2024年12月4日,《彭博商业周刊》刊登了对CertiK联合创始人顾荣辉教授的专访。《彭博商业周刊》作为全球最具影响力的财经媒体之一,被广泛认为是商界人士和投资者必读的刊物之一。它以其深入的分析和评论而著称,为投资者和企业决策者提供了重要的信息来源。杂志的报道覆盖全球120多个国家和地区,拥有超过470万的全球读者群,全球发行量接近100万份,在美国和亚洲具有强大的影响力。
此次《彭博商业周刊》的专访中,顾教授从行业专家的角度,详细解读了当前Web3领域面临的主要安全挑战,同时结合CertiK多年的实践经验,分享了对行业未来发展的独到见解。
以下为报道全文:
Q&A:CertiK聯合創辦人兼CEO顧榮輝
區塊鏈大規模發展的關鍵之一有賴於智能合約,因其毋需第三方機構介入,一旦滿足預設條件便可自動執行。而黑客也可能利用這特點,就漏洞進行攻擊。區塊鏈安全公司CertiK的創辦初衷便是最大程度保障智能合約的安全性。該公司聯合創辦人兼CEO顧榮輝接受《彭博商業周刊/中文版》專訪,解讀Web3安全領域面臨的挑戰。同時身為香港Web3發展專責小組成員的他,也對香港Web3的發展提出建議。
你本人是哥倫比亞大學的教授,當時出來創辦CertiK的契機是什麼?
我的研究方向是形式化驗證,用數學方法去證明軟件系統的安全性。傳統的安全方法是找系統中可能存在的漏洞,而我們是試圖證明這個軟件的設計、開發和實現都符合規範,相當於窮極所有可能性。這項技術此前一直被認為難以應用到真實複雜的系統,直到2016年我們做出了CertiKOS,這是世界上第一個完全經過形式化驗證的多核操作系統內核。
同一時間區塊鏈上爆發了The DAO遭遇攻擊事件,三百六十多萬枚以太坊(Ethereum)因此丟失,大家開始意識到區塊鏈上的安全挑戰遠遠超過了其他計算平台,在其上的攻擊會直接造成金錢損失。且由於智能合約部署後便會馬不停蹄地執行,以致於即使檢測到攻擊也無法攔截它。因此大家期望盡可能確保區塊鏈智能合約的安全性,在此背景下我們便創辦了CertiK,提供包括智能合約審計在內的多項安全解決方案。
有一些經CertiK審計過的項目還是出現了安全問題,包括智能合約審計在內,Web3安全領域目前還面臨哪些挑戰?
安全是一個「整體」的事情,就像一座房子,將防盜門打造得堅固無比,但可能你的電力系統被攻陷,對方還是從某扇窗進來了。目前很常見的現象是,很多公司或項目方的安全預算有限,認為只要把代碼的其中一個版本,甚至核心的部分代碼拿出來做安全審計就放心了。但一旦代碼升級,或有新的部署,還是可能出現問題。
市場和業界對於安全的認知不足,就是Web3安全領域目前面臨的一大挑戰。此外,區塊鏈的創新非常多,無論是安全專家,還是我們內部工具的版本升級,都面臨極大壓力。對我們而言,這幾乎是一場24/7全天候的戰爭,因為黑客不會休息。
很多人形容CertiK是Web3安全領域的「四大」,當你們面對大量業務,如何平衡審計的廣度和深度,以及業界為何要信賴如你們一樣的中心化公司?
面對龐大的業務,我們一直在做的是推動安全審計或代碼審查(code review)產品化。許多內部工具可以幫助我們自動化地生成一些審查報告,安全專家會在此基礎上分析複核所有可疑的地方,而不是逐行看代碼。我們的原則是寧願誤報也不可漏過,以2023年為例,我們發出了超過1000份審計報告,真實的漏報率低於1%。至於中心化的問題,我們能做的就是盡可能地公開透明。CertiK從2020年開始公開了所有審計報告。但公開的審計報告不是某個項目的「章」,只是告訴大家我們做了哪些測試,審查了哪些代碼。
CertiK去年落戶香港,請你談談目前在香港的業務發展或合作。同時,你個人作為香港第三代互聯網發展專責小組成員,對於這兩年香港發展虛擬資產的行動和變化有何建議?
CertiK目前和數碼港深度合作,以工作坊等形式為該社群中的企業和從業人員提供Web3安全教育。同時,香港有不少Web3企業正在申請合規牌照,我們也為其提供安全審計、安全架構設計等服務。
作為專責小組成員,我認為香港發展Web3的態度積極,行動迅速。比如(虛擬資產)交易所牌照、現貨ETF的通過等,每一項合規框架背後都有極大工作量。但在執行層面,港府有時可能過於保守。我同時也擔任新加坡金管局國際技術諮詢委員會委員,以發行代幣化債券為例,星港兩地就有明顯差異。新加坡選擇在公鏈上發行,CertiK全程提供安全審計;而港府選擇將其部署在高盛的私鏈上,可見港府在具體落實創新時仍有太多顧慮,擔心風險可能帶來的負面影響。儘管新加坡因為FTX事件「聲譽受損」,已然在面對Web3時較此前更為保守,但在代幣化債券,乃至穩定幣牌照等方面仍較香港更大膽。