(wù)逻辑、隐蔽及复杂的问题,就需要人工通过经验去判断,自动化工具只能(néng)作為(wèi)辅助。
从行业视角,區(qū)块链平台涉及技术开发、业務(wù)运营、商(shāng)務(wù)开展、资产管理(lǐ)等多(duō)个维度,风险不确定性大。作為(wèi)區(qū)块链生态圈的手机银行“钱包”,种类繁多(duō),有(yǒu)中心化钱包、去中心化钱包、 软件钱包、硬件钱包。作為(wèi)區(qū)块链生态基石的公有(yǒu)链、私有(yǒu)链、联盟链和行业催化剂跨链、侧链,遇到的技术问题纷乱复杂。
一个准确性高的自动化审计平台,结合人工验证,既能(néng)提高合约审计效率,又(yòu)能(néng)保证智能(néng)合约的安全性。这就是零时科(kē)技在智能(néng)平台基础上,具有(yǒu)专业技术实力的人工安全审计服務(wù)。
零时科(kē)技目前人工安全审计已经覆盖多(duō)个应用(yòng)场景,其中对数字资产交易平台安全审计范围涵盖9个审计大类,117个子类,钱包涵盖8个大类,77个子类,公链涵盖8个大类,41个子类。联盟链涵盖7个大类,41个子类。联盟链应用(yòng)安全上,涵盖7个大类,67个小(xiǎo)类。链上智能(néng)合约,目前覆盖以太坊合约20多(duō)项,EOS合约10多(duō)项。
零时科(kē)技安全团队具有(yǒu)多(duō)年丰富的主流公链、联盟链、交易平台及智能(néng)合约实战和研究积累,可(kě)对源代码进行精细化测试,从机制、业務(wù)及底层安全挖掘问题,先于黑客发现安全风险,并提供具有(yǒu)脆弱风险点的风险提示的详细安全审计报告,针对报告结果给出可(kě)落地的安全加固解决方案。帮助组织及平台搭建技术风控系统,达到预警和拦截效果,杜绝不必要的风险损失。
对于以攻促防的审计方式,其团队表示,这是在操作风险可(kě)控的情况下进行安全审计工作,规避在测试过程中对项目产生和运营造成风险。
高效率的智能(néng)服務(wù)叠加高弹性的智慧服務(wù),根据企业不同属性,定制化的技术安全解决方案,零时科(kē)技已经形成其业務(wù)规模。以客户、平台、攻击者多(duō)视角合规安全审计,其团队已经在行业中展现出了独特的竞争力。
(3)Web3的超级侦探福尔摩斯:虚拟币追踪溯源系统
自區(qū)块链诞生,利用(yòng)虚拟货币进行犯罪事件增長(cháng)趋势明显,洗钱、赌博、勒索,各种网络钓鱼盗币、金融诈骗、庞氏骗局、挖矿木(mù)马,犯罪事件猖獗。曾经名噪一时的Plustoken钱包跑路事件,涉案金额超200亿人民(mín)币。在最新(xīn)的数据中,2021年涉诈款项支付方式中,利用(yòng)虚拟货币进行支付仅次于银行转账,排第二位高达7.5亿美金。
由于这个行业嫌疑人定位难、资金分(fēn)析难、证据链完善难、排查发现难、知识门槛高,作案的加密货币追溯成為(wèi)执法者和受害者的难题。
零时科(kē)技自主研发了虚拟币追溯分(fēn)析平台,拥有(yǒu)情报系统、监控系统、KYC&KYT和溯源系统四大系统。该平台基于链上数据及區(qū)块链安全情报,通过大数据、图运算、机器學(xué)习等技术,使得整个虚拟币链上追溯可(kě)自动化运营,可(kě)视化展示,方便快捷地发现虚拟币流向及实名登记,可(kě)以有(yǒu)效协助案件侦查,打击虚拟犯罪,為(wèi)业内受害者提供虚拟资产追溯服務(wù)。
目前,该平台已经分(fēn)析交易数量17.7亿,标记地址超8000万,分(fēn)析地址超8.5亿个。并协助深圳市公安局、重庆市公安局、铜川市公安局、商(shāng)洛市公安局和商(shāng)州公安局等,破获多(duō)起的虚拟货币赌博、诈骗案件,在业内引起了强烈反响。
(上图為(wèi)其虚拟币追溯分(fēn)析平台)
(4)Web3里的千里眼--區(qū)块链安全情报威胁中心
區(qū)块链生态里的威胁情报碎片化明显,容易形成数据孤岛,导致威胁情报不能(néng)及时到达客户,结果情报的闭塞导致本该可(kě)以杜绝的损失被持续性放大。
零时科(kē)技研发了一套基于大数据分(fēn)析的區(qū)块链安全威胁情报系统,平均每天监测近100条區(qū)块链安全威胁情报数据,实时监控,及时预警,事件复盘,攻击溯源,及时推送,并进行可(kě)视化展示,还可(kě)以根据客户的需求订阅和定制化开发。
(5)企业安全风险保卫站--安全意识评估管理(lǐ)平台
知名的搜狐全體(tǐ)员工遭遇工资补助钓鱼邮件诈骗案例让很(hěn)多(duō)企业认识到,网络安全意识如果不提高,未来面临的商(shāng)业机密等各项安全事件势必会影响企业发展。
零时科(kē)技自研的安全意识评估管理(lǐ)平台主要面向包括政府、公安、教育、金融、電(diàn)力等对网络安全意识有(yǒu)需求的行业机构,网络安全意识评估平台以网络钓鱼技术為(wèi)基础,帮助企业构建私有(yǒu)云化的网络安全意识评估管理(lǐ)平台,集成理(lǐ)论系统、钓鱼演练、主机检测、管理(lǐ)考核、场景定制的系统,实现企业持续系统化提升全员网络安全意识。
除此之外,基于其自身的专业实力,还衍生出了區(qū)块链安全咨询和企业网络安全培训服務(wù)。
其产品服務(wù)群體(tǐ)目前已覆盖了政府、执法机构、企业多(duō)个领域。
三、总结
事前预警监控防范风险、事中控制伤害查漏补缺、事后溯源追踪挽回损失。零时科(kē)技在其业務(wù)的深度上覆盖區(qū)块链生态安全风险的前中后期。
目前,零时科(kē)技的业務(wù)也不仅限于國(guó)内,在成為(wèi)區(qū)块链安全领域國(guó)内创新(xīn)最快的初创公司之一的同时,他(tā)们将在新(xīn)加坡、东南亚等地扩充的“野心”也已暴露。据悉,其团队目前正在网罗世界各地的顶级技术人才。全球化布局及ToB端和ToC端安全产品的研发,也将為(wèi)其未来的发展涂上浓墨重彩的一筆(bǐ)。
从创始人到团队,从专业能(néng)力到自研产品,从企业服務(wù)到规模化探索。區(qū)块链安全领域跑出的这一匹“链”上黑马,未来可(kě)期!
admin