近日,CertiK联合创始人顾荣辉与币安创始人CZ(赵长鹏)进行了一场炉边谈话,共同探讨市场转型背后的关键因素,包括技术进步、用户需求变化以及全球监管环境的演变。
文章作者:CertiK
他们不仅分享了对行业未来的独特洞察,更深入分析了当前加密世界所面临的安全挑战与日益变化的监管框架,提供了关于创新、安全与合规的深刻洞察。区块链媒体PANews对这场精彩的对话进行了深度报道,以下为报道全文:
加密主流化进行时,CertiK创始人与CZ对谈探讨加密市场生存之道
比特币突破10万美元大关,迎来了历史性的重要时刻。这不仅是价格上的里程碑,更是市场情绪、资金流动和生态格局变化的集中体现,标志着加密行业迈入一个全新的阶段。
在这个重要时刻,CertiK官方发布了一条近40分钟的精彩视频,其联合创始人顾荣辉与币安创始人CZ齐聚阿布扎比,展开了一场精彩的深度对话。两位加密行业的领军人物共同探讨市场转型背后的关键因素,包括技术进步、用户需求变化以及全球监管环境的演变。他们不仅分享了对行业未来的独特洞察,更深入分析了当前加密世界所面临的安全挑战与日益变化的监管框架,提供了关于创新、安全与合规的深刻洞察。
通过这段视频,我们得以见证两位行业领袖如何凭借自身的视野和经验,引领行业迈向更加成熟、安全和合规的未来。
左起:CertiK联合创始人顾荣辉、币安创始人CZ、Luna Media Corp首席执行官Nikita Sachdev
加密市场今年损失已超20亿美元,链下反成安全重灾区
加密市场步入主流视野,不仅极大地拓宽了用户和资金的增长空间,同时也对安全信任基础提出了更高要求。从被攻击规模来看,加密市场正成为安全重灾区,仅在2024年上半年,因黑客攻击和网络钓鱼等事件就已造成20亿美元损失,超过2023年全年总损失。这也进一步凸显加密领域安全机构在网络安全和代码审计的重要性。
CZ和顾荣辉在访谈中也强调了加密安全的重要性,并提到审计过程中的困难与挑战,尤其是不可预见的威胁,始终是一个难题。
据顾荣辉披露,当前的攻击模式与以往相比发生了明显变化。尽管越来越多的企业和项目开始重视代码审计,并与CertiK等外部安全公司合作,部分智能合约的攻击得到了有效遏制,但今年的攻击金额反而出现上升。这背后,不仅是攻击者不断升级攻击策略的结果,还有项目方在密钥管理、内部人员安全等方面的薄弱环节,进一步加剧了攻击风险。
他进一步指出,对于大多数复杂的Web3应用而言,它们在某种程度上是Web3和Web2系统的混合体。通常情况下,Web3部分主要由智能合约组成,例如部署在各种区块链上的代码,而Web2部分则涵盖了密钥管理和其他后台服务。尽管越来越多的人认识到对Web3部分进行代码审计的重要性,但对Web2部分的安全性的关注仍处于非常初级的阶段,甚至许多项目方对Web2部分的安全性重视不足。在某些情况下,他们不愿意公开Web2部分的源码,尤其是涉及密钥管理的部分。这无疑为加密市场的整体安全性增加了更大的挑战。值得注意的是,单一的薄弱环节可能威胁整个系统的安全性,这正是最令人担忧的地方。
在这一点上,CZ以自身经验进一步补充指出,大多数人在谈论安全时,通常会想到系统安全、网络安全或智能合约的审计,但实际上安全的范畴要广泛得多,包括员工安全、社会工程,甚至是办公室的物理安全、企业的组织架构设计,都可能对整体安全造成影响。安全远不只是简单的代码审计,它涉及到整个企业的各个层面,是一个综合性的、系统化的挑战。
而加密项目在中心化系统的安全审计,对于安全机构却有着一定困难。“通常而言,大部分项目并不愿意将涉及Web2部分的内容开放给外部团队,比如密钥管理系统,这也增加了审计的难度。目前密钥管理并没有黄金标准,但CertiK一直在推动行业的最佳实践,并针对这类问题采取渗透测试等手段提供有效的安全保障,但效果仍存在一定局限。”顾荣辉表示,如果项目方能够在一定条件下分享这些关键代码,尤其是提供源码以进行白盒测试而非黑盒测试,那么系统架构将得到更深入地分析,从而发现并解决更多潜在的安全隐患,显著提升整体的安全性。
据顾荣辉介绍,作为资深的安全“守门员”,CertiK已建立深厚的技术积淀以及严格的审计标准,仅在过去一年,其便因发现多个系统与可信环境交互的漏洞,多次得到苹果公司的公开致谢,同时被三星选入“名人堂”。
借助新技术提升效能,网络安全是全员共同责任
加密市场体量日益扩大的同时,黑客攻击、网络钓鱼等安全事件频发也给项目方和投资者带来巨大的经济损失。尤其是随着人工智能等新型技术的兴起,在带来更加复杂的攻击手段的同时,也促使安全机构不断提升技术应对能力和审计体系的灵活性。
“人工智能从最初主要应用于客户支持,那时候我们叫它稀疏矩阵、推荐引擎,到如今人工智能已发展为能预测下一个词的语言处理引擎,人工智能与区块链一样是个充满潜力的技术领域。但我们仍处于尚处于挖掘人工智能潜力的初级阶段,未来该技术不仅可能被武器化用于网络攻击和敌方目标分析,也将在防御这些攻击中扮演关键角色,并应用到区块链、生物医学研究等众多领域。”新兴技术带来的时代变革下,CZ强调了对人工智能的高度关注。
然而,应对不断演进和升级的攻击手段仍然充满挑战,即使是拥有强大技术实力和丰富资源的行业巨头,也难以独善其身。
“举个例子,密钥管理是中心化交易所或去中心化交易所至关重要的一环,但面临着诸多复杂挑战。比如虽然多方参与密钥管理可以提高效率,但信息披露却可能带来更大的风险;若使用专用且不联网的设备进行密钥存储,但在签署交易时仍不得不面对潜在威胁。因此,如何在保障交易安全的同时有效管理密钥,成为加密领域亟待解决的难题。即便可以进行安全审计,但诸如计算机病毒感染等潜在威胁依旧存在,且对于一些新成立或知名度不高的安全公司,项目方则更倾向于保密密钥管理的具体细节。”CZ在讨论中提出了项目方的顾虑和挑战。
针对这一现状,顾荣辉提出了具体的建议,或许能为加密创业者和从业者提供一定的指导。他举例表示,“例如,在私钥管理的领域,设备感染病毒是一个严峻的安全问题。为此,构建基于硬件的可信执行环境(TEE)显得尤为重要,比如用于存储指纹或面部信息的安全模块,能够在设备被感染的情况下依然保证私密信息的安全。即便设备遭到入侵,只要存储在可信执行环境中的信息得到了正确管理和交互,这些信息仍能免受外部威胁。”
顾荣辉还进一步指出,网络安全不仅仅是某一个团队的竞争优势,它更是一种全员共同承担的责任,涉及多个层面和环节,需要各方的协作,包括用户、项目所有者、开发者、安全公司,甚至执法机构等。对于项目所有者而言,他的建议是安全评估应当贯穿整个项目生命周期,采取端到端的方式进行持续的安全检查,而不是只停留在某个版本的审计上。许多项目方可能认为某个版本经过了完全的审计后就可以高枕无忧,后续即使有些微小的改动也不再进行评估,这种做法是错误的。网络安全是一个持续演进的过程,随着项目的变化和外部威胁的不断升级,必须时刻保持警觉,定期进行评估和更新。通过各方携手合作,虽然依然无法保证百分之百的安全,但至少可以最大限度地减少潜在的威胁和漏洞。CertiK也在开发更多的服务试图覆盖更长的生命周期,以及为客户的系统提供更全面的保护。
从两位领袖的探讨来看,虽然没有任何安全审计机构能提供绝对的保障,但引入新技术确实能够显著提升应对能力和效率。然而,对于项目方而言,最根本的还是要主动参与、深入研究自己的系统,确保其能够有效应对各种潜在风险,并做好充分的防护准备。
注:顾荣辉和CZ
从生态建设到用户教育,助力加密货币迈向主流化
“美国是这波牛市的主要推动力。机构投资者正在加速进入市场,如BlackRock的比特币ETF等产品在获批数月就已吸引数百亿美元的资金。再加上特朗普的当选,他本身是非常支持加密货币。而美国作为全球领先的市场,其他国家必然会跟随其步伐,这将引发一场全球范围的竞赛。此外,像MEME币等新兴使用场景也在推动市场发展。” CZ在访谈中复盘本轮牛市的上涨因素。
这也意味着,加密货币正在加速迈向主流,不仅将为市场带来了更多的流动性,也促进了更专业的价格发现机制。当然,在这一趋势下,全球范围内对加密领域的建设竞争愈加激烈。
CZ在对话中也明确指出,各国在加密领域的监管政策正呈现出异常激烈的竞争态势。从亚洲的日本、新加坡到香港,再到中东的阿联酋和巴林,各国都在努力打造自身成为全球加密货币中心的地位,美国新一届政府对加密货币的支持态度更是为这场竞争增添了新的变数。
合规大势所趋下,CertiK正在积极与全球监管机构合作。例如,顾荣辉担任新加坡金融管理局(MAS)和香港Web3发展专责小组成员,并为监管框架的制定提供了建议和反馈。比如,香港最近发布的稳定币合规框架草案中, 其中有两条建议是CertiK提供并被采纳的。同时,CertiK还为多家知名企业提供稳定币相关的安全审计与合规服务,包括新加坡首个持牌稳定币发行商Paxos、Paypal等大型金融机构。
与此同时,在这样的背景下,唯有积极投身于加密生态的建设,才能更好在未来市场竞争中占据一席之地,这也是CertiK一直以来的重点。CertiK在今年推出了CertiK Ventures, 专注于Web3生态的成长,旨在市场低迷期为社区注入活力。顾荣辉透露,CertiK Ventures的核心策略是投资于早期阶段的Web3项目,如SEI Network、WeMix、Kaia等生态系统,同时也将目光投向了能够加强网络安全能力的公司,包括开发者工具、链上监控系统和测试框架等领域。此外,CertiK还与许多传统行业的大型公司合作,帮助这些公司积极学习并理解Web3,探索在该领域开展业务的可能性。但顾荣辉也认为,这一转变是一个渐进的过程,需要整个行业所有成员的共同努力。
而在加密货币日益走向大众化的趋势下,用户教育无疑是行业发展的关键环节之一。正如CZ在对话中所提到的,全球范围内教育资源的不均衡,尤其是发展中国家的文盲问题,是阻碍人们进入加密世界的巨大障碍。但现在通过设备和应用程序可为缺乏教育资源的孩子提供高质量的学习内容,如“边学边赚”的模式,可从根本上改变他们的命运。为推动这一进程,CZ也推出了教育平台Giggle Academy,不仅投资于Web3区块链、人工智能和生物技术等领域,更将教育视为改变未来的重要途径。
顾荣辉同样表达了推动教育的强烈意愿,并为新进入市场的投资者提供了安全教育建议。他表示,去中心化的精神是区块链和智能合约设计的核心,但这也带来了信任的挑战。许多零售用户并不完全理解智能合约或区块链的工作原理,因此更容易信任中心化的公司而非代码本身。对此,顾荣辉强调,投资者不应单纯依赖CertiK等安全机构的审计报告视为一种“安全印章”,而应更加重视项目的透明度和公开信息。为此,CertiK还开发了Skynet平台,让用户可以更方便地访问和理解这些数据,从而帮助他们更好地进行尽职调查。
除了风险评估外,CZ还提醒投资者要根据自己的风险承受能力设定“合适规模”的投资,避免因过度投入而面临更大的经济压力。