前言
区块链生态企服行业迎来爆发,找寻Web3.0产业独角兽,链上安全企服赛道的黑马在哪?
2022年,区块链安全赛道非常热闹,伴随着区块链的破圈和生态激增,安全事件频频爆发,区块链安全企业也成为资本手中的香饽饽。今年5月,区块链数据追踪平台Chainalysis获得1.7亿美元F轮投资,估值达到86亿美金。海外区块链安全企业CertiK,目前也已达到20亿美元估值。
国内区块链安全企业零时科技凭借其独特的业务创新能力和过硬的技术实力在业界杀出重围、崭露头角。行内称其为Web3.0网络攻防领跑者,链上安全超级侦探。
据悉,零时科技从 2018年创办之初,团队就收到了来自由国内知名安全企业四叶草与暗泉的投资意向,随后携手深圳互联工场联合投出800万人民币的天使轮投资。与海外安全公司动辄几十亿美金的估值相比,零时科技从初创即获得这些国内安全大厂的投资,充分说明其创始人及团队追求务实的极客态度及专业能力,得到业界的肯定和认可。
那究竟是什么样的团队,会在诞生之初就备受青睐呢?本文将从行业投资者视角,结合区块链生态规模及安全现状,剖析该领域区块链安全解决方案提供商零时科技的业务模式与发展潜力。
一、行业
新一代价值网络,刚性的安全需求
2022年,Web3.0和元宇宙热度空前,新老创业者与用户不断涌入,应用场景如雨后春笋般涌现。Web3.0分散化、无单一的平台控制,多个平台提供服务的特征,在其具有明显的优势情况下,也带来巨大安全隐患。
区块链生态繁荣背后,黑客丛生、合约漏洞、洗钱洼地、诈骗勒索,这四大因素,让平台与用户资产损失惨重,加密货币犯罪也日益递增。
据零时科技情报中心信息显示,2022年上半年Top10的区块链安全事件来自以下板块(见下图)。在平台端,钱包、交易所、洗钱、漏洞攻击、病毒攻击、大额盗币事件层出不穷;在个人端,钓鱼、欺诈、诈骗安全事件也是高发年份。
来源:零时科技
区块链跨链桥项目Ronin就曾被黑客窃取超6亿美元的加密货币,知名歌星周杰伦持有的价值高达55万美元的无聊猿NFT也被盗。据数据统计,仅2022上半年,链上安全攻击事件已超百起,累计损失超百亿美金。
根据Grand View Research, Inc.的最新报告,到2030年,全球区块链技术市场规模预计将达到1.43万亿美元,随着元宇宙与NFT的快速发展,网络安全侵害数字还有可能继续飙升。
在巨大的财富引力下,区块链匿名隐秘性强、去中心化、分布式交易账本等特征,Web3.0网络正迎来一群全球高科技“掠夺者”。执法机构、企业和个人,如何在这错综复杂的网络新阵地上拿起技术盾牌,守卫“链”上安全?
二、为什么关注零时科技?
1、零时科技,新一代网络安全护航者
零时科技作为一家新成立不到4年时间的区块链安全公司,已经为200多家企业、1000多个区块链生态项目,提供了区块链安全服务,为用户保护了数百亿资产安全。目前已经在深圳、西安、北京等多地设立分公司及联合实验室。
同时,他们协助地市区执法机构,打击加密货币赌博、传销、洗钱、诈骗等犯罪行为,为其提供了线索分析、资金追踪、调证分析、搜查协助、资金处置等有力的技术和系统支持,是国内实战经验丰富的区块链安全解决方案提供商,同时也是国内屈指可数,只专注于区块链安全领域的安全企业。
2、团队:以攻促防–零时科技的极客基因
创始人邓永凯先生,在创立零时之前,已经在网络安全行业摸爬滚打,精耕细作了近10年时光,累积了丰富的经验和人脉。
邓永凯就读于素有中国安全圈黄埔军校之称的西安邮电大学,并攻读信息安全专业。(西安邮电大学是中国电子信息领域科学研究和人才培养的核心基地,中国雷达、信息论、密码学、电子对抗、微波天线等学科的发源地)
后任职于国内主板上市安全网络龙头企业绿盟科技。他曾带领团队开发过持续多年全球领先的网络安全攻防产品,也是一名Web漏洞挖掘及分析专家,还曾创办《安全参考》、《书安》等免费电子安全杂志,是国内多个漏洞提交平台及安全应急响应中心核心白帽子,是名符其实的安全极客。
他在一次采访中曾表示,安全这一行的核心竞争力就是攻防技术能力,这也是零时科技的核心能力。
他认为,从技术层面,“黑客”与“白帽子”本质的区别只是在于出发点不同:一个是利用自己的技术在网络世界专门进行破坏,从而获得经济或其他利益。另一个恰恰相反,则是用技术捍卫互联网安全,防止黑客攻击,保护用户数据和资产安全,甚至生命安全。只有最懂得攻击的手段,才能建立起最有效的防御。无论是“黑客”还是“白帽子”,都必须了解系统的薄弱点所在,而渗透测试与安全攻击,是了解系统薄弱点不可或缺的步骤。即使是“白帽子”,也只有在对网络进行攻击过后,才能找出漏洞并加以防范。
安全行业是考验人性的一个行业,对此他说,“安全领域的白帽子们心中自有正义。如果你没有正义感,你就不能成为一个合格的白帽。你必须在任何时候坚持原则,以确保团队没有做错任何事情。一念成佛,一念成魔。”
除了创始人,零时科技团队也是由从事安全技术研究和安全服务多年经验丰富的高级网络安全专家组成,团队成员在漏洞挖掘、代码审计、逆向工程、渗透测试、虚拟币反洗钱等领域经验丰富,技术积累深厚。曾为阿里巴巴、百度,腾讯,微软,施耐德,Adobe等国内外知名企业提交大量高质量安全漏洞并获官方致谢。
3、专业:黑客向左,白帽向右–标准、案例与行业贡献
区块链虽诞生多年,但从2017年起,应用才规模化发展起来。行业早期,区块链安全资料十分短缺。
零时科技团队结合实战案例,提炼出一套独有的分析逻辑形式,以实际渗透测试项目为基础,模块化成不同的测试方向,提炼出通用漏洞点,并辅以案例进行说明,用系统全面的视角,在2019年出版了国内首本区块链安全实战热销书籍《区块链安全入门与实战》,为业内从业人员提供了指南。
他们参与编制了区块链行业标准和国家标准研究项目《区块链服务技术安全要求》、区块链地标《区块链安全评测技术要求》《区块链关键服务安全技术要求》,其中《数字货币溯源技术白皮书》,对反洗钱(AML)技术和应用进行了深度分析总结,为行业提供了标准和参考。
安全行业不仅事关技术,更与普通人息息相关。在大量的安全应急服务及安全事件中,零时科技发现人的问题是导致安全问题的核心,为了提高企业与个人的网络安全意识,零时科技发表了上百篇区块链生态企业安全事件分析与安全知识普及文章,为生态参与者提供了区块链网络及资产安全“防控手册”。
他们还走进高校,向清华大学、深圳大学、西安交通大学、西安电子科技大学、西安邮电大学、西北大学、长安大学、西安理工大学等高校的同学们普及区块链安全技术与安全漏洞知识,成立联合实验室,为高校提供了区块链安全领域的实战经验。
其系统的区块链安全解决方案,得到多个政企及监管部门的认可,曾为多家银行及政府单位的基于联盟链的区块链应用系统提供全方位的安全审计及区块链安全培训服务,包括中国工商银行、西藏银行、民生银行,陕西省公安厅、西安市政府、商洛市政府等,其丰富的虚拟币反洗钱分析及链上虚拟币追踪分析能力得到监管部门的青睐,为深圳、成都、重庆、陕西、山西等多家警方提供虚拟币犯罪打击侦查技术,并获得高度认可。
从指南到标准,从普及到教授、从方案、产品到技术支持,零时科技在区块链生态安全这条路上,责任担当一点也没缺席。
4、产品:基于攻防技术优势和专业系统能力打造产品矩阵
据零时科技官网显示,目前主要有5个系列产品:智能合约安全自动化审计平台、区块链安全审计服务、虚拟币追踪溯源系统、区块链安全情报威胁中心和安全意识评估管理平台,均为自研,并获得多项发明专利。据悉,其链上安全监控预警系统也正在开发中。
在产品实力上,其团队曾多次获得“最佳区块链安全团队”奖项,获评区块链安全领军企业。
零时科技的五个系列产品具体是什么,有什么优势?
(1)Web3里的极客版“普华永道”:智能合约自动化审计平台
与传统财务审计不同,零时科技的安全审计面向的不是纸质账本,而是智能合约代码。
程序员写代码如同财务给自己做账,做得有多专业,漏洞考虑是否周全,是否自留后门监守自盗。作为平台创业者,如果非技术人员,很难发现。目前业内技术外包居多,链上平台经济模型和智能合约绑定,一旦出现漏洞,被攻击和利用,损失惨重,后果不堪设想。
据零时科技情报中心数据统计,2022年上半年与DeFi相关的漏洞就被盗了价值约18.8亿美元的数字资产。
但是,安全审计行业有个痛点。即当客户需求审计大时,用户需要支付大量的审计费用,而且时间周期长。对于安全团队来说,审计工作量大,效率低。
2018年,零时科技推出了第一款自主研发的智能合约安全自动化审计系统,其团队将区块链智能合约常规安全漏洞通过合约代码语法分析,形式化验证等方法自动化扫描,并研究最新的漏洞扫描方法及时更新,将一些基础重要的安全审计逻辑做成工具,开放给C端用户。它的功能在于,通过这个系统,可以检测你的合约是否安全,结果准确,还可以给出具审计报告。
该产品不仅支持多种合约语言,多条公链,还支持安全审计漏洞30余个,扫描速度快、漏报误报率低,可以给予丰富的漏洞描述及安全修补建议,进行可视化展示,项目可实时监控其动态。
(2)经验丰富的链上审计师:安全审计服务
基于智能,加注智慧
对于安全审计,仅靠自动化,并不十分靠谱。因为机器规则是死的,涉及到业务逻辑、隐蔽及复杂的问题,就需要人工通过经验去判断,自动化工具只能作为辅助。
从行业视角,区块链平台涉及技术开发、业务运营、商务开展、资产管理等多个维度,风险不确定性大。作为区块链生态圈的手机银行“钱包”,种类繁多,有中心化钱包、去中心化钱包、 软件钱包、硬件钱包。作为区块链生态基石的公有链、私有链、联盟链和行业催化剂跨链、侧链,遇到的技术问题纷乱复杂。
一个准确性高的自动化审计平台,结合人工验证,既能提高合约审计效率,又能保证智能合约的安全性。这就是零时科技在智能平台基础上,具有专业技术实力的人工安全审计服务。
零时科技目前人工安全审计已经覆盖多个应用场景,其中对数字资产交易平台安全审计范围涵盖9个审计大类,117个子类,钱包涵盖8个大类,77个子类,公链涵盖8个大类,41个子类。联盟链涵盖7个大类,41个子类。联盟链应用安全上,涵盖7个大类,67个小类。链上智能合约,目前覆盖以太坊合约20多项,EOS合约10多项。
零时科技安全团队具有多年丰富的主流公链、联盟链、交易平台及智能合约实战和研究积累,可对源代码进行精细化测试,从机制、业务及底层安全挖掘问题,先于黑客发现安全风险,并提供具有脆弱风险点的风险提示的详细安全审计报告,针对报告结果给出可落地的安全加固解决方案。帮助组织及平台搭建技术风控系统,达到预警和拦截效果,杜绝不必要的风险损失。
对于以攻促防的审计方式,其团队表示,这是在操作风险可控的情况下进行安全审计工作,规避在测试过程中对项目产生和运营造成风险。
高效率的智能服务叠加高弹性的智慧服务,根据企业不同属性,定制化的技术安全解决方案,零时科技已经形成其业务规模。以客户、平台、攻击者多视角合规安全审计,其团队已经在行业中展现出了独特的竞争力。
(3)Web3的超级侦探福尔摩斯:虚拟币追踪溯源系统
自区块链诞生,利用虚拟货币进行犯罪事件增长趋势明显,洗钱、赌博、勒索,各种网络钓鱼盗币、金融诈骗、传销盘、庞氏骗局、挖矿木马,犯罪事件猖獗。曾经名噪一时的Plustoken钱包跑路事件,涉案金额超200亿人民币。在最新的数据中,2021年涉诈款项支付方式中,利用虚拟货币进行支付仅次于银行转账,排第二位高达7.5亿美金。
由于这个行业嫌疑人定位难、资金分析难、证据链完善难、排查发现难、知识门槛高,作案的加密货币追溯成为执法者和受害者的难题。
零时科技自主研发了虚拟币追溯分析平台,拥有情报系统、监控系统、KYC&KYT和溯源系统四大系统。该平台基于链上数据及区块链安全情报,通过大数据、图运算、机器学习等技术,使得整个虚拟币链上追溯可自动化运营,可视化展示,方便快捷地发现虚拟币流向及实名登记,可以有效协助案件侦查,打击虚拟犯罪,为业内受害者提供虚拟资产追溯服务。
来源:零时科技
目前,该平台已经分析交易数量17.7亿,标记地址超8000万,分析地址超8.5亿个。并协助深圳市公安局、重庆市公安局、铜川市公安局、商洛市公安局和商州公安局等,破获多起的虚拟货币赌博、传销、诈骗案件,在业内引起了强烈反响。
(上图为其虚拟币追溯分析平台)来源:零时科技
(4)Web3里的千里眼–区块链安全情报威胁中心
区块链生态里的威胁情报碎片化明显,容易形成数据孤岛,导致威胁情报不能及时到达客户,结果情报的闭塞导致本该可以杜绝的损失被持续性放大。
零时科技研发了一套基于大数据分析的区块链安全威胁情报系统,平均每天监测近100条区块链安全威胁情报数据,实时监控,及时预警,事件复盘,攻击溯源,及时推送,并进行可视化展示,还可以根据客户的需求订阅和定制化开发。
(5)企业安全风险保卫站–安全意识评估管理平台
知名的搜狐全体员工遭遇工资补助钓鱼邮件诈骗案例让很多企业认识到,网络安全意识如果不提高,未来面临的商业机密等各项安全事件势必会影响企业发展。
零时科技自研的安全意识评估管理平台主要面向包括政府、公安、教育、金融、电力等对网络安全意识有需求的行业机构,网络安全意识评估平台以网络钓鱼技术为基础,帮助企业构建私有云化的网络安全意识评估管理平台,集成理论系统、钓鱼演练、主机检测、管理考核、场景定制的系统,实现企业持续系统化提升全员网络安全意识。
除此之外,基于其自身的专业实力,还衍生出了区块链安全咨询和企业网络安全培训服务。
其产品服务群体目前已覆盖了政府、执法机构、企业多个领域。
三、总结
事前预警监控防范风险、事中控制伤害查漏补缺、事后溯源追踪挽回损失。零时科技在其业务的深度上覆盖区块链生态安全风险的前中后期。
目前,零时科技的业务也不仅限于国内,在成为区块链安全领域国内创新最快的初创公司之一的同时,他们将在新加坡、东南亚等地扩充的“野心”也已暴露。据悉,其团队目前正在网罗世界各地的顶级技术人才。全球化布局及ToB端和ToC端安全产品的研发,也将为其未来的发展涂上浓墨重彩的一笔。
从创始人到团队,从专业能力到自研产品,从企业服务到规模化探索。区块链安全领域跑出的这一匹“链”上黑马,未来可期!
本文作者:Archer UNIBFF News特约分析师,关注区块链、Web3.0和元宇宙领域