文章作者:0x9999in1

文章来源:MetaEra

近日,MetaEra 香港专区重磅上线,“香港加密新政两周年庆典”系列活动领衔首发,其中重要的一环便是「高端对话:香港 Web3.0 影响力领袖人物」,本期采访的人物便是CertiK联合创始人顾荣辉。

人物介绍

顾荣辉,哥伦比亚大学计算机系教授、CertiK联合创始人。新加坡金融管理局(MAS)国际技术咨询委员会委员,香港政府第三代互联网(Web3.0)发展专责小组成员。顾荣辉本科毕业于清华大学,2016 年于耶鲁大学获得计算机科学博士学位。同时,顾荣辉是操作系统、软件安全以及形式化验证方面的专家,也是CertiKOS的主要设计者和开发者。

精华观点

●我觉得香港依然是最好的Web3创业地方之一,如果对于华人而言的话,我认为可能是没有之一,是最好的创业基地。

●我们认为安全需要伴随整个项目的生命周期,我们希望可以陪伴用户从早期一直到上线、上链、上币,再到成熟期的运营。

●我们不希望行业或者项目方认为通过CertiK 的安全审计,这个项目就完全没有安全问题了。

●CertiK所有在做的一切,就是让所有的东西公开透明。

●公开透明信息对于CertiK肯定是把双刃剑, 但是对于行业一定是个正向的结果。

●监管政策最重要的三点就是管得住、看得见、强制执行。

●香港Web3的发展已经过了最早的蜜月期,现在进入阵痛期。

●CertiK就要在这种不公平的对抗下,和黑客7*24的对抗,经年累月的对抗,尽可能保证我们的胜率

访谈全文

MetaEra:CertiK 于去年 8 月落户香港数码港,能否谈谈您自己的亲身感受,为那些还在观望香港 Web3 发展的从业人员和项目提供相关指导性建议呢?

顾荣辉:我记得2023年1月份,香港已经出台了一些相关政策,那个时候我觉得大家都处于观望的状态。CertiK 收到邀请来到香港,也见到了陈茂波司长,他发表了自己对于Web3金融政策的看法,让我感受到港府对于发展Web3的信心是很足的。

也就是从那个时候,我们开始着手组建 CertiK 在香港的公司。在那段时间,美国对于Web3的态度是这样的,SEC接连发起了十几起诉讼,大家就会觉得美国对Web3的态度和政策都变得非常不明朗,所以就有很多人把目光投向了亚洲。亚洲的金融中心主要有新加坡和香港,我接到香港邀请的时候,其实本人当时是在新加坡,也是新加坡金融管理局(MAS)国际技术咨询委员会委员,又因为新加坡主权基金淡马锡基金投资了FTX,FTX暴雷后,导致新加坡政策对于Web3的政策开始有些犹豫,我觉得香港很好地抓住了这样一个机会。

我们在香港选择入驻了数码港,其对于Web3创业者的支持是非常充足的,不仅会定期组织活动,还会有项目的孵化等等,我们从中也交流了很多。在整个过程中,我会感觉到香港自身独特的一个地位,加上港府发展Web3的决心,我们会觉得其是非常好的Web3创业基地。

如果说要我给其他Web3从业者一些建议的话,我觉得香港依然是最好的Web3创业地方之一,如果对于华人而言的话,我认为可能是没有之一,是最好的创业基地。第一,它有政策的支持;第二,它背靠深圳,不仅可以招募到金融方面的人才,而且也可以招募到很多优质的程序员和开发者;第三,越来越多相关企业的入驻,也让大家可以更好地找到合作伙伴或者客户。此外,如果有创业者想来香港创业,我非常建议第一时间联系数码港,目前CertiK 也在和数码港合作,可以给一些安全方面的证书,可以帮助大家申请到数码港的创业支持基金等。

另外,香港金融监管机构采纳CertiK建议,强化了稳定币监管框架,这个感受是非常好的!相当于港府可以倾听这个行业各个赛道的专业性的建议、想法和声音,从而去改进它的政策。我感觉在各地政府中,港府在这方面做得最好。

MetaEra:香港也在加密新政的号召下,引来众多Web3项目的入驻,请问您觉得这些项目是如何看待区块链安全的呢?华语区的创业者对于加密安全的看法是否和西方世界有所不同,您是否可以展开讲讲?

顾荣辉:我们是在Web3安全赛道,我们也可以说是Web3安全赛道的头部公司。首先,安全对于大部分的从业人员来说,你问任何一家企业或者创始人,项目的安全重不重要,他一定会说很重要!但是怎么样去提高项目的安全性,以及项目的安全到底包含哪几个方面?是否愿意为此付费?答案都是比较模糊和笼统的,所以大家都会觉得安全很重要,但是落实起来的话,我们感受到相关阻力还是比较大的。

第一,大家都觉得没有必要,总有一种侥幸心理,认为项目是安全的,项目不会受到攻击,这样很容易把项目安全忽略掉。第二,对于安全而言,区块链的安全到底包含哪些?作为一个区块链的项目方,他到底要做哪些方面的安全保护?其实问大部分的项目方都不太了解。在以前大家可能会比较多地听到代码审计,其中的一部分是CertiK的努力倡导使得代码审计这件事已经达成了一个共识,就是项目代码在内部人员测试完后,应该找外部的机构进行独立第三方的安全审计。

但是在三、四年前,并不是这样,在2020年DeFi刚开始的时候,大家慢慢意识到了代码审计的重要性。在这几年间,有些项目只是把一部分的代码做安全审计,因为费用很贵,甚至还有些项目会把这一版的代码做安全审计,但是之后代码更新的版本就不做安全审计了。这其实都存在着误区,代码的任何改动,即便是几行代码的改变都可能引入新的漏洞、新的攻击机会。 这一现象直到今天依然没有达到一个共识,就是项目所有的代码、所有的版本都应该做安全审计。

再往下走一步,代码安全审计只是区块链安全中的一小部分。整个区块链安全包括私钥的管理、非智能合约部分和智能合约交互的安全。比如有些项目还涉及节点安全,比如企业使用钱包,无论是多签钱包还是MPC钱包,这些钱包的解决方案是否安全。其实上述说的这些都已经超过了代码审计的范畴,但是这些部分的安全,很多项目方完完全全是零设计零保护,几乎属于在裸奔。在这种情况下,你会发现很多的攻击不再单单利用智能合约的安全进行攻击了,我们和数码港合作推出了一个安全培训,对创业者和企业家进行安全方面的培训,然后我们会有考试环节,会颁发证书。有了这个证书以后,就可以有资格申请数码港的基金支持了。因为把支持资金给你,至少可以避免被盗被丢的事情发生。

MetaEra:华语区的创业者对于加密安全的看法是否和西方世界有所不同,您是否可以展开讲讲?

顾荣辉:整体的看法还是一致的!2021年之前,大家对于安全的关注没有那么多,2021年之后,大家开始比较多的关注安全。但是其中可能有些细微的区别,可能就是西方的创业者对于安全的侥幸心理稍微小一些,而东方华语区的创业者,会有一定的侥幸心理,会觉得自己的项目没有安全问题。此外一个些微不同的地方,就是我们帮西方项目指出一些漏洞的时候,他们相对来讲持开放的态度,在华语区碰到一些项目,当你指出问题时,他们会有抵触的心理,他们觉得项目没有问题,代码没有问题,CertiK指出的问题反而对他们的项目是不利的。当然,我说的情况也是极个别案例。但是我想说,安全审计的目的就是帮你找到问题,帮你修复问题。

MetaEra:近期,我们看到 CertiK 的 Slogan 发生了变化,是基于什么样的考量做出这样的升级?CertiK 面向社区免费推出了 Token Scan、Wallet Scan 等安全工具。作为安全公司,CertiK 是否会将更多精力投向C端用户?

顾荣辉:我们先说 Slogan ,以前的 Slogan 是“Securing The Web3 World”,我们刚刚进行了升级,现在是 Slogan 是“Elevating Your Entire Web3 Journey”,这是一个挺大的改变。

那我想先说一下为什么我想做这样的改变,CertiK服务了4700家客户,找到了15万个安全漏洞,汇报了超过40个大型漏洞,可以说我们对社区做了非常大的贡献,但是我们对于C端,对于开发者社区等,我觉得我们的输出是不够的,我们对于社区的反馈,在过去几年是做得不足的地方。

“Securing The Web3 World”是我们一开始最朴素的想法,就是我们希望能够保护整个Web3行业、世界。那么我会自问,我们的客户在哪里?我们的社区在哪里?其实这个Slogan并没有很好地体现。当我们的愿景变得很宏大,变成一个行业、一个世界的时候,它反而有时候会忽视具体的社区、具体的客户、具体的C端用户。所以我在新的Slogan里加了“Your Web3 Journey”,我们非常希望把行业里的一个个人、一个个社区放到我们的思想里,让它变得更具体,而不再是一个宏观的世界。

第二,我们很多的客户会觉得安全是上线之前一次性的安全审计,会把它当成一个时间点的服务,但是我们认为安全需要伴随整个项目的生命周期,我们希望可以陪伴用户从早期一直到上线、上链、上币,再到成熟期的运营。

第三,Slogan的升级,我们认为安全不单单纯纯是防止不被攻击, 在整个生命周期里,我们是在给项目方赋能,包括CertiK现在也提供了很多超出了安全领域的服务,已经触达泛安全领域。在泛安全领域之外,我们也为客户提供了“Design Review”的咨询服务。例如TON公链,早期我们为其做了代码审计、形式化验证,在上线之后,我们还帮TON做了性能测试还有社区建设,这些其实都已经超出了安全领域的范畴。

所以说,为了更好定义CertiK的使命,更好定义CertiK的产品与服务,我们升级了CertiK的Slogan,新的Slogan包括了项目方、交易所、钱包和C端用户。 像Token Scan、Wallet Scan这些工具是完完全全免费的, 目的是回馈支持我们的社区,然后为我们的社区进行赋能。

MetaEra:很多初创的 Web3 项目,都会在自己的官方 PR 里强调自己已经通过了 CertiK 的安全审计,似乎“通过 CertiK 安全审计”已经成为了行业标准,那么您觉得,一些项目方把这个方面宣传为自己项目的优点和优势,用户可能会被培养出“通过 CertiK 审计就是好项目,没通过 CertiK 审计就不是好项目”的固化思维,对这个现象,您怎么看呢?

顾荣辉:首先我很开心看到很多项目把通过 CertiK 的安全审计作为项目的一个加分点,并作为项目的优势去进行宣传。这肯定是对我们的工作、技术和品牌的认可,无论如何这是一件开心的事情。

但我也想说一个最大的误区,我们不希望行业或者项目方认为通过CertiK 的安全审计,这个项目就完全没有安全问题了,我们一直在强调这是两件事情。

首先,CertiK 的安全审计和项目的安全中间存在很大的缺口,安全审计和项目方安全其实包括了很多非安全审计的部分。

第二,CertiK 很多时候只能拿到部分代码,甚至是一个版本的部分代码进行安全审计,那么也没有办法对整个代码库进行任何的保证。

第三,图灵和其他科学家的工作表明,理论上没有任何通用的办法可以保证一段代码是百分百安全的。那么通过安全审计也不意味着代码是百分百安全的。但是通过CertiK 的安全审计可以表明项目方对于安全的重视,这个需要项目方花费时间的成本、金钱的成本,甚至是延期上线等来提升项目整体的安全性。此外通过CertiK 的安全审计可以极大提高项目的安全程度。

从这些角度来讲,通过CertiK 的安全审计确实可以作为项目方的优势。但是我们不希望把它变成一种固化思维,这种思维对于项目方和CertiK都有可能造成反噬效果。所以我们在不断地去阐述事实是什么样的,再次感谢项目方以及行业对我们的认可。

MetaEra:CertiK 在今年碰上 Kraken 的事件,想必大家都比较了解双方各执一词的情况,那么从公关危机的角度来说,这个事件给 CertiK 带来了哪些成长启示和实际影响呢?

顾荣辉:这个事件的热度远远超出了我们的想象,事情已经过去几个月了,我们回过头去看这件事情,有几个很明显的结果。

第一,Kraken出现了很严重的漏洞,CertiK发现了漏洞并且快速通知了Kraken,Kraken修复了漏洞,最终没有造成任何的用户损失。Kraken自己都会承认,这可能是有史以来最严重的交易所漏洞,CertiK发现并帮助其修复了漏洞。从结果来看,这是对于整个行业的一个Big Win。

第二,如果再让我们重新经历一次,CertiK依然会不改初衷的第一时间对Kraken进行汇报,帮助他们去避免任何可能出现的用户损失,无论重复100遍还是1000遍,这都是我们会去做的事情。

但是面对同一个事情,双方有不同看法的时候,CertiK相信肯定有更好的方法去解决,而不是出现像此前双方各执一词的局面。

MetaEra:区块链安全机构和区块链评级机构作为“行业执剑人”的角色,都会面临一个问题:如何保证自己的专业性可以公平对待每一个 Web3 项目?对此,CertiK 是如何有效处理的呢?

顾荣辉:这个问题,我们从2020年开始就一直困扰着我们,同时我们也一直在思考这个问题。在去中心化之前,我们会把钱放在亚马逊、阿里、腾讯上,这是基于我们对这些大公司的信任,但我们觉得这些大公司是中心化的机构,我们要做去中心化。但是去中心化后,普通用户又看不懂代码,CertiK站出来告诉大家这个代码是安全的,可以相信CertiK,但是此时的CertiK会不会变成一个中心呢?

说实话,CertiK在过去的两年,在行业里有很多的争议,我们也不会去避讳。 为什么会有这么多的争议?有这么多人去批评我们?可能是因为大家觉得CertiK变得中心化,CertiK会被质疑做得是否合理和公平。

我们也在思考这些问题,其中有一份报道说CertiK靠一己之力把区块链安全变成了一个赛道。我们在想:肩负这么重的责任,我们该怎么办? CertiK当时做出的选择就是公开了所有的安全审计报告,上传在我们自己的网站,但是这些报告又过于专业了,很多用户还是看不懂,我们又把这些报告提炼成了Skynet数据,提供可视化模式供大家查看。CertiK所有在做的一切,就是让所有的东西公开透明。

这个决定,在当时,无论是公司内部,还是合作伙伴,甚至是我们的投资机构都非常地反对。因为CertiK公开了所有的安全审计报告,只要是发生安全事故,大家就会觉得这个安全问题和CertiK相关。但是到目前为止,没有另外一家安全公司敢公开所有的信息,因为一旦公开,就会让自己无所遁形,出现任何问题都跑不了也躲不掉。

公开透明信息对于CertiK肯定是把双刃剑, 但是对于行业一定是个正向的结果。我们的原则就是即便对于CertiK是把双刃剑,但是对行业是正向的,CertiK也会坚定不移地执行。从2020年到现在,CertiK一直保持初心,即便是有项目方出现了问题,CertiK连带被骂,所带来的负面影响我们全部都承受了。到今天的每一天,我们都会把我们的安全事件报告公开到网站上去。

MetaEra:随着各国和地区出台虚拟资产的相关政策和法规,安全问题更加被执法机构和政府所重视,目前 CertiK 已经和哪些地区和国家有了相关合作呢?Web3 领域未来的安全问题主要凸显在哪些方面?

顾荣辉:我先来说说各方面的合作。

首先,我是香港政府第三代互联网(Web3.0)发展专责小组成员,CertiK首席安全官李康教授也是小组成员。像香港财库局(财经事务及库务局)和金管局(香港金融管理局)牵头发布的(咨询总结 - 在香港实施稳定币发行人监管制度的立法建议),CertiK也提出了两项建议。我在新加坡也是新加坡金融管理局(MAS)国际技术咨询委员会委员,我是11个委员中唯一来自Web3行业的人。

此外,CertiK参与了日元稳定币合规政策的起草,以及给日本金融厅(FSA)提供关于合约合规、黑客监控方面的建议;和马来西亚数字经济发展局(Malaysia Digital Economy Corporation,简称"MDEC")也在共同起草Metaverse、Web3相关的政策文件;在韩国,CertiK同首尔和釜山市政府签订了MOU,展开了相关合作。

以上是CertiK和亚洲方面各国政府进行的一些合作,帮助他们起草合规相关的合规政策文件。

从2023年开始,包括亚洲区以及美国,整个Web3行业趋势就是合规, 比如现货ETF通过等主流叙事。合规的好处就是让更多的用户参与进来,更多传统行业的用户可以参与进来。

各国政府的政策还是先从稳定币开始,CertiK在这个过程中努力推动各地政策的发展,帮助政府层面可以更好地理解Web3,因为很多时候不理解就会产生恐惧,帮助政府了解就会让其慢慢去接纳Web3,这是CertiK扮演的一个角色。

监管政策最重要的三点就是管得住、看得见、强制执行。 所以各国政府一旦开始谈论合规,立刻就要谈论安全。因为安全问题没有解决,就会出现看不见、管不住的一个情况。所以现在对于链上交易变得越来越重视,这是其中一个原因。

MetaEra:Web3 领域未来的安全问题主要凸显在哪些方面?

顾荣辉:我觉得有以下四个方面,

第一,代码安全;

第二,代码以外的项目安全,例如和智能合约的交互部分;

第三,私钥管理;

第四,交易对手风险,比如你的交易是否安全,交互资产是否会被盗等等。

目前我们可以看到两个趋势,一是传统银行进入Web3行业,它们的安全问题会更加凸显;二是散户小白刚进入Web3行业,他们无法很好保管钱包私钥,无法判断一个项目或者一个智能合约是否安全。我们新Slogan中的“Your”就是想包含这两类对Web3安全了解不多的群体,帮助他们更好地确保安全。

MetaEra:放眼全球,聚焦香港。CertiK 也在为香港的 Web3 发展出谋划策,香港财库局和金管局发布的稳定币监管立法建议,就曾采纳了 CertiK 的建议。就您观察,香港的 Web3 发展到了哪一阶段了?

顾荣辉:香港Web3的发展已经过了最早的蜜月期,现在进入阵痛期。我们看到了早期港府的决心,包括陈茂波司长的发言以及陆续政策的支持,在制定政策的过程中,港府和行业进行交流,广泛听取行业建议。政策有吸引力,这也让很多企业来到了香港,这就是我所说的蜜月期。

过了蜜月期,企业就要开始发展业务和开发市场,进入这样一个阶段本身就具有挑战性,公司需要实际的用户和市场,本身就是一条充满挑战和困难的道路。

MetaEra:顾教授,您从校园走向社会,同时也创立了以区块链安全为主旨的安全公司,请问这样(走出校园,Web3创业)的转变是有什么样的契机吗?另外创办 CertiK 的初心是什么?到现在有变化吗?

顾荣辉:我来说一下CertiK创立的过程。CertiK的名字取自于CertiKOS,在2016年的时候,我和CertiK的另一位创始人邵中教授一起研发了CertiKOS,这是世界上第一个全面的形式化验证,防黑客、防攻击的操作系统内核。在当时是一个技术突破,在业界收获了很大反响,我也靠着这个研究成果拿到了哥伦比亚大学的教职。

首先说说形式化验证,它是通过数学的方法去证明一段代码的安全性。它可以达到目前最高的安全标准,但是成本也很高,需要的时间也比较长,所以说它之前只能应用在非常核心、非常关键的领域,很难进行大规模的应用。在2016年,我们完成了CertiKOS的验证工作,也证明了形式化验证已经到了应用阶段。

在2016年还发生了一个事情,以太坊上的DAO被攻击,这是被认为最大的一起安全攻击事件之一。大家看待区块链安全是非常有挑战性的,因为代码出现了漏洞,一旦黑客发生攻击,没有人可以停止这些交易。所以大家希望代码是尽可能安全的,因为代码背后涉及的可能是千万甚至上亿美金资产。在这样一个契机下,我们自己的技术和市场需求有一个很好的契合点,CertiK应运而生。CertiK希望可以把形式化验证应用到智能合约审计中,提升整个行业项目代码的安全性,这就是我们成立的初衷。

发展过程非常具有挑战性,我们目前遇到的最大挑战依然是大众对于安全的认知。在2017年到2020年,大家都认为安全很重要,但是没人愿意为安全做什么,不愿意花时间花精力去做安全方面的工作。到了2020年,行业的从业者认为至少智能合约的审计是必要的,另外还有许多其他安全问题没有得到充足的重视。

另外Web3行业发展非常快,技术更新迭代速度也很快,每个月都有新名词、新概念、新技术出来,那么新技术出现后,安全问题就会凸显,CertiK目前占据了较高的市场份额,需要Cover所有的技术栈和所有的生态,这个过程还是比较累的。

此外,CertiK在发展的过程中,我们还要面临很多的非技术问题,甚至是要面临一些争议。包括我们的对手——黑客,黑客可能去找行业里最薄弱的一家企业下手,如果把CertiK当成保镖的话,CertiK需要同时保护4700个客户,但是根本不知道黑客会从哪里下手,说实话,这个攻防是不对等的。但是,我们就要在这种不公平的对抗下,和黑客7*24的对抗,经年累月的对抗,尽可能保证我们的胜率,这个工作非常具有挑战性,但我们初心一直没有改。