2024年12月4日、(ブルームバーグビジネスウィーク)はCertiKの共同創設者である顧榮輝教授のインタビューを掲載しました。(ブルームバーグビジネスウィーク)は、世界で最も影響力のある経済メディアの一つとして、ビジネスパーソンや投資家が必読とされる出版物の一つとして広く認識されています。深い分析とコメントで知られ、投資家や企業の意思決定者にとって重要な情報源を提供しています。雑誌の報道は、世界120カ国以上をカバーし、470万人以上のグローバルな読者を持ち、世界の発行部数は100万部に近く、アメリカとアジアで強い影響力を持っています。
此次(ブルームバーグビジネスウィーク)のインタビューで、顧教授は業界の専門家の視点から、現在Web3分野が直面している主要なセキュリティ課題を詳細に解説し、CertiKの多年の実践経験をもとに、業界の未来の発展に対する独自の見解を共有しました。
以下は報道全文です:
Q&A:CertiK共同創設者兼CEO顧榮輝
ブロックチェーンの大規模な発展の鍵の一つはスマートコントラクトに依存しています。なぜなら、それは第三者の介入を必要とせず、設定された条件を満たすと自動的に実行されるからです。しかし、ハッカーはこの特性を利用して、脆弱性を攻撃する可能性があります。ブロックチェーンセキュリティ会社CertiKの創設者の目的は、スマートコントラクトの安全性を最大限に保護することです。同社の共同創設者兼CEOである顧榮輝は、(ブルームバーグビジネスウィーク/中国版)のインタビューでWeb3セキュリティ分野が直面している課題を解読しました。同時に、香港Web3発展専門委員会のメンバーとして、香港のWeb3の発展に対する提案も行いました。
あなた自身はコロンビア大学の教授ですが、CertiKを設立するきっかけは何でしたか?
私の研究分野は形式的検証であり、数学的方法を用いてソフトウェアシステムの安全性を証明することです。従来の安全手法は、システム内に存在する可能性のある脆弱性を探すことですが、私たちはこのソフトウェアの設計、開発、実装が規範に合致していることを証明しようとしています。これはすべての可能性を極めることに相当します。この技術は以前、実際の複雑なシステムに応用するのが難しいと考えられていましたが、2016年に私たちがCertiKOSを作成することで、世界初の完全に形式的に検証されたマルチコアオペレーティングシステムカーネルとなりました。
同じ時期にブロックチェーン上でThe DAOの攻撃事件が発生し、360万ETH(イーサリアム)が失われました。その結果、人々はブロックチェーン上のセキュリティ課題が他の計算プラットフォームよりもはるかに大きいことを認識し、その攻撃は直接的に金銭的損失を引き起こすことになります。また、スマートコントラクトがデプロイされるとすぐに実行され続けるため、攻撃を検出してもそれを阻止することはできません。したがって、人々は可能な限りブロックチェーンのスマートコントラクトの安全性を確保しようと期待しており、この背景の中で私たちはCertiKを設立し、スマートコントラクトの監査を含む複数のセキュリティソリューションを提供しています。
CertiKによって監査された一部のプロジェクトでもセキュリティ問題が発生しています。スマートコントラクトの監査を含め、Web3セキュリティ分野は現在どのような課題に直面していますか?
セキュリティは「全体」の問題であり、家のように、強固な防犯ドアを作っても、電力システムが侵害され、別の窓から侵入される可能性があります。現在非常に一般的な現象として、多くの企業やプロジェクトのセキュリティ予算が限られており、コードの一つのバージョン、あるいはコア部分のコードを安全監査に出せば安心だと考えています。しかし、一度コードがアップグレードされたり、新しいデプロイメントが行われると、再び問題が発生する可能性があります。
市場や業界におけるセキュリティに対する認識不足は、Web3セキュリティ分野が現在直面している大きな課題の一つです。また、ブロックチェーンの革新は非常に多く、セキュリティ専門家や内部ツールのバージョンアップグレードも大きなプレッシャーに直面しています。私たちにとって、これはほぼ24時間365日の戦争であり、ハッカーは休むことがないからです。
多くの人がCertiKをWeb3セキュリティ分野の「ビッグフォー」と表現していますが、あなたたちが多数の業務に直面する中で、監査の幅と深さをどうバランスさせ、業界がなぜあなたたちのような中央集権的な会社を信頼する必要があるのでしょうか?
膨大な業務に直面し、私たちがずっと行っているのは、安全監査やコードレビューの製品化を推進することです。多くの内部ツールが、私たちが自動的に生成する監査報告書を助けることができます。セキュリティ専門家は、これに基づいて疑わしい点をすべて分析し、確認します。私たちの原則は、誤報を出すよりも見逃さないことです。2023年の例として、私たちは1000件以上の監査報告を発行し、実際の見逃し率は1%未満でした。中央集権の問題については、私たちができることはできる限り公開透明にすることです。CertiKは2020年からすべての監査報告を公開しています。しかし、公開された監査報告は特定のプロジェクトの「証明」ではなく、私たちがどのようなテストを行い、どのコードを確認したかを示すものです。
CertiKは昨年香港に拠点を置きましたが、現在の香港でのビジネスの発展や協力についてお話しください。また、あなた自身が香港の第三世代インターネット発展専門委員会のメンバーとして、ここ2年間の香港の仮想資産の発展に対する行動と変化についての提案はありますか?
CertiKは現在、デジタルハーバーと深く協力しており、ワークショップなどの形式でそのコミュニティ内の企業と従業員にWeb3セキュリティ教育を提供しています。同時に、香港には多くのWeb3企業がコンプライアンスライセンスを申請しており、私たちもそのためにセキュリティ監査やセキュリティアーキテクチャ設計などのサービスを提供しています。
専門委員会のメンバーとして、私は香港がWeb3の発展に対して積極的で迅速な行動をとっていると考えています。例えば(仮想資産)取引所ライセンスや現物ETFの承認など、各コンプライアンスフレームワークの背後には膨大な作業があります。しかし、実行の面では、香港政府は時に保守的すぎるかもしれません。私はまた、新加坡金融管理局の国際技術諮問委員会のメンバーでもあり、トークン化された債券の発行の例を挙げると、シンガポールと香港の間には明らかな違いがあります。シンガポールはパブリックチェーン上で発行することを選択し、CertiKは全ての安全監査を提供しました。一方、香港政府はそのデプロイメントをゴールドマンサックスのプライベートチェーンに選択しており、香港政府は具体的な革新を実施する際に多くの懸念を抱えており、リスクがもたらす負の影響を心配しています。シンガポールはFTX事件のために「評判を損なった」ため、Web3に対して以前よりも保守的になっていますが、トークン化された債券やステーブルコインライセンスなどの点では、香港よりも大胆です。