但 Web3 安全赛道的发展远远没有跟上 Web3 行业发展的步伐，目前普遍停留在安全审计的阶段，监控分析已经是相当精英化的服务，更不用说实时阻断攻击了。

Numen 提供全覆盖的安全服务，去年成立不久后就全球独家发现了数个 Aptos 和 Sui 生态的高危漏洞。

本次链茶访邀请了 Numen 创始人 Chris，为我们介绍 Web3 安全赛道有哪些我们没有意识到的空白。

  1.团队是什么时候决定去做 Numen？当时是基于哪些判断而做出的决策？

我们是在 2021 年决定开始做 Numen，并在下半年正式启动。

在此之前，我本人在互联网安全领域有十六年的从业经历（主要在亚马逊、百度、新浪），Co-Founder 也有超过十年的行业积累（主要在 360 和华为的区块链安全和漏洞研究团队），可以说我是伴随着整个行业的发展而成长起来的，掌握了最复杂的攻击并知道如何防御它，这些技术的沉淀最终都能体现在我们的产品上。

我们在 2021 年注意到 Web3 领域近几年发展非常迅速，但安全方面几乎是一片空白（基本只有安全审计，没有成熟的产品服务），所以就想把我们在 Web2 积累的对安全的理解应用到 Web3。

目前我们公司 40 人规模，三分之二都是技术团队，主要 base 新加坡。

  2.Web3 安全涉及从代码审计到威胁情报等 Web3 生命周期的不同阶段，涉及不同的领域，Numen 做全覆盖的优势是什么？

我们的技术团队里每个人的从业经历和个人技能的侧重点不一样，这就决定了我们公司的业务覆盖度比较高。

例如我之前是做应用安全、红蓝对抗和安全产品研发，Co-Founder 专攻区块链和底层系统安全漏洞研究，其他人也各有侧重点。

而且 Web3 项目不只是合约安全和公链安全，也会用到 Web2 的服务器、办公网，这也是我们所擅长的，安全审计只是 Web3 安全很小的一部分。

  3.Numen 是如何检测针对 Web3 项目发起的网络攻击和异常交易的？

每个 Web3 项目都有不同的业务逻辑，因此对应的检测规则也需要定制。

Numen 的核心检测引擎是 ImmunX，之所以能对公链上的 Web3 项目进行 7/24 监控，是因为我们自己的 Web3 安全研究团队以及第三方开发者针对不同项目定制了不同攻击类型的检测规则。

如果是 ImmunX 的客户，我们通常在上链前就做安全审计，并针对它的业务逻辑去定制化地开发各种检测规则，客户购买这些检测规则并部署到 ImmunX 系统，就相当于一道防火墙，可以实时监控针对该项目的攻击并在第一时间快速发出攻击警报，并对攻击进行拦截阻断，从而防止或减少资金损失。

当然，Numen 对非客户的头部 Web3 项目也会开发检测规则，但只能做到事件监控，并在事后做一份分析报告，让大家去了解前因后果。

  4.那么定制检测规则的成本高吗？

对检测规则开发者（包括 Numen 官方团队和外部开发者）而言，成本其实不是很高。

首先我们技术团队的水平相对较高，其次我们对第三方开发者会提供非常友好的在线 IDE（集成开发环境）来减少工作量，只需要按照开发指南掌握我们提供的一系列逻辑，就可以编写出非常有效的检测规则。

  5.ImmunX 和 Leukocyte 这两款产品的区别是什么？

ImmunX 主要针对 Web3 项目的链上交易安全，能够实时检测恶意攻击并自动阻断。我们之所以能够自动阻断，是因为我们有智能合约防火墙模块。

简单来说就是先针对项目方的智能合约定制一层代理合约，然后正常的交易直接放行，也就不会影响交易体验，但是如果发现异常，就会把它放到检测模块里分析，确认它就是攻击的话直接阻断。从发现到阻断的整个过程是以秒来计的。

Leukocyte 则是保护服务器安全。无论是 Web3 还是 Web2 产品，都会用到服务器，而 Leukocyte 会实时检测黑客针对服务器的各种攻击并自动阻断、报警。

当然，传统的安全服务商也会提供这项服务，但我们的技术实力在行业内也算最顶尖的一批，更重要的是传统的安全服务商则是把不同功能拆分开订阅销售，而 Leukocyte 直接开放所有的防护模块，整体的价格也相对更有优势。

  6.Numen 在做一些零知识证明的科普，请问 Numen 会基于零知识证明做什么？

我们主要是做零知识证明的安全审计以及安全研究。

随着零知识证明在区块链领域的影响越来越大，未来会出现一大批基于零知识证明的 Web3 项目，但现在能做零知识证明安全审计的公司并不多。Numen 未来会陆续去开展这个业务，会继续投入很多精力去做 ZK 相关的安全研究。

Numen 的技术实力是全球顶尖的，去年 Aptos 和 Sui 两大公链非常火，全球的 Web3 安全公司都在研究它的安全性，但至今为止只有 Numen 全球独家发现了 Aptos 和 Sui 四五个重大安全漏洞。

  7.作为 Web3 安全卫士的 Numen，目标用户都有哪些群体？Numen 都是如何触达他们的？

所有的 Web3 项目方都是我们的目标用户，包括各种公链、交易所等。现阶段主要侧重于 To B，唯一的 To C 服务是针对被盗资产的取证追踪服务，后续不排除会推出一些 To C 的安全产品。

Numen 现在主要是以技术交流的方式来触达 To B 用户，让他们了解安全知识，在这个过程中会分享我们的各种案例。如果项目方有兴趣，再做深入的技术交流，并提供完整的定制化技术方案。目前转化率还不错，例如 Binance 和 Cobo 这种知名 Web3 生态都是我们的用户。

安全不是单独的服务器安全、智能合约安全，而是一个完整的体系，Numen 的优势就在于可以提供完整的解决方案，从智能合约到公链、钱包、交易所、网站、服务器、办公网都可以覆盖到。

  8.Numen 现阶段的进展是否符合预期？最近一段时间会聚焦哪些领域？

Numen 还处在初期阶段，有一些产品的功能模块在研发测试阶段（今年会陆续发布出来），在市场上树立我们的品牌也需要一个过程，但进度还是比较符合我们最初的预期。

我相信 Numen 技术团队的实力逐渐会被大家看到，就像去年发现了 Aptos 和 Sui 的重大安全漏洞，引起了市场对我们的关注。其实后来还发现过几个高危漏洞，我们没有公布出来，而是私下报告给他们官方团队。

  9.前面提到 Numen 未来的商业模式可能会采用 token，为什么 To B 的服务要采用 token 的模式？

Numen 的产品背后其实是一个生态在支撑，把项目方和第三方开发者都聚集到我们的链上安全生态社区之中，而在整个生态里面有很多的付费场景，token 可以作为支付货币，当然什么时候发行 token 取决于业务发展和市场环境。

其实 Numen 作为网络安全服务商，商业模式也不是一定要采用 token。

我们去年底天使轮规模为 400 万美元，来自于新加坡本地的一家传统网络安全公司。后来跟大投资方也接触过，他们更愿意在 Pre A 轮进入，Numen 最近也已经启动 Pre A 轮的融资。

  10.最后，Numen 未来的机遇与挑战可能是什么？

机遇在于 Web3 行业还在快速成长，而 Web3 安全目前只有审计，所以市场几乎是一片空白。

Numen 的技术团队的实力能够快速学习研究最新的生态并发现高危漏洞，所以只要 Web3 行业在发展，我们就会一直走在 Web3 安全的最前沿。

我觉得挑战是整个 Web3 行业的人对安全方面的理解还不够，停留安全审计的阶段，但其实产品后续还有很多迭代以及被攻击的可能性，所以这是一个市场教育的问题。