Wawancara Eksklusif dengan Prof. Gu Ronghui, Pendiri Bersama CertiK di (Bloomberg Businessweek)

Pada 4 Desember 2024, (Bloomberg Businessweek) menerbitkan wawancara eksklusif dengan Prof. Gu Ronghui, salah satu pendiri CertiK. (Bloomberg Businessweek) dianggap sebagai salah satu media keuangan paling berpengaruh di dunia dan dianggap sebagai bacaan wajib bagi para pelaku bisnis dan investor. Media ini terkenal dengan analisis dan komentarnya yang mendalam, menyediakan sumber informasi penting bagi investor dan pengambil keputusan perusahaan. Laporan majalah ini mencakup lebih dari 120 negara dan wilayah di seluruh dunia, dengan lebih dari 4,7 juta pembaca global, dan hampir 1 juta eksemplar yang diterbitkan secara global, memiliki pengaruh besar di Amerika dan Asia.

Dalam wawancara eksklusif (Bloomberg Businessweek) kali ini, Prof. Gu memberikan analisis mendalam tentang tantangan keamanan utama yang dihadapi oleh bidang Web3 saat ini dari sudut pandang seorang ahli industri, sekaligus membagikan wawasan uniknya tentang perkembangan masa depan industri berdasarkan pengalaman praktis CertiK selama bertahun-tahun.

Berikut adalah laporan lengkapnya:

Q&A: Gu Ronghui, pendiri bersama dan CEO CertiK

Salah satu kunci perkembangan besar-besaran blockchain bergantung pada kontrak pintar, karena tidak memerlukan intervensi pihak ketiga dan dapat dieksekusi secara otomatis setelah memenuhi syarat yang ditetapkan. Namun, para peretas juga dapat memanfaatkan karakteristik ini untuk menyerang melalui celah. Tujuan awal didirikannya CertiK adalah untuk memaksimalkan keamanan kontrak pintar. Pendiri dan CEO perusahaan ini, Gu Ronghui, memberikan wawancara kepada (Bloomberg Businessweek/Versi Bahasa Mandarin) untuk menginterpretasikan tantangan yang dihadapi oleh bidang keamanan Web3. Sebagai anggota kelompok kerja pengembangan Web3 di Hong Kong, ia juga memberikan saran mengenai perkembangan Web3 di Hong Kong.

Anda adalah profesor di Universitas Columbia, apa yang mendorong Anda untuk mendirikan CertiK?

Bidang penelitian saya adalah verifikasi formal, menggunakan metode matematika untuk membuktikan keamanan sistem perangkat lunak. Metode keamanan tradisional adalah mencari celah yang mungkin ada dalam sistem, sementara kami berusaha membuktikan bahwa desain, pengembangan, dan penerapan perangkat lunak ini sesuai dengan spesifikasi, mencakup semua kemungkinan. Teknologi ini sebelumnya dianggap sulit diterapkan pada sistem kompleks nyata, hingga kami menciptakan CertiKOS pada tahun 2016, yang merupakan kernel sistem operasi multikernel pertama di dunia yang telah melalui verifikasi formal sepenuhnya.

Pada waktu yang sama, serangan terhadap The DAO terjadi di blockchain, mengakibatkan hilangnya lebih dari tiga juta Ethereum, dan semua orang mulai menyadari bahwa tantangan keamanan di blockchain jauh lebih besar dibandingkan dengan platform komputasi lainnya, serangan di sana dapat langsung menyebabkan kerugian finansial. Selain itu, karena kontrak pintar akan terus dieksekusi setelah dideploy, bahkan jika serangan terdeteksi, tidak mungkin untuk menghentikannya. Oleh karena itu, semua orang berharap untuk memastikan keamanan kontrak pintar di blockchain semaksimal mungkin, dalam konteks ini kami mendirikan CertiK, yang menyediakan berbagai solusi keamanan termasuk audit kontrak pintar.

Beberapa proyek yang telah diaudit oleh CertiK masih mengalami masalah keamanan, termasuk audit kontrak pintar. Tantangan apa lagi yang dihadapi bidang keamanan Web3 saat ini?

Keamanan adalah hal yang 'komprehensif', seperti sebuah rumah, Anda dapat membuat pintu anti pencurian yang sangat kuat, tetapi mungkin sistem listrik Anda diretas, dan pihak lain masih bisa masuk melalui jendela. Fenomena yang sangat umum saat ini adalah banyak perusahaan atau pihak proyek memiliki anggaran keamanan yang terbatas, berpikir bahwa jika mereka melakukan audit keamanan pada salah satu versi kode mereka, bahkan bagian inti dari kode tersebut, mereka sudah aman. Namun, ketika kode diperbarui atau ada penyebaran baru, masalah masih bisa muncul.

Kurangnya pemahaman pasar dan industri tentang keamanan adalah salah satu tantangan besar yang dihadapi bidang keamanan Web3 saat ini. Selain itu, inovasi di blockchain sangat banyak, baik bagi para ahli keamanan maupun dalam peningkatan versi alat internal kami, menghadapi tekanan yang sangat besar. Bagi kami, ini hampir seperti perang 24/7, karena para peretas tidak akan beristirahat.

Banyak orang menggambarkan CertiK sebagai 'empat besar' di bidang keamanan Web3, bagaimana Anda menyeimbangkan kedalaman dan luasnya audit saat menghadapi banyak bisnis, dan mengapa industri harus mempercayai perusahaan terpusat seperti Anda?

Dalam menghadapi bisnis yang besar, kami terus mendorong produk audit keamanan atau peninjauan kode (code review). Banyak alat internal dapat membantu kami secara otomatis menghasilkan laporan audit, dan para ahli keamanan akan menganalisis dan memeriksa semua hal yang mencurigakan berdasarkan laporan tersebut, bukan dengan melihat kode baris demi baris. Prinsip kami adalah lebih baik ada kesalahan laporan daripada melewatkan sesuatu, sebagai contoh pada tahun 2023, kami mengeluarkan lebih dari 1000 laporan audit, dengan tingkat laporan yang hilang yang sebenarnya kurang dari 1%. Mengenai masalah terpusat, yang bisa kami lakukan adalah berusaha sejelas mungkin. CertiK telah menerbitkan semua laporan auditnya sejak tahun 2020. Namun, laporan audit yang dipublikasikan bukanlah 'cap' dari proyek tertentu, melainkan memberi tahu semua orang tentang pengujian yang kami lakukan dan kode yang kami periksa.

CertiK tahun lalu membuka kantor di Hong Kong, bisakah Anda membicarakan tentang perkembangan atau kerjasama bisnis saat ini di Hong Kong? Selain itu, sebagai anggota kelompok kerja pengembangan internet generasi ketiga di Hong Kong, apa saran Anda terkait tindakan dan perubahan yang dilakukan Hong Kong dalam mengembangkan aset virtual dalam dua tahun terakhir?

Saat ini, CertiK bekerja sama secara mendalam dengan Cyberport untuk memberikan pendidikan keamanan Web3 kepada perusahaan dan profesional di komunitas tersebut melalui workshop dan bentuk lainnya. Selain itu, banyak perusahaan Web3 di Hong Kong yang sedang mengajukan lisensi kepatuhan, dan kami juga menyediakan layanan audit keamanan dan desain arsitektur keamanan untuk mereka.

Sebagai anggota kelompok kerja, saya percaya bahwa sikap Hong Kong dalam mengembangkan Web3 sangat positif dan responsif. Misalnya, lisensi untuk bursa (aset virtual), persetujuan ETF spot, dan setiap kerangka regulasi melibatkan banyak kerja. Namun, di tingkat pelaksanaan, pemerintah Hong Kong kadang-kadang mungkin terlalu konservatif. Saya juga menjabat sebagai anggota Komite Konsultasi Teknologi Internasional Otoritas Moneter Singapura, mengambil contoh penerbitan obligasi tokenisasi, ada perbedaan yang jelas antara Singapura dan Hong Kong. Singapura memilih untuk menerbitkan di blockchain publik, dengan CertiK menyediakan audit keamanan sepanjang proses; sementara pemerintah Hong Kong memilih untuk menyebarkannya di blockchain privat Goldman Sachs, menunjukkan bahwa pemerintah Hong Kong masih memiliki banyak kekhawatiran ketika menerapkan inovasi, khawatir akan dampak negatif yang mungkin ditimbulkan oleh risiko. Meskipun Singapura mengalami 'kerusakan reputasi' akibat insiden FTX dan lebih konservatif dalam menghadapi Web3 dibandingkan sebelumnya, di sektor obligasi tokenisasi dan lisensi stablecoin, mereka tetap jauh lebih berani dibandingkan Hong Kong.