WEEX 唯客博客, 文章作者:0x9999in1 文章來源:MetaEra 近日,MetaEra 香港專區重磅上線,「香港加密新政兩周年慶典」系列活動領銜首發,其中重要的一環便是「高端對話:香港 Web3.0 影響力領袖人物」,本期採訪的人物便是CertiK聯合創始人顧榮輝。 人物介紹 顧榮輝,哥倫比亞大學計算機系教授、CertiK聯合創始人。新加坡金融管理局(MAS)國際技術諮詢委員會委員,香港政府第三代互聯網(Web3.0)發展專責小組成員。顧榮輝本科畢業於清華大學,2016 年於耶魯大學獲得計算機科學博士學位。同時,顧榮輝是操作系統、軟體安全以及形式化驗證方面的專家,也是CertiKOS的主要設計者和開發者。 精華觀點 ●我覺得香港依然是最好的Web3創業地方之一,如果對於華人而言的話,我認為可能是沒有之一,是最好的創業基地。 ●我們認為安全需要伴隨整個項目的生命周期,我們希望可以陪伴用戶從早期一直到上線、上鏈、上幣,再到成熟期的運營。 ●我們不希望行業或者項目方認為通過CertiK 的安全審計,這個項目就完全沒有安全問題了。 ●CertiK所有在做的一切,就是讓所有的東西公開透明。 ●公開透明信息對於CertiK肯定是把雙刃劍, 但是對於行業一定是個正向的結果。 ●監管政策最重要的三點就是管得住、看得見、強制執行。 ●香港Web3的發展已經過了最早的蜜月期,現在進入陣痛期。 ●CertiK就要在這種不公平的對抗下,和黑客7*24的對抗,經年累月的對抗,儘可能保證我們的勝率 訪談全文 MetaEra:CertiK 於去年 8 月落戶香港數碼港,能否談談您自己的親身感受,為那些還在觀望香港 Web3 發展的從業人員和項目提供相關指導性建議呢? 顧榮輝:我記得2023年1月份,香港已經出台了一些相關政策,那個時候我覺得大家都處於觀望的狀態。CertiK 收到邀請來到香港,也見到了陳茂波司長,他發表了自己對於Web3金融政策的看法,讓我感受到港府對於發展Web3的信心是很足的。 也就是從那個時候,我們開始著手組建 CertiK 在香港的公司。在那段時間,美國對於Web3的態度是這樣的,SEC接連發起了十幾起訴訟,大家就會覺得美國對Web3的態度和政策都變得非常不明朗,所以就有很多人把目光投向了亞洲。亞洲的金融中心主要有新加坡和香港,我接到香港邀請的時候,其實本人當時是在新加坡,也是新加坡金融管理局(MAS)國際技術諮詢委員會委員,又因為新加坡主權基金淡馬錫基金投資了FTX,FTX暴雷后,導致新加坡政策對於Web3的政策開始有些猶豫,我覺得香港很好地抓住了這樣一個機會。 我們在香港選擇入駐了數碼港,其對於Web3創業者的支持是非常充足的,不僅會定期組織活動,還會有項目的孵化等等,我們從中也交流了很多。在整個過程中,我會感覺到香港自身獨特的一個地位,加上港府發展Web3的決心,我們會覺得其是非常好的Web3創業基地。 如果說要我給其他Web3從業者一些建議的話,我覺得香港依然是最好的Web3創業地方之一,如果對於華人而言的話,我認為可能是沒有之一,是最好的創業基地。第一,它有政策的支持;第二,它背靠深圳,不僅可以招募到金融方面的人才,而且也可以招募到很多優質的程序員和開發者;第三,越來越多相關企業的入駐,也讓大家可以更好地找到合作夥伴或者客戶。此外,如果有創業者想來香港創業,我非常建議第一時間聯繫數碼港,目前CertiK 也在和數碼港合作,可以給一些安全方面的證書,可以幫助大家申請到數碼港的創業支持基金等。 另外,香港金融監管機構採納CertiK建議,強化了穩定幣監管框架,這個感受是非常好的!相當於港府可以傾聽這個行業各個賽道的專業性的建議、想法和聲音,從而去改進它的政策。我感覺在各地政府中,港府在這方面做得最好。 MetaEra:香港也在加密新政的號召下,引來眾多Web3項目的入駐,請問您覺得這些項目是如何看待區塊鏈安全的呢?華語區的創業者對於加密安全的看法是否和西方世界有所不同,您是否可以展開講講? 顧榮輝:我們是在Web3安全賽道,我們也可以說是Web3安全賽道的頭部公司。首先,安全對於大部分的從業人員來說,你問任何一家企業或者創始人,項目的安全重不重要,他一定會說很重要!但是怎麼樣去提高項目的安全性,以及項目的安全到底包含哪幾個方面?是否願意為此付費?答案都是比較模糊和籠統的,所以大家都會覺得安全很重要,但是落實起來的話,我們感受到相關阻力還是比較大的。 第一,大家都覺得沒有必要,總有一種僥倖心理,認為項目是安全的,項目不會受到攻擊,這樣很容易把項目安全忽略掉。第二,對於安全而言,區塊鏈的安全到底包含哪些?作為一個區塊鏈的項目方,他到底要做哪些方面的安全保護?其實問大部分的項目方都不太了解。在以前大家可能會比較多地聽到代碼審計,其中的一部分是CertiK的努力倡導使得代碼審計這件事已經達成了一個共識,就是項目代碼在內部人員測試完后,應該找外部的機構進行獨立第三方的安全審計。 但是在三、四年前,並不是這樣,在2020年DeFi剛開始的時候,大家慢慢意識到了代碼審計的重要性。在這幾年間,有些項目只是把一部分的代碼做安全審計,因為費用很貴,甚至還有些項目會把這一版的代碼做安全審計,但是之後代碼更新的版本就不做安全審計了。這其實都存在著誤區,代碼的任何改動,即便是幾行代碼的改變都可能引入新的漏洞、新的攻擊機會。 這一現象直到今天依然沒有達到一個共識,就是項目所有的代碼、所有的版本都應該做安全審計。 再往下走一步,代碼安全審計只是區塊鏈安全中的一小部分。整個區塊鏈安全包括私鑰的管理、非智能合約部分和智能合約交互的安全。比如有些項目還涉及節點安全,比如企業使用錢包,無論是多簽錢包還是MPC錢包,這些錢包的解決方案是否安全。其實上述說的這些都已經超過了代碼審計的範疇,但是這些部分的安全,很多項目方完完全全是零設計零保護,幾乎屬於在裸奔。在這種情況下,你會發現很多的攻擊不再單單利用智能合約的安全進行攻擊了,我們和數碼港合作推出了一個安全培訓,對創業者和企業家進行安全方面的培訓,然後我們會有考試環節,會頒發證書。有了這個證書以後,就可以有資格申請數碼港的基金支持了。因為把支持資金給你,至少可以避免被盜被丟的事情發生。 MetaEra:華語區的創業者對於加密安全的看法是否和西方世界有所不同,您是否可以展開講講? 顧榮輝:整體的看法還是一致的!2021年之前,大家對於安全的關注沒有那麼多,2021年之後,大家開始比較多的關注安全。但是其中可能有些細微的區別,可能就是西方的創業者對於安全的僥倖心理稍微小一些,而東方華語區的創業者,會有一定的僥倖心理,會覺得自己的項目沒有安全問題。此外一個些微不同的地方,就是我們幫西方項目指出一些漏洞的時候,他們相對來講持開放的態度,在華語區碰到一些項目,當你指出問題時,他們會有抵觸的心理,他們覺得項目沒有問題,代碼沒有問題,CertiK指出的問題反而對他們的項目是不利的。當然,我說的情況也是極個別案例。但是我想說,安全審計的目的就是幫你找到問題,幫你修復問題。 MetaEra:近期,我們看到 CertiK 的 Slogan 發生了變化,是基於什麼樣的考量做出這樣的升級?CertiK 面向社區免費推出了 Token Scan、Wallet Scan 等安全工具。作為安全公司,CertiK 是否會將更多精力投向C端用戶? 顧榮輝:我們先說 Slogan ,以前的 Slogan 是「Securing The Web3 World」,我們剛剛進行了升級,現在是 Slogan 是「Elevating Your Entire Web3 Journey」,這是一個挺大的改變。 那我想先說一下為什麼我想做這樣的改變,CertiK服務了4700家客戶,找到了15萬個安全漏洞,彙報了超過40個大型漏洞,可以說我們對社區做了非常大的貢獻,但是我們對於C端,對於開發者社區等,我覺得我們的輸出是不夠的,我們對於社區的反饋,在過去幾年是做得不足的地方。 「Securing The Web3 World」是我們一開始最樸素的想法,就是我們希望能夠保護整個Web3行業、世界。那麼我會自問,我們的客戶在哪裡?我們的社區在哪裡?其實這個Slogan並沒有很好地體現。當我們的願景變得很宏大,變成一個行業、一個世界的時候,它反而有時候會忽視具體的社區、具體的客戶、具體的C端用戶。所以我在新的Slogan里加了「Your Web3 Journey」,我們非常希望把行業里的一個個人、一個個社區放到我們的思想里,讓它變得更具體,而不再是一個宏觀的世界。 第二,我們很多的客戶會覺得安全是上線之前一次性的安全審計,會把它當成一個時間點的服務,但是我們認為安全需要伴隨整個項目的生命周期,我們希望可以陪伴用戶從早期一直到上線、上鏈、上幣,再到成熟期的運營。 第三,Slogan的升級,我們認為安全不單單純純是防止不被攻擊, 在整個生命周期里,我們是在給項目方賦能,包括CertiK現在也提供了很多超出了安全領域的服務,已經觸達泛安全領域。在泛安全領域之外,我們也為客戶提供了「Design Review」的諮詢服務。例如TON公鏈,早期我們為其做了代碼審計、形式化驗證,在上線之後,我們還幫TON做了性能測試還有社區建設,這些其實都已經超出了安全領域的範疇。 所以說,為了更好定義CertiK的使命,更好定義CertiK的產品與服務,我們升級了CertiK的Slogan,新的Slogan包括了項目方、交易所、錢包和C端用戶。 像Token Scan、Wallet Scan這些工具是完完全全免費的, 目的是回饋支持我們的社區,然後為我們的社區進行賦能。 MetaEra:很多初創的 Web3 項目,都會在自己的官方 PR 里強調自己已經通過了 CertiK 的安全審計,似乎「通過 CertiK 安全審計」已經成為了行業標準,那麼您覺得,一些項目方把這個方面宣傳為自己項目的優點和優勢,用戶可能會被培養出「通過 CertiK 審計就是好項目,沒通過 CertiK 審計就不是好項目」的固化思維,對這個現象,您怎麼看呢? 顧榮輝:首先我很開心看到很多項目把通過 CertiK 的安全審計作為項目的一個加分點,並作為項目的優勢去進行宣傳。這肯定是對我們的工作、技術和品牌的認可,無論如何這是一件開心的事情。 但我也想說一個最大的誤區,我們不希望行業或者項目方認為通過CertiK 的安全審計,這個項目就完全沒有安全問題了,我們一直在強調這是兩件事情。 首先,CertiK 的安全審計和項目的安全中間存在很大的缺口,安全審計和項目方安全其實包括了很多非安全審計的部分。 第二,CertiK 很多時候只能拿到部分代碼,甚至是一個版本的部分代碼進行安全審計,那麼也沒有辦法對整個代碼庫進行任何的保證。 第三,圖靈和其他科學家的工作表明,理論上沒有任何通用的辦法可以保證一段代碼是百分百安全的。那麼通過安全審計也不意味著代碼是百分百安全的。但是通過CertiK 的安全審計可以表明項目方對於安全的重視,這個需要項目方花費時間的成本、金錢的成本,甚至是延期上線等來提升項目整體的安全性。此外通過CertiK 的安全審計可以極大提高項目的安全程度。 從這些角度來講,通過CertiK 的安全審計確實可以作為項目方的優勢。但是我們不希望把它變成一種固化思維,這種思維對於項目方和CertiK都有可能造成反噬效果。所以我們在不斷地去闡述事實是什麼樣的,再次感謝項目方以及行業對我們的認可。 MetaEra:CertiK 在今年碰上 Kraken 的事件,想必大家都比較了解雙方各執一詞的情況,那麼從公關危機的角度來說,這個事件給 CertiK 帶來了哪些成長啟示和實際影響呢? 顧榮輝:這個事件的熱度遠遠超出了我們的想象,事情已經過去幾個月了,我們回過頭去看這件事情,有幾個很明顯的結果。 第一,Kraken出現了很嚴重的漏洞,CertiK發現了漏洞並且快速通知了Kraken,Kraken修復了漏洞,最終沒有造成任何的用戶損失。Kraken自己都會承認,這可能是有史以來最嚴重的交易所漏洞,CertiK發現並幫助其修復了漏洞。從結果來看,這是對於整個行業的一個Big Win。 第二,如果再讓我們重新經歷一次,CertiK依然會不改初衷的第一時間對Kraken進行彙報,幫助他們去避免任何可能出現的用戶損失,無論重複100遍還是1000遍,這都是我們會去做的事情。 但是面對同一個事情,雙方有不同看法的時候,CertiK相信肯定有更好的方法去解決,而不是出現像此前雙方各執一詞的局面。 MetaEra:區塊鏈安全機構和區塊鏈評級機構作為「行業執劍人」的角色,都會面臨一個問題:如何保證自己的專業性可以公平對待每一個 Web3 項目?對此,CertiK 是如何有效處理的呢? 顧榮輝:這個問題,我們從2020年開始就一直困擾著我們,同時我們也一直在思考這個問題。在去中心化之前,我們會把錢放在亞馬遜、阿里、騰訊上,這是基於我們對這些大公司的信任,但我們覺得這些大公司是中心化的機構,我們要做去中心化。但是去中心化后,普通用戶又看不懂代碼,CertiK站出來告訴大家這個代碼是安全的,可以相信CertiK,但是此時的CertiK會不會變成一個中心呢? 說實話,CertiK在過去的兩年,在行業里有很多的爭議,我們也不會去避諱。 為什麼會有這麼多的爭議?有這麼多人去批評我們?可能是因為大家覺得CertiK變得中心化,CertiK會被質疑做得是否合理和公平。 我們也在思考這些問題,其中有一份報道說CertiK靠一己之力把區塊鏈安全變成了一個賽道。我們在想:肩負這麼重的責任,我們該怎麼辦? CertiK當時做出的選擇就是公開了所有的安全審計報告,上傳在我們自己的網站,但是這些報告又過於專業了,很多用戶還是看不懂,我們又把這些報告提煉成了Skynet數據,提供可視化模式供大家查看。CertiK所有在做的一切,就是讓所有的東西公開透明。 這個決定,在當時,無論是公司內部,還是合作夥伴,甚至是我們的投資機構都非常地反對。因為CertiK公開了所有的安全審計報告,只要是發生安全事故,大家就會覺得這個安全問題和CertiK相關。但是到目前為止,沒有另外一家安全公司敢公開所有的信息,因為一旦公開,就會讓自己無所遁形,出現任何問題都跑不了也躲不掉。 公開透明信息對於CertiK肯定是把雙刃劍, 但是對於行業一定是個正向的結果。我們的原則就是即便對於CertiK是把雙刃劍,但是對行業是正向的,CertiK也會堅定不移地執行。從2020年到現在,CertiK一直保持初心,即便是有項目方出現了問題,CertiK連帶被罵,所帶來的負面影響我們全部都承受了。到今天的每一天,我們都會把我們的安全事件報告公開到網站上去。 MetaEra:隨著各國和地區出台虛擬資產的相關政策和法規,安全問題更加被執法機構和政府所重視,目前 CertiK 已經和哪些地區和國家有了相關合作呢?Web3 領域未來的安全問題主要凸顯在哪些方面? 顧榮輝:我先來說說各方面的合作。 首先,我是香港政府第三代互聯網(Web3.0)發展專責小組成員,CertiK首席安全官李康教授也是小組成員。像香港財庫局(財經事務及庫務局)和金管局(香港金融管理局)牽頭髮布的《諮詢總結 – 在香港實施穩定幣發行人監管制度的立法建議》,CertiK也提出了兩項建議。我在新加坡也是新加坡金融管理局(MAS)國際技術諮詢委員會委員,我是11個委員中唯一來自Web3行業的人。 此外,CertiK參與了日元穩定幣合規政策的起草,以及給日本金融廳(FSA)提供關於合約合規、黑客監控方面的建議;和馬來西亞數字經濟發展局(Malaysia Digital Economy Corporation,簡稱”MDEC”)也在共同起草Metaverse、Web3相關的政策文件;在韓國,CertiK同首爾和釜山市政府簽訂了MOU,展開了相關合作。 以上是CertiK和亞洲方面各國政府進行的一些合作,幫助他們起草合規相關的合規政策文件。 從2023年開始,包括亞洲區以及美國,整個Web3行業趨勢就是合規, 比如現貨ETF通過等主流敘事。合規的好處就是讓更多的用戶參與進來,更多傳統行業的用戶可以參與進來。 各國政府的政策還是先從穩定幣開始,CertiK在這個過程中努力推動各地政策的發展,幫助政府層面可以更好地理解Web3,因為很多時候不理解就會產生恐懼,幫助政府了解就會讓其慢慢去接納Web3,這是CertiK扮演的一個角色。 監管政策最重要的三點就是管得住、看得見、強制執行。 所以各國政府一旦開始談論合規,立刻就要談論安全。因為安全問題沒有解決,就會出現看不見、管不住的一個情況。所以現在對於鏈上交易變得越來越重視,這是其中一個原因。 MetaEra:Web3 領域未來的安全問題主要凸顯在哪些方面? 顧榮輝:我覺得有以下四個方面, 第一,代碼安全; 第二,代碼以外的項目安全,例如和智能合約的交互部分; 第三,私鑰管理; 第四,交易對手風險,比如你的交易是否安全,交互資產是否會被盜等等。 目前我們可以看到兩個趨勢,一是傳統銀行進入Web3行業,它們的安全問題會更加凸顯;二是散戶小白剛進入Web3行業,他們無法很好保管錢包私鑰,無法判斷一個項目或者一個智能合約是否安全。我們新Slogan中的「Your」就是想包含這兩類對Web3安全了解不多的群體,幫助他們更好地確保安全。 MetaEra:放眼全球,聚焦香港。CertiK 也在為香港的 Web3 發展出謀劃策,香港財庫局和金管局發布的穩定幣監管立法建議,就曾採納了 CertiK 的建議。就您觀察,香港的 Web3 發展到了哪一階段了? 顧榮輝:香港Web3的發展已經過了最早的蜜月期,現在進入陣痛期。我們看到了早期港府的決心,包括陳茂波司長的發言以及陸續政策的支持,在制定政策的過程中,港府和行業進行交流,廣泛聽取行業建議。政策有吸引力,這也讓很多企業來到了香港,這就是我所說的蜜月期。 過了蜜月期,企業就要開始發展業務和開發市場,進入這樣一個階段本身就具有挑戰性,公司需要實際的用戶和市場,本身就是一條充滿挑戰和困難的道路。 MetaEra:顧教授,您從校園走向社會,同時也創立了以區塊鏈安全為主旨的安全公司,請問這樣(走出校園,Web3創業)的轉變是有什麼樣的契機嗎?另外創辦 CertiK 的初心是什麼?到現在有變化嗎? 顧榮輝:我來說一下CertiK創立的過程。CertiK的名字取自於CertiKOS,在2016年的時候,我和CertiK的另一位創始人邵中教授一起研發了CertiKOS,這是世界上第一個全面的形式化驗證,防黑客、防攻擊的操作系統內核。在當時是一個技術突破,在業界收穫了很大反響,我也靠著這個研究成果拿到了哥倫比亞大學的教職。 首先說說形式化驗證,它是通過數學的方法去證明一段代碼的安全性。它可以達到目前最高的安全標準,但是成本也很高,需要的時間也比較長,所以說它之前只能應用在非常核心、非常關鍵的領域,很難進行大規模的應用。在2016年,我們完成了CertiKOS的驗證工作,也證明了形式化驗證已經到了應用階段。 在2016年還發生了一個事情,以太坊上的…
