2024年11月29日,Web3行业权威媒体Blockbeats发布了对CertiK创始人顾荣辉教授的专访,文章介绍了CertiK从初期创立到发展壮大的独特历程,并针对当前行业内的敏感问题作出了回应。
以下为Blockbeats的专访全文:
专访CertiK联创顾荣辉教授:
「盖章式审计」风波下,CertiK何去何从
在加密行业中,安全性是每个项目和平台的基石。随着区块链技术的发展和数字资产的广泛应用,安全问题也日益成为关注的焦点。
在2024年新加坡金融科技节(SFF)上,CertiK联合创始人、哥伦比亚大学计算机科学教授顾荣辉发表了题为《超越代码,引领信任》的主旨演讲。顾教授在演讲中回顾了自己的学术之旅,以及从学术研究到创办Web3安全公司CertiK的跨越,强调了“安全不仅是竞争优势,更是共同责任”的核心理念。
顾荣辉教授在演讲中提到,2023年4月DeFi协议Merlin遭遇的200万美元黑客攻击,给整个区块链行业带来了深刻的警示。
新加坡金融科技节作为全球金融科技的顶级年度活动,由新加坡金融管理局(MAS)和Elevandi联合主办。借着这个契机,BlockBeats和CertiK联合创始人顾荣辉聊了聊。
学术起始与CertiK的诞生
2010年代的清华园里,计算机科学逐渐成为精英学子的热选。然而,与众多追逐热点研究的学生不同,顾荣辉选择了一条冷门但极具深度的方向——形式化验证。这一领域专注于通过数学证明确保软件系统的正确性,是编译器、操作系统等基础设施的核心保障。尽管在国内起步较晚,形式化验证一直有着高需求,尤其是在保障系统安全和稳定方面。
在清华时,顾荣辉师从董渊教授,初次接触形式化验证技术。他参与的研究项目RA(Region-based Allocation)为他奠定了理论基础。清华的四年时光,让他对学术研究产生了浓厚兴趣,也促使他追寻更高层次的学术突破。2012年在清华毕业后,顾荣辉选择前往耶鲁大学,跟随著名学者邵中教授继续深造。
耶鲁的实验室不仅是顾荣辉的学术发源地,也是他与区块链行业初次接触的地方。在邵中教授实验室中,顾荣辉遇到了加密行业的传奇人物——烤猫。在2013年消失前,烤猫就已经创造了一个比特币矿机帝国,而顾荣辉正是那段时期的早期历史见证者。
具体地说,烤猫是CertiK联合创始人邵中教授的博士生、耶鲁中科大联合实验室的学生,同时也是顾荣辉的学长与耶鲁计算机系301办公室的office mate。“当时我在学习XCAP framework(CertiK CTO倪兆中博士的工作成果),很多Coq代码都读不懂,有问题的时候都会去问烤猫。那个时候在耶鲁,烤猫就在布道比特币了。”顾荣辉回忆道。
不过对于烤猫传奇的消失经历,顾荣辉也并没有什么内幕,“2013年回国在苏州(耶鲁中科大实验室所在地),烤猫还请我单独吃了一顿火锅。那也是我最后一次见到他。消失后没有过联系。”
学术创新的商业化:从CertiKOS到CertiK
在耶鲁的研究经历让顾荣辉敏锐地察觉到形式化验证的潜力。2016年,他与团队成功研发了CertiKOS,这是全球首个完全形式化验证的多核操作系统内核。
此外,顾荣辉的团队还研发出了首个被完全验证的商用云hypervisor系统SeKVM;与Arm合作完成了Confidential Computing Architecture(CCA)的验证工作,此成果将会应用到下一代ArmV9芯片上;与蚂蚁集团合作完成了HyperEnclave系统的验证工作。
这些成果不仅引起了学术界的瞩目,也让顾荣辉看到了形式化验证技术在现实世界的广泛应用可能性。“CertiKOS的成功让我意识到,形式化验证不应该只停留在实验室里,它完全可以为区块链和Web3领域提供强有力的安全保障。”顾荣辉说道。
因此顾荣辉与邵中教授于2018年1月联合创立了CertiK。公司名称来源于“CertiKOS”,寓意“可证明的安全”,这也成为了公司核心理念的象征。CertiK的目标,是将形式化验证的严谨性带入区块链领域,为数字资产提供顶级安全保障。
在邵中教授和多位清华、耶鲁校友的支持下,CertiK组建了一支堪称“豪华”的初创团队。团队成员不仅学术背景突出,更有着丰富的行业经验。联合创始人邵中教授,中科大少年班,不仅是耶鲁大学计算机系主任,更是普林斯顿大学博士、世界级学术权威;CTO倪兆中博士则是顾荣辉清华和耶鲁的学长,曾担任全球信息学奥赛总教练,并多次指导学生获得金牌。团队中的多位高管和技术骨干同样出身于清华,并在信息学竞赛、计算机领域中屡获殊荣。这种深厚的学术积淀与技术实力,使得CertiK从成立之初便在行业内备受瞩目。
创立后的短短两个月,CertiK便获得了350万美元种子轮融资,由Lightspeed Venture Partner领投。公司发展迅猛,不断获得资本青睐:2020年6月,IDG Capital领投了700万美元的A轮融资;2021年至2022年间,CertiK连续完成四轮融资,总估值一跃达到20亿美元。据公开信息显示,截至2021年12月,CertiK完成了20倍的收入增长,员工人数增加了4倍。
尽管发展迅猛、融资节奏快、金额大,CertiK却始终保持克制。“2021和2022年期间,确实有很多投资机构找到我们希望投钱,我们也确实拒绝了很大一部分。因为CertiK的现金流一直很健康,我们更希望获得战略投资,能够在业务上助力我们,而不仅仅是为了引入财务投资,因此我们是有选择地接纳投资。”顾荣辉回忆道。
从产品创新到行业影响:CertiK的崛起之路
能成为行业独角兽,肯定不只有豪华的团队,还得有过硬的产品创新。
在发展过程中,CertiK不断推出创新产品,以应对区块链行业不断变化的需求。其中,2022年上线的CertiK Skynet for Community,是为Web3用户打造的项目安全信息搜索引擎。该平台为普通用户提供安全评分,帮助他们更好地评估项目风险,为行业普及安全意识奠定了基础。
2023年,CertiK进一步推出了SkyInsights,一个为项目方量身定制的实时监控工具。SkyInsights不仅高效,还具备成本优势,它能够协助项目方在快速变化的市场中保持安全性和合规性。这一工具迅速成为项目团队在复杂的Web3环境中确保安全运营的利器。
2024年,CertiK再度升级产品矩阵,推出了两个颇具影响力的新项目。CertiK Quest以问答和知识卡的形式,向用户科普Web3相关的安全知识,为行业培养了更广泛的安全意识;与此同时,CertiK Ventures宣布了4500万美元的投资计划,旨在通过资金、技术和人才支持,助力Web3领域的潜在明星项目成长。这一战略性布局,不仅提升了CertiK在行业内的影响力,也巩固了其作为安全领域领导者的地位。
此外,CertiK还升级了产品线,提出了“全生命周期安全解决方案”的理念。这一解决方案覆盖项目从初创到成功的每一个成长阶段,将安全深度嵌入到Web3生态系统的每一个环节,并辅以新的Slogan:“Elevating Your Entire Web3 Journey”。CertiK将安全服务聚焦到更为具体的对象,如项目方、交易平台、钱包以及终端用户,通过定制化解决方案确保全方位的安全保障。
“很多项目会觉得安全是上线之前一次性的安全审计,会把它当成一个时间点的服务,但安全需要伴随整个项目的生命周期,我们希望可以陪伴用户从早期一直到上线、上链、上币,再到成熟期的运营。”
CertiK的安全引擎,是其技术竞争力的核心体现。这一引擎依托先进的形式化验证、自动化扫描和深度规范分析等技术,帮助安全专家高效地发现代码中的潜在问题。顾荣辉教授形容它为“安全专家的智能助手”,类似于ChatGPT在文本处理领域的角色。
该引擎的模型数据来源于CertiK多年来积累的审计经验和知识库,涵盖了4700家客户的代码样本、15万个安全漏洞以及超过40个大型漏洞的详细报告。这些数据为引擎提供了强大的分析能力,使其能够快速识别智能合约和区块链应用中的隐患。
以TON公链为例,CertiK不仅为其提供了代码审计和形式化验证,还在上线后帮助进行了性能测试和社区建设。这种全流程的支持已超越传统安全领域,进一步为项目方提供了多维度的增值服务。这也反映出CertiK从单一服务提供者向“安全合作伙伴”角色的转型。
此外,随着区块链行业的普及,CertiK逐步将目光从2B(面向企业)扩展到2C(面向消费者)领域。2024年,CertiK推出了免费的社区安全工具Token Scan和Wallet Scan,为普通用户提供了简单易用的安全检测服务。这些工具的推出,不仅降低了安全技术的使用门槛,也让更多人能够参与到Web3安全生态的建设中。
CertiK希望通过这些工具,让C端用户具备更强的安全意识和防范能力。顾荣辉坦言:“CertiK服务了4700家客户,找到了15万个安全漏洞,汇报了超过40个大型漏洞,可以说我们对社区做了非常大的贡献,但是我们对于C端以及开发者社区还是不够的。”未来,CertiK计划推出更多的免费安全工具,以回馈社区支持并推动行业健康发展。
澄清与回应:“盖章式审计”的误解
在一个技术快速迭代且安全需求复杂多变的领域里,争议在所难免。从“盖章式”审计的批评,到部分项目出现问题后的舆论质疑,CertiK经历了公众和行业的多重考验。如何正视这些问题、揭示背后的原因,同时为行业发展作出更大贡献,成为CertiK不可回避的使命。
安全审计,从本质上来说,是对特定时间点代码安全性的专业评估,而非对整个项目生命周期的全面保护。CertiK作为审计服务的提供者,面临着几大现实挑战:
代码范围的限制:很多项目方在提交审计时,只提供了部分代码或测试版本的代码。这意味着,审计只能基于这些内容进行风险评估,而无法覆盖整个项目的代码库。项目上线后,如果代码有改动但未经审计,就可能导致安全隐患。
审计后的改动:一些项目方在审计后为了快速上线,会对代码进行修改或新增功能,但这些改动未经过安全审计。这种“后续变动”往往是安全事件的主要原因,而非初期审计的疏漏。
成本与资源:全面深入的安全审计成本高昂,并非每个项目都能负担得起。即使是知名项目,有时也会因预算问题选择局部审计而非全代码覆盖,这进一步加大了潜在风险。
审计与执行的断层:即使CertiK提供了详尽的风险建议和优化方案,最终的实施仍由项目方负责。然而,有些项目方并未完全执行审计建议或整改方案,这也成为安全问题发生的另一重要原因。
面对质疑,CertiK也给出了自己的回应。例如,自2020年以来,CertiK将所有审计报告公开,供用户和社区监督。公开审计报告的决定在当时遭到广泛反对,无论是公司内部、合作伙伴,甚至投资机构都非常抵触。
“因为一旦公开,任何安全事故发生时,大家都会将其与CertiK联系起来。目前还没有其他安全公司敢于公开所有审计信息,因为这意味着面对问题将无所遁形。对于CertiK而言,公开透明的信息是一把双刃剑,但对于行业而言却是积极的推动。”顾荣辉解释道。
“我们坚持即使这种选择对CertiK带来挑战,但只要对行业有益,CertiK也会坚定执行。从2020年至今,CertiK始终保持初心,即便有项目方出现问题,CertiK也承担了随之而来的负面影响。直到今天,我们都会将报告公开发布在网站上。”顾荣辉表示。
此外,为了解决这些问题,CertiK推出了CertiK Skynet排行榜和安全评分系统,以增强审计报告的透明度和真实性。通过排行榜和项目信息页面来确保审计报告的可访问性和真实性,避免了被篡改或伪造的风险。CertiK的安全评级系统综合考虑了链上数据、GitHub代码库、审计信息和社群状况等多个维度,为用户提供了更全面的项目安全信息。
另一方面,CertiK还推出了Quest功能,这是一种问答奖励机制,旨在向社区展示更多技术细节、安全知识。通过这种方式帮助用户更深入地了解项目的安全相关信息,理解安全的作用。
Web3安全领域从来都不是“完美安全”的保障,而是技术与风险博弈的动态平衡。CertiK在这个过程中,既要直面技术局限与项目方执行问题,也要承担公众质疑的压力。
危机中的责任
在Web3的世界里,黑客行为的界限比传统互联网更加模糊。传统意义上的“黑帽子”与“白帽子”之间,在Web3中存在大量灰色地带。例如,部分黑客声称为了“公共利益”而曝光漏洞,但他们的行为未必符合现有法律法规。这种复杂性为安全公司带来了更多挑战。
自2020年以来,CertiK已进行70多次白帽行动,通过严格遵守白帽守则,并在不损害用户或公众利益的前提下,发现并修复了数万起安全漏洞。例如,CertiK因发现关键漏洞获得了Sui项目的最高漏洞赏金,CertiK具有行业领先的链上实时攻击监测和预警能力,并重点追踪拉撒路集团相关案件的资金流转,为行业提供了宝贵的安全防护经验。
然而,CertiK也深知,仅靠技术手段不足以全面解决问题,Web3的安全问题不仅存在于技术层面,更涉及人性与信任的复杂交互。
例如,在Merlin事件中,幕后黑手并非代码漏洞,而是项目内部人员的恶意行为。CertiK通过严格的背景调查与实时监控,进一步完善了防范内部威胁的机制。
此外,CertiK曾向另一个交易平台报告了任意指定兑换价格的漏洞,而这次预警几乎是无偿提供的服务。如果这一漏洞未被发现,交易平台可能会面临生存危机。顾荣辉教授在一次访谈中表示:“很多时候,我们的工作并不被外界看到,但正是这些看不见的努力,防止了许多潜在的重大损失。”
在Web3的安全战场上,黑客组织的攻击手段日益复杂,Lazarus集团就是其中的典型代表。这个组织以其高超的社会工程攻击、供应链攻击,以及假扮开发者植入漏洞等手法,在全球范围内制造了大量安全事件。
CertiK不仅在技术上与Lazarus集团展开对抗,还通过资金追踪和反洗钱工具,持续监控其涉案资金的流转。2022年,Merlin事件中幕后黑手被联合国确认与Lazarus集团有关,而CertiK在这一事件中的调查工作被视为与黑客“0距离交锋”的典范。这也促使CertiK在资金追踪、漏洞扫描和KYC(身份认证)等领域进行了全面升级。
“Web3安全行业是一个需要7x24高度警备,随时和黑客短兵相接,随时斗智斗勇捍卫客户和社区利益。虽然这场战争可能永远没有办法一劳永逸地止息,但也正是这个特征让CertiK有了强烈的使命感,我们会秉承初心,贯穿始终地守护Web3安全。”CertiK表示。
初心未改,CertiK将引领区块链安全与合规,共建Web3生态新未来
在之后的道路上,致力于推动区块链行业向善并坚守白帽精神的CertiK,不仅将继续其作为区块链行业独角兽的地位,也将积极承担起新的责任与角色。目前,CertiK已与五个国家和地区的监管机构建立了合作关系,在政策制定和合规支持上发挥了重要作用。
顾荣辉教授作为新加坡金融管理局(MAS)国际技术咨询委员会的成员,参与了多个重要框架的讨论。他还受邀成为香港Web3发展专责小组的成员,协助推动数字资产管理规则的形成。
在新加坡金融科技节上,顾荣辉教授以主讲嘉宾身份分享了他的观点。他表示:“监管的核心在于‘管得住、看得见、能执行’。在链上交易愈发复杂的今天,安全问题已成为监管的关键支柱之一。”
CertiK的政府合作范围广泛且深入。例如,CertiK为香港金管局和财库局联合发布的稳定币监管制度建议提供了专业意见;参与了日本金融厅(FSA)关于日元稳定币合规政策的起草工作;与马来西亚数字经济发展局合作,共同制定Metaverse和Web3的政策文件;还与韩国首尔和釜山市政府签署了合作备忘录,提供区块链安全和风险防控的技术支持。这些努力不仅巩固了CertiK在行业内的领导地位,也彰显了其对行业发展的深刻责任感。
与此同时,CertiK宣布推出旗下风投部门CertiK Ventures,并设立了4500万美元的投资计划,旨在支持Web3生态中具有高潜力的新兴项目。该计划不仅是对行业未来的承诺,也是CertiK从技术提供者向生态推动者转型的重要一步。
CertiK Ventures的投资重点放在安全和基础设施相关的项目,尤其是那些具有可持续和可扩展商业模式的企业。CertiK希望通过资金和技术支持,帮助这些项目在快速发展的赛道中脱颖而出,并为其构建长期的技术合作关系。CertiK Ventures预计从2024年第四季度起开始分配资金,计划持续至2025年底,为更多项目提供全方位的成长助力。
除了政府合作与VC部门的建设,CertiK还透露了CertiK的最新计划——“21计划”,目标是在21个月内达到上市标准,并将客户体验管理(Client Insights First)作为核心战略。通过深入挖掘客户需求,CertiK致力于打造以客户反馈为导向的产品优化和服务提升体系。
在这一计划的指导下,CertiK推出了全生命周期安全解决方案。这套方案覆盖了项目从概念阶段到上线后的整个成长过程,从最初的设计审查到代码审计,再到上线后的社区管理与性能优化。CertiK已经将安全服务从防御扩展到支持,让Web3项目方能够在安全的基础上实现持续的创新。
CertiK对未来的展望也超出了传统的安全领域。在Web3逐步成为主流的背景下,CertiK计划将服务范围拓展到更多的传统企业,帮助它们顺利进入区块链生态。在面对行业牛市和熊市交替的环境下,CertiK通过优化团队结构、强化技术能力,为持续增长奠定了基础。
