近期，Web3自动化代码审计平台和安全运维提供商MetaTrust Labs（简称“MetaTrust”）的联合创始人Liu Yang在采访中表示，MetaTrust已经完成约1000万美元的种子轮融资，该轮融资由M23、Redpoint Ventures、ABCDE Capital、Longhash、Hash Global、SNZ、Yunqi Capital、GGV、Fellows Fund、Aimtop Ventures等多家风投机构参投。

在如今的市场环境中，作为一款基础设施应用，MetaTrust能完成千万美元级别的高额融资，这在一定程度上也体现出其深厚的技术实力以及广阔的市场前景。由此，就让我们来一起深入了解下MetaTrust如何利用创新技术为开发者和项目团队持续赋能。

MetaTrust：全周期+全天候的开发安全守护者

MetaTrust由全球知名的南洋理工大学研究团队创立。通过长期的研发投入和前瞻性的产品开发，MetaTrust在Web3中提供了关于DevSecOps的实践方案。

随着分布式账本技术、区块链和其他去中心化技术的兴起，对安全软件开发和部署的需求也变得越来越高。而所谓DevSecOps（Development Security Operations）就是一种软件交付方法，它将安全性从头开始集成到开发过程中。

DevSecOps的目标是确保从一开始就在开发应用程序时考虑到安全性，从而降低风险并更快地创建更安全的产品。由于Web3 应用开发的安全复杂性，以及保护用户资产的需求日益增加，软件安全和DevSecOps的重要性在Web3开发中愈发凸显。

简而言之，我们可以将DevSecOps理解为是一组实践，其可帮助确保软件从一开始就是安全的，并在整个开发和部署过程中保持安全。这有助于保护用户的资产并确保应用程序的安全可靠。

回到Metatrust项目本身，Metatrust通过自动化安全工具链、智能代码审计服务以及安全运维中心，将安全合规提升到开发生命周期，全面立体地进行深度安全扫描和动态防护，从而持续为开发者和项目提供安全能力。

同时，MetaTrust安全团队致力于推动整个开源和区块链行业的安全建设，为开发者带来最完善的安全开发SaaS工具链，以构建安全繁荣的Web3生态。

接下来，我们将具体介绍Metatrust提供的解决方案以及产品。

安全解决方案：自动化技术

以往，持续的安全攻击、滞后的代码审计和流程管理给Web3行业带来了重大的风险和挑战，并使项目团队之间的协作变得复杂。

因此，如何在高标准、高效率、极低误报率的前提下，提升项目开发全生命周期的安全管理能力，成为摆在每位Web3工程师面前的难题。

而MetaTrust则在专业安全团队的支持下，以SaaS服务为起点，覆盖整个软件开发生命周期流程。它包括应用程序安全验证分析、安全包管理器（MPM）、MetaScan、MetaScout和整体安全评估（MetaScore）等部分。

同时，MetaTrust还积极与合作伙伴合作，构建了完整的Web3漏洞分类标准，包括12个主要漏洞类别和150多个细分漏洞类型，且每个漏洞类型都有详细的定义。基于准则标准，MetaTrust针对每种类型的漏洞实施自动扫描规则。

此外，在比较前50个项目的自动扫描和手动审计结果后，MetaTrust发现自动扫描审计报告可以检测到比手动审计多20%的漏洞，同时保持较低的误报率和漏报率水平。

基于Web3应用的自动化安全扫描技术，MetaTrust具有极强的扩展性和可访问性，这使得项目安全管理流程的构建就如同搭乐高积木一样简单便捷，从而带动整体效率的提升，且成本仅为传统软件工具的三分之一。

综上，全面、自动化的Web3安全审计解决方案是MetaTrust的核心竞争力。

产品介绍

1、MetaScan

MetaScan是一种通过SaaS服务对智能合约进行自动安全审计的工具。它使用一种旨在以开发人员为先的革命性方法，将多个先进的安全扫描引擎组合到一个平台中，保护智能合约层以外的应用程序的各个方面。

MetaScan集成了静态分析、形式化方法、模糊测试和代码克隆分析方面的所有最新研究，以识别用户合约中所有可能存在的风险。值得一提的是，MetaScan还定义了最全面的智能合约漏洞标准，并进行了全面的实验，以保证结果与可用的最佳审计服务相当，甚至更好。

MetaScan包含五大核心引擎，全方位覆盖代码安全，实现快速静态代码扫描、精准形式扫描、供应链安全扫描和IP分析扫描等功能。

此外，MetaScan还可以通过集成CI/CD自动为软件开发安全持续赋能。用户每次提交代码都会进行相应的扫描，为构建者提供完整开发生命周期的安全支持。

2、MetaScout

MetaScout执行7 * 24 的安全监控，以检测和防止链上攻击。其结合了最全面的安全模式来检测运行时的恶意行为，而这些行为在传统的审计服务中往往会被遗漏。

此外，MetaScout还提供了一个开放框架，开发人员可以使用其API轻松定制他们的监控要求。具体而言，MetaScout包括以下功能：

1）链上监控

治理攻击的交易分析；市场价格波动监测；社会情绪监测。

2）持续安全监控

用于智能合约漏洞的MetaScan，以及针对NFT网络钓鱼、欺诈攻击、Rug Pull、价格操纵的渗透测试。

3）在线异常行为监控

针对AML、闪贷攻击、先行攻击、桥接攻击的基于图形的运行时分析。

3、MetaTrust Package Manager（MPM）

MPM 提供了Web3 项目开发的安全包管理工具，以解决由于第三方合约库漏洞引起的项目风险。MPM 整合MetaTrust 的安全技术，收集并整理了 Web3 开发者会用到的智能合约库，并且对每个合约库 做了安全检测和标记。开发者可以通过此工具简单快捷的管理Web3 项目依赖的第三方合约库。主要包括如下功能

1）安全包管理

安全便捷的合约管理，开发者只需要指定合约库名字，会自动提供经过校验过的安全包版本

2）安全风险报警

对当前项目使用的第三方合约进行安全检测，如果发现风险能提供安全风险预警

3）安全修复建议

对有风险的合约库，能直接给予修复建议，比如更安全的版本，或者其他的合约库替代方案

4、MetaScore

通过安全分析、安全投资、交易分析和开发分析，MetaScore为项目提供了综合的安全和风险评分以及排名。

MetaScore致力于帮助最终用户、开发人员、黑客马拉松组织者，以及投资者了解Web3项目的潜在安全风险。其具体功能如下：

1）评估项目源代码和开发事件的健康状况。

2）审查合同部署的流程质量。

3）基于Web3项目的链上数据分析交易和代币持有者分布。

4）评估预言机的安全性和可靠性。

5）基于媒体数据分析Web3项目的市场热度。

结语

Web3是一个更加去中心化的网络，与传统的Web2网络相比，其中的数据将不受政府或公司等中央机构的控制。这种较低的中心化程度让Web3网络相对不易受到攻击。尽管如此，Web3网络仍然需要克服一些重大的安全挑战。在2022年，由于Web3网络的安全问题，导致了近27.69亿美元的财产损失，这对于加密世界而言是无疑是惨痛的代价。再到今年的Uniswap (UNI)治理风波、meme币的高风险和高回报……整个行业都需要充分认识到安全形势的严峻性与复杂性，项目方，交易所和公链生态都应该在开发早期引入安全运维，并采用安全左移的策略。

“每个加密周期都是由技术突破驱动的。”随着美联储未来更多加息的趋势，以及加密市场即将迎来由layer2驱动的牛市周期，我们更加需要有效的智能安全技术来支撑这个不断增长的生态系统。MetaTrust安全团队致力于推动行业安全建设，为Web3行业的健康发展提供高标准的技术参考，助力项目方和开发者能更好的面对不断变化的安全挑战。