Autor artykułu: 0x9999in1

Źródło: MetaEra

Ostatnio, w Hongkongu z wielką pompą wystartowała strefa MetaEra, a jednym z kluczowych wydarzeń był „Dwuletni Jubileusz Nowej Polityki Kryptowalut w Hongkongu”, w ramach którego odbył się ważny panel „Wysokiej Klasy Rozmowy: Liderzy Wpływu Web3.0 w Hongkongu”, a bohaterem tego odcinka był współzałożyciel CertiK, Gu Ronghui.

Przedstawienie postaci

Gu Ronghui, profesor informatyki na Uniwersytecie Kolumbii, współzałożyciel CertiK. Członek Międzynarodowej Rady Doradczej Singapurskiej Agencji Finansowej (MAS), członek grupy roboczej Hongkońskiego Rządu ds. Rozwoju Trzeciej Generacji Internetu (Web3.0). Gu Ronghui ukończył studia licencjackie na Uniwersytecie Tsinghua, a w 2016 roku uzyskał doktorat w dziedzinie informatyki na Uniwersytecie Yale. Ponadto Gu Ronghui jest ekspertem w dziedzinie systemów operacyjnych, bezpieczeństwa oprogramowania oraz formalnej weryfikacji, a także głównym projektantem i twórcą CertiKOS.

Kluczowe punkty

● Uważam, że Hongkong nadal jest jednym z najlepszych miejsc do zakupu w Web3, a dla Chińczyków myślę, że nie ma lepszego miejsca na startup.

● Uważamy, że bezpieczeństwo powinno towarzyszyć całemu cyklowi życia projektu, chcemy wspierać użytkowników od wczesnych etapów aż po uruchomienie, blockchain, wprowadzenie na rynek i dojrzałą operację.

● Nie chcemy, aby branża lub projekty uważały, że przejście audytu bezpieczeństwa CertiK oznacza, że projekt nie ma żadnych problemów z bezpieczeństwem.

● Wszystko, co robi CertiK, to zapewnienie, że wszystko jest publiczne i przejrzyste.

● Publiczne i przejrzyste informacje są z pewnością podwójnym ostrzem dla CertiK, ale dla branży mają pozytywny wpływ.

● Najważniejsze trzy punkty w polityce regulacyjnej to: kontrola, przejrzystość i egzekucja.

● Rozwój Web3 w Hongkongu przeszedł już pierwszy okres miodowy, teraz wkracza w fazę bólu narodzin.

● CertiK musi zmierzyć się z tymi nieuczciwymi przeciwnikami i stawić czoła hakerom 24/7 przez wiele lat, aby maksymalnie zwiększyć naszą szansę na wygraną.

Cała rozmowa

MetaEra: CertiK osiedlił się w Cyberport w Hongkongu w zeszłym roku w sierpniu, czy możesz podzielić się swoimi osobistymi odczuciami, dając wskazówki tym, którzy wciąż obserwują rozwój Web3 w Hongkongu?

Gu Ronghui: Pamiętam, że w styczniu 2023 roku Hongkong wprowadził pewne związane z tym polityki, wtedy wszyscy byli w stanie oczekiwania. CertiK otrzymał zaproszenie do Hongkongu, gdzie spotkaliśmy się z przewodniczącym Chen Maobo, który wyraził swoje zdanie na temat polityki finansowej Web3, dając mi poczuć, że rząd Hongkongu ma dużą pewność co do rozwoju Web3.

To właśnie wtedy zaczęliśmy tworzyć firmę CertiK w Hongkongu. W tym czasie, postawa USA wobec Web3 była taka, że SEC rozpoczęła wiele procesów sądowych, co sprawiło, że wszyscy zaczęli myśleć, że podejście i polityka USA wobec Web3 stają się niejasne, więc wiele osób zwróciło uwagę na Azję. Główne centra finansowe Azji to Singapur i Hongkong. Kiedy otrzymałem zaproszenie do Hongkongu, byłem akurat w Singapurze, gdzie byłem członkiem Międzynarodowej Rady Doradczej Singapurskiej Agencji Finansowej (MAS). Ponadto z powodu inwestycji funduszu suwerennego Singapuru, Temasek, w FTX, a po jego upadku, polityka Singapuru wobec Web3 zaczęła być nieco wątpliwa. Uważam, że Hongkong bardzo dobrze wykorzystał tę okazję.

W Hongkongu wybraliśmy Cyberport, który oferuje bardzo obfite wsparcie dla przedsiębiorców Web3, nie tylko regularnie organizuje wydarzenia, ale także prowadzi inkubację projektów, itp. W tym procesie wymienialiśmy się doświadczeniami. W całym tym procesie czuję, że Hongkong ma unikalną pozycję, a wraz z determinacją rządu do rozwoju Web3, uważamy, że jest to doskonała baza dla startupów Web3.

Gdybyś miał dać kilka rad innym osobom w Web3, powiedziałbym, że Hongkong nadal jest jednym z najlepszych miejsc do zakupu w Web3, a dla Chińczyków myślę, że nie ma lepszego miejsca na startup. Po pierwsze, ma wsparcie polityczne; po drugie, ma bliskość do Shenzhen, co pozwala rekrutować nie tylko talenty finansowe, ale także wielu wysokiej jakości programistów i deweloperów; po trzecie, coraz więcej związanych z tym firm przybywa, co pozwala lepiej znaleźć partnerów lub klientów. Ponadto, dla przedsiębiorców chcących założyć startup w Hongkongu, zdecydowanie zalecam, aby skontaktowali się z Cyberport, ponieważ CertiK współpracuje z Cyberport, aby dostarczyć pewne certyfikaty w zakresie bezpieczeństwa, co może pomóc w aplikacji o fundusz wsparcia dla startupów.

Ponadto, hongkońskie organy regulacyjne przyjęły zalecenia CertiK, wzmacniając ramy regulacyjne dla stablecoinów, co jest bardzo pozytywnym odczuciem! To oznacza, że rząd Hongkongu słucha profesjonalnych sugestii, pomysłów i głosów z branży, aby poprawić swoje polityki. Uważam, że rząd Hongkongu robi w tym zakresie najlepiej.

MetaEra: Hongkong również przyciągnął wiele projektów Web3 pod hasłem nowej polityki kryptowalut. Jak sądzisz, jak te projekty postrzegają bezpieczeństwo blockchaina? Czy opinie przedsiębiorców z obszaru chińskojęzycznego na temat bezpieczeństwa kryptowalut różnią się od tych w zachodnim świecie? Czy możesz to rozwinąć?

Gu Ronghui: Jesteśmy na torze bezpieczeństwa Web3, można powiedzieć, że jesteśmy w czołówce tego sektora. Po pierwsze, bezpieczeństwo dla większości pracowników w branży, jeśli zapytasz jakąkolwiek firmę lub założyciela, czy bezpieczeństwo projektu jest ważne, na pewno powiedzą, że tak! Ale jak poprawić bezpieczeństwo projektu, jakie aspekty bezpieczeństwa obejmuje projekt? Czy są gotowi za to zapłacić? Odpowiedzi są dość niejasne i ogólne, więc wszyscy zgodzą się, że bezpieczeństwo jest ważne, ale w praktyce napotykamy wiele przeszkód.

Po pierwsze, wszyscy uważają, że nie ma potrzeby, zawsze jest pewna skłonność do ryzyka, myśląc, że projekt jest bezpieczny, że projekt nie zostanie zaatakowany, co łatwo prowadzi do zignorowania bezpieczeństwa projektu. Po drugie, co wchodzi w skład bezpieczeństwa blockchaina? Jako zespół projektowy blockchaina, jakie aspekty ochrony powinien zapewnić? Właściwie większość projektów nie ma pojęcia.

Jednak trzy, cztery lata temu nie było tak. W 2020 roku, kiedy DeFi dopiero się zaczynało, ludzie powoli zaczęli dostrzegać znaczenie audytów kodu. W ciągu tych kilku lat niektóre projekty przeprowadzały audyty tylko części kodu, ponieważ koszty były wysokie, a niektóre projekty audytowały jedną wersję kodu, ale już nie aktualizowane wersje. To wszystko jest błędnym przekonaniem, ponieważ każda zmiana w kodzie, nawet kilka linijek, może wprowadzić nowe luki i możliwości ataku. Ten problem trwa do dziś, a nie osiągnięto jeszcze konsensusu, że wszystkie kody i wszystkie wersje projektów powinny być poddawane audytom bezpieczeństwa.

Kiedy zajmiemy się tym bardziej szczegółowo, audyt bezpieczeństwa kodu to tylko mała część bezpieczeństwa blockchaina. Całkowite bezpieczeństwo blockchaina obejmuje zarządzanie kluczami prywatnymi, bezpieczeństwo poza smart kontraktami i interakcje smart kontraktów. Na przykład niektóre projekty obejmują bezpieczeństwo węzłów, czy przedsiębiorstwa korzystają z portfeli, niezależnie od tego, czy są to portfele wielopodpisowe, czy portfele MPC; czy te rozwiązania portfelowe są bezpieczne. Właściwie, wszystkie powyższe kwestie wychodzą poza zakres audytu kodu, ale wiele projektów w tych obszarach nie ma żadnego zabezpieczenia ani ochrony, co praktycznie oznacza „nagość”. W tej sytuacji zauważysz, że wiele ataków nie koncentruje się już tylko na bezpieczeństwie smart kontraktów, współpracujemy z Cyberport, aby uruchomić szkolenie w zakresie bezpieczeństwa dla przedsiębiorców i biznesmenów, a następnie mamy część egzaminacyjną, w której wydajemy certyfikaty. Po uzyskaniu tego certyfikatu, możesz ubiegać się o fundusze wsparcia Cyberport. Pomoc finansowa może przynajmniej pomóc uniknąć kradzieży lub utraty.

MetaEra: Czy przedsiębiorcy z obszaru chińskojęzycznego mają inne spojrzenie na bezpieczeństwo kryptowalut niż zachodni świat? Czy możesz to rozwinąć?

Gu Ronghui: Ogólne zdanie jest nadal zgodne! Przed 2021 rokiem, ludzie nie zwracali uwagi na bezpieczeństwo, ale po 2021 roku zaczęli bardziej skupiać się na bezpieczeństwie. Jednak mogą być pewne subtelne różnice; przedsiębiorcy z zachodu mogą mieć mniejsze skłonności do ryzyka, podczas gdy przedsiębiorcy z obszaru chińskojęzycznego mogą mieć pewne skłonności do ryzyka, myśląc, że ich projekt jest bezpieczny. Inną subtelną różnicą jest to, że gdy wskazujemy na luki w zachodnich projektach, są oni zazwyczaj otwarci. W obszarze chińskojęzycznym, gdy wskazujesz problemy, mogą być oporni, uważając, że projekt jest w porządku, a wskazanie problemu przez CertiK może być dla nich niekorzystne. Oczywiście, mówię o bardzo szczególnych przypadkach. Ale chcę podkreślić, że celem audytu bezpieczeństwa jest pomóc znaleźć problemy i je naprawić.

MetaEra: Niedawno zauważyliśmy, że slogan CertiK zmienił się. Co skłoniło do podjęcia takiej decyzji? CertiK wprowadził bezpłatne narzędzia, takie jak Token Scan i Wallet Scan dla społeczności. Jako firma zajmująca się bezpieczeństwem, czy CertiK zamierza skupić więcej uwagi na użytkownikach końcowych?

Gu Ronghui: Zacznijmy od sloganu. Poprzedni slogan brzmiał „Zabezpieczając świat Web3”, a teraz, po aktualizacji, nowy slogan to „Podnosimy Twoją całą podróż Web3”, to jest dość duża zmiana.

Chciałbym najpierw powiedzieć, dlaczego chciałem wprowadzić taką zmianę. CertiK obsłużył 4700 klientów, zidentyfikował 150 000 luk w zabezpieczeniach, zgłosił ponad 40 poważnych luk, można powiedzieć, że wnieśliśmy ogromny wkład w społeczność. Jednak w przypadku klientów końcowych i społeczności deweloperów, czuję, że nasza oferta jest niewystarczająca; nasza reakcja na społeczność w ostatnich latach była niewystarczająca.

„Zabezpieczając świat Web3” to nasze początkowe, najprostsze myślenie, to znaczy, że chcemy chronić całą branżę Web3, cały świat. Więc pytam siebie, gdzie są nasi klienci? Gdzie jest nasza społeczność? Właściwie ten slogan nie oddaje tego dobrze. Gdy nasza wizja staje się bardzo wielka, staje się branżą, światem, czasami może ignorować konkretną społeczność, konkretnych klientów, konkretnych użytkowników końcowych. Dlatego w nowym sloganie dodałem „Twoja podróż Web3”, mamy ogromną nadzieję, że umieścimy pojedyncze osoby i społeczności z branży w naszej myśli, aby stały się bardziej konkretne, a nie tylko makroświatem.

Po drugie, wielu naszych klientów uważa, że bezpieczeństwo to jednorazowy audyt bezpieczeństwa przed uruchomieniem, traktując to jako usługę w jednym punkcie czasu. Uważamy jednak, że bezpieczeństwo powinno towarzyszyć całemu cyklowi życia projektu, chcemy wspierać użytkowników od wczesnych etapów aż po uruchomienie, blockchain, wprowadzenie na rynek i dojrzałą operację.

Po trzecie, aktualizacja sloganu: uważamy, że bezpieczeństwo to nie tylko unikanie ataków. W całym cyklu życia projektu udzielamy wsparcia, w tym CertiK obecnie oferuje wiele usług wykraczających poza zakres bezpieczeństwa, które już dotykają obszaru ogólnego bezpieczeństwa. Poza tym, dla klientów oferujemy usługi doradcze „Design Review”. Na przykład dla łańcucha TON, w początkowej fazie przeprowadziliśmy audyt kodu, formalną weryfikację, a po uruchomieniu pomogliśmy również TON w testach wydajności i budowie społeczności, co właściwie już wykracza poza zakres bezpieczeństwa.

W związku z tym, aby lepiej zdefiniować misję CertiK, a także lepiej zdefiniować produkty i usługi CertiK, zaktualizowaliśmy slogan CertiK, nowy slogan obejmuje projektantów, wymianę, portfele i użytkowników końcowych. Takie narzędzia jak Token Scan i Wallet Scan są całkowicie darmowe, mają na celu zwrócenie się do wspierających nas społeczności i wzmocnienie ich.

MetaEra: Wiele startupów Web3 podkreśla w swoich oficjalnych PR-ach, że przeszły audyt bezpieczeństwa CertiK, wydaje się, że „przejście audytu bezpieczeństwa CertiK” stało się standardem branżowym. Jak sądzisz, że niektóre projekty promują to jako swoją mocną stronę, a użytkownicy mogą być kształtowani w myśleniu, że „projekty, które przeszły audyt CertiK, są dobre, a te, które go nie przeszły, nie są dobre”? Jak widzisz ten zjawisko?

Gu Ronghui: Po pierwsze, cieszę się, że wiele projektów traktuje przejście audytu bezpieczeństwa CertiK jako atut i promuje to jako swoją mocną stronę. To z pewnością uznanie naszej pracy, technologii i marki, niezależnie od wszystko, to jest coś pozytywnego.

Ale chciałbym podkreślić jedno wielkie nieporozumienie: nie chcemy, aby branża lub projekty uważały, że przejście audytu bezpieczeństwa CertiK oznacza, że projekt nie ma żadnych problemów z bezpieczeństwem. Cały czas podkreślamy, że to dwie różne sprawy.

Po pierwsze, istnieje duża luka między audytami bezpieczeństwa CertiK a zabezpieczeniami projektów, ponieważ audyt bezpieczeństwa i bezpieczeństwo projektów obejmują również wiele innych aspektów, które nie są związane z audytem bezpieczeństwa.

Po drugie, CertiK często może uzyskać tylko część kodu, a nawet jedną wersję części kodu do audytu bezpieczeństwa, w związku z czym nie możemy zapewnić bezpieczeństwa całej bazy kodu.

Po trzecie, prace Turinga i innych naukowców pokazują, że teoretycznie nie ma żadnej uniwersalnej metody, która mogłaby zapewnić, że fragment kodu jest w 100% bezpieczny. Dlatego audyt bezpieczeństwa nie oznacza, że kod jest w 100% bezpieczny. Jednak audyt bezpieczeństwa CertiK może wskazywać, że projekt zwraca uwagę na bezpieczeństwo, co wymaga od projektów poświęcenia czasu, kosztów finansowych, a nawet opóźnienia w uruchomieniu w celu zwiększenia ogólnego bezpieczeństwa projektu. Poza tym audyt bezpieczeństwa CertiK może znacznie poprawić poziom bezpieczeństwa projektu.

Z tych perspektyw, audyt bezpieczeństwa CertiK rzeczywiście może być atutem dla projektów. Jednak nie chcemy, aby stało się to sztywnym myśleniem, ponieważ może to mieć negatywne konsekwencje zarówno dla projektów, jak i dla CertiK. Dlatego nieustannie staramy się przedstawiać, jakie są fakty, jeszcze raz dziękując projektom oraz branży za uznanie naszej pracy.

MetaEra: CertiK w tym roku miał do czynienia z incydentem Kraken, wszyscy zapewne znają sytuację, w której obie strony mają różne opinie. Jakie lekcje i konkretne efekty przyniosło to wydarzenie w kontekście kryzysu PR?

Gu Ronghui: Popularność tego wydarzenia daleko przekroczyła nasze oczekiwania, kilka miesięcy później, gdy patrzymy na tę sprawę, widzimy kilka wyraźnych rezultatów.

Po pierwsze, Kraken miał poważną lukę, którą CertiK wykrył i szybko powiadomił Kraken, który naprawił tę lukę, ostatecznie nie powodując żadnych strat dla użytkowników. Kraken sam przyzna, że to mogła być najpoważniejsza luka w historii giełd, a CertiK pomógł wykryć i naprawić tę lukę. Z perspektywy wyniku, to wielkie zwycięstwo dla całej branży.

Po drugie, gdybyśmy mieli przeżyć to jeszcze raz, CertiK wciąż bez wahania zgłosiłby Krakenowi, aby pomóc im uniknąć jakichkolwiek strat dla użytkowników, niezależnie od tego, czy powtarzalibyśmy to 100 czy 1000 razy, to zawsze będzie to, co zamierzamy zrobić.

Jednak w obliczu tej samej sytuacji, kiedy strony mają różne opinie, CertiK wierzy, że istnieje lepsza metoda rozwiązania, a nie powielanie sytuacji, w której obie strony mają różne zdania.

MetaEra: Agencje bezpieczeństwa blockchain i agencje oceny blockchain jako „sędziowie branży” stają przed problemem: jak zapewnić, że ich profesjonalizm będzie uczciwie traktować każdy projekt Web3? Jak CertiK efektywnie to rozwiązuje?

Gu Ronghui: Ten problem dręczył nas od 2020 roku, a my nieustannie myślimy o tym. Przed decentralizacją kładliśmy pieniądze na Amazonie, Alibaba, Tencent, co opierało się na naszym zaufaniu do tych dużych firm, ale uznaliśmy, że te duże firmy są zcentralizowanymi instytucjami, które chcemy zdecentralizować. Ale po decentralizacji zwykli użytkownicy nie rozumieją kodu, CertiK staje się głosem, który mówi: ten kod jest bezpieczny, można ufać CertiK. Ale czy CertiK nie stanie się w tym momencie centralizacją?

Szczerze mówiąc, CertiK w ciągu ostatnich dwóch lat miało wiele kontrowersji w branży, i nie będziemy się tego wystrzegać. Dlaczego jest tyle kontrowersji? Dlaczego tyle osób nas krytykuje? Może dlatego, że ludzie czują, że CertiK staje się zcentralizowane, a CertiK jest kwestionowane, czy działa zgodnie z zasadami i sprawiedliwie.

Zastanawiamy się nad tymi kwestiami; jedna z publikacji stwierdziła, że CertiK samodzielnie przekształcił bezpieczeństwo blockchaina w nowy tor. Zastanawiamy się: mając na sobie tak ogromną odpowiedzialność, co powinniśmy zrobić? CertiK wówczas podjął decyzję o opublikowaniu wszystkich raportów z audytów bezpieczeństwa na naszej stronie internetowej, jednak te raporty były zbyt techniczne, wiele osób ich nie rozumiało, więc przekształciliśmy te raporty w dane Skynet, oferując wizualizacje do przeglądania. Wszystko, co robi CertiK, to zapewnienie publiczności i przejrzystości.

Ta decyzja, w tamtym czasie, zarówno w firmie, jak i wśród partnerów, a nawet wśród naszych inwestorów, była bardzo kontrowersyjna. CertiK opublikował wszystkie raporty z audytu bezpieczeństwa, a gdy zdarzy się incydent bezpieczeństwa, wszyscy będą myśleć, że ten problem jest związany z CertiK. Jednak do tej pory żadna inna firma zajmująca się bezpieczeństwem nie odważyła się opublikować wszystkich informacji, ponieważ po ich opublikowaniu nie można się ukryć, a jakiekolwiek problemy będą niemożliwe do ukrycia.

Publiczne i przejrzyste informacje są z pewnością podwójnym ostrzem dla CertiK, ale dla branży jest to pozytywny wynik. Nasza zasada jest taka, że nawet jeśli dla CertiK jest to podwójne ostrze, ale dla branży ma pozytywny wpływ, CertiK będzie to konsekwentnie realizować. Od 2020 roku CertiK utrzymuje swoje pierwotne intencje, nawet jeśli pojawią się problemy z projektami, a CertiK zostanie skrytykowane, poniesiemy całkowite negatywne skutki. Każdego dnia publikujemy nasze raporty o incydentach bezpieczeństwa na stronie internetowej.

MetaEra: W miarę jak rządy i regiony wprowadzają polityki i regulacje dotyczące wirtualnych aktywów, bezpieczeństwo staje się coraz bardziej istotne dla organów ścigania i rządów. Z kim CertiK współpracuje w tej chwili?

Gu Ronghui: Najpierw opowiem o współpracy w różnych obszarach.

Po pierwsze, jestem członkiem grupy roboczej Hongkońskiego Rządu ds. Rozwoju Trzeciej Generacji Internetu (Web3.0), a główny oficer bezpieczeństwa CertiK, profesor Li Kang, jest również członkiem tej grupy. Na przykład Hongkońskie Biuro Finansów i Rady Nadzoru Finansowego kieruje wydaniem (podsumowanie konsultacji - proponowane regulacje dotyczące wydawców stablecoinów w Hongkongu), a CertiK również przedstawił dwie rekomendacje. W Singapurze jestem także członkiem Międzynarodowej Rady Doradczej Singapurskiej Agencji Finansowej (MAS) i jestem jedynym członkiem pochodzącym z branży Web3 spośród 11 członków.

Ponadto, CertiK wzięło udział w opracowywaniu polityki zgodności dla japońskiego stablecoina, a także dostarczało Japońskiej Agencji Usług Finansowych (FSA) porady dotyczące zgodności kontraktów i monitorowania hakerów; wspólnie z Malezyjskim Centrum Rozwoju Gospodarki Cyfrowej (MDEC) pracowaliśmy nad wspólnym opracowaniem dokumentów polityki dotyczących Metaverse i Web3; w Korei CertiK podpisał MOU z rządami Seulu i Busan, aby rozpocząć współpracę.

Powyżej znajduje się kilka współprac CertiK z rządami krajów azjatyckich, które pomagają im w opracowywaniu dokumentów polityki zgodności.

Od 2023 roku, zarówno w regionie Azji, jak i w Ameryce, cały trend w branży Web3 to zgodność, na przykład poprzez zatwierdzenie funduszy ETF. Zaletą zgodności jest to, że pozwala na większe uczestnictwo użytkowników, więcej użytkowników z tradycyjnych branż może wziąć udział.

Rządy krajowe zaczynają od regulacji stablecoinów, CertiK w tym procesie aktywnie wspiera rozwój polityki w różnych regionach, pomagając rządom lepiej zrozumieć Web3, ponieważ często brak zrozumienia prowadzi do strachu. Pomagając rządowi zrozumieć, pozwalamy mu stopniowo akceptować Web3, to rola, jaką pełni CertiK.

Najważniejsze trzy punkty w polityce regulacyjnej to: kontrola, przejrzystość i egzekucja. Dlatego gdy rządy zaczynają rozmawiać o zgodności, natychmiast mówią o bezpieczeństwie. Ponieważ jeśli problem bezpieczeństwa nie zostanie rozwiązany, pojawi się sytuacja, w której nie można go kontrolować ani zobaczyć. Dlatego teraz na transakcjach on-chain kładzie się coraz większy nacisk, to jedna z przyczyn.

MetaEra: Jakie są główne przyszłe problemy bezpieczeństwa w obszarze Web3?

Gu Ronghui: Myślę, że są cztery główne aspekty,

Po pierwsze, bezpieczeństwo kodu;

Po drugie, bezpieczeństwo projektu poza kodem, na przykład w interakcjach ze smart kontraktami;

Po trzecie, zarządzanie kluczem prywatnym;

Po czwarte, ryzyko kontrahenta, na przykład, czy transakcja jest bezpieczna, czy interaktywne aktywa mogą być skradzione, itd.

Obecnie widzimy dwa trendy: po pierwsze, tradycyjne banki wkraczają w branżę Web3, ich problemy z bezpieczeństwem będą bardziej widoczne; po drugie, nowi użytkownicy, którzy wchodzą na rynek Web3, nie potrafią dobrze zarządzać kluczami prywatnymi i nie są w stanie ocenić, czy projekt lub smart kontrakt jest bezpieczny. Nasz nowy slogan „Twoje” ma na celu objęcie tych dwóch grup, które nie mają dużej wiedzy o bezpieczeństwie Web3, aby pomóc im lepiej zapewnić bezpieczeństwo.

MetaEra: Z perspektywy globalnej, zwracając uwagę na Hongkong. CertiK również przyczynia się do rozwoju Web3 w Hongkongu, a zalecenia dotyczące regulacji stablecoinów wydane przez Biuro Skarbu i Urząd Nadzoru Finansowego w Hongkongu uwzględniły sugestie CertiK. Jakie jest twoje zdanie na temat etapu rozwoju Web3 w Hongkongu?

Gu Ronghui: Rozwój Web3 w Hongkongu przeszedł już pierwszy okres miodowy, teraz wkracza w fazę bólu narodzin. Zauważyliśmy determinację rządu, w tym wypowiedzi przewodniczącego Chen Maobo oraz wsparcie polityki, w procesie tworzenia polityki rząd prowadził dialog z branżą, szeroko słuchając opinii branży. Polityka jest atrakcyjna, co przyciągnęło wiele firm do Hongkongu, to, co nazywam okresem miodowym.

Po okresie miodowym, przedsiębiorstwa muszą rozpocząć rozwój działalności i rynku, co samo w sobie jest wyzwaniem. Firma potrzebuje rzeczywistych użytkowników i rynku, co jest drogą pełną wyzwań i trudności.

MetaEra: Profesorze Gu, przeszedłeś z kampusu do świata zewnętrznego i założyłeś firmę zajmującą się bezpieczeństwem opartą na blockchainie. Jakie wydarzenie skłoniło Cię do takiej zmiany? Jakie były pierwotne intencje założenia CertiK? Czy od tego czasu coś się zmieniło?

Gu Ronghui: Pozwól, że opowiem o procesie powstania CertiK. Nazwa CertiK pochodzi od CertiKOS, który w 2016 roku stworzyłem razem z innym współzałożycielem CertiK, profesorem Shao Zhong. Opracowaliśmy CertiKOS, który jest pierwszym na świecie operacyjnym rdzeniem systemu chroniącym przed atakami i hakerami. Wtedy był to techniczny przełom i zbierał ogromne uznanie w branży, a moje osiągnięcia w tym zakresie pomogły mi uzyskać etat na Uniwersytecie Kolumbii.

Zacznijmy od formalnej weryfikacji, która polega na udowodnieniu bezpieczeństwa fragmentu kodu metodami matematycznymi. Może osiągnąć najwyższe standardy bezpieczeństwa, ale koszty są również wysokie, a czas potrzebny na to jest długi, dlatego wcześniej mogła być stosowana tylko w bardzo kluczowych obszarach, trudnych do zastosowania na dużą skalę. W 2016 roku zakończyliśmy weryfikację CertiKOS, co dowiodło, że formalna weryfikacja osiągnęła etap zastosowania.

W 2016 roku miało miejsce zdarzenie, w którym DAO na Ethereum zostało zaatakowane, co uznawane jest za jeden z największych incydentów bezpieczeństwa. Postrzeganie bezpieczeństwa blockchaina jest bardzo wyzwaniowe, ponieważ kod może zawierać luki, a gdy hakerzy zaatakują, nikt nie jest w stanie zatrzymać tych transakcji. Dlatego wszyscy mają nadzieję, że kod jest tak bezpieczny, jak to tylko możliwe, ponieważ za nim mogą stać aktywa warte miliony lub nawet miliardy dolarów. W obliczu tej sytuacji nasze technologie i potrzeby rynkowe idealnie się zgrały, co doprowadziło do powstania CertiK. CertiK ma na celu zastosowanie formalnej weryfikacji w audytach smart kontraktów, aby zwiększyć bezpieczeństwo kodu projektów w całej branży, co było naszym pierwotnym celem.

Proces rozwoju był bardzo wyzwaniowy, a największym wyzwaniem, które napotykamy, jest nadal ogólna świadomość ludzi na temat bezpieczeństwa. W latach 2017-2020 wszyscy uważali, że bezpieczeństwo jest ważne, ale nikt nie chciał podejmować żadnych działań, nie chciał poświęcać czasu ani energii na kwestie bezpieczeństwa. W 2020 roku pracownicy branży uznali, że przynajmniej audyty smart kontraktów są konieczne, a inne problemy związane z bezpieczeństwem nie zostały wystarczająco uwzględnione.

Ponadto, rozwój branży Web3 jest bardzo szybki, a tempo aktualizacji technologii jest szybkie, co miesiąc pojawiają się nowe terminy, nowe koncepcje i nowe technologie. Kiedy nowe technologie się pojawiają, problemy z bezpieczeństwem stają się bardziej widoczne. CertiK obecnie zajmuje wysoką część rynku, co wymaga pokrycia wszystkich stosów technologicznych i całego ekosystemu. To przedsięwzięcie jest dość męczące.

Ponadto, w trakcie rozwoju CertiK, musimy również zmierzyć się z wieloma problemami nie technicznymi, a nawet z kontrowersjami. W tym także z naszymi przeciwnikami - hakerami. Hakerzy mogą zaatakować najsłabszą firmę w branży; jeśli traktować CertiK jako ochroniarza, to CertiK musi jednocześnie chronić 4700 klientów, ale nie wie, skąd hakerzy zaatakują. Szczerze mówiąc, to nierówna walka. Musimy jednak stawić czoła tym nieuczciwym przeciwnikom, walczyć z hakerami 24/7 przez długie lata, aby maksymalnie zwiększyć nasze szanse na wygraną; ta praca jest bardzo wyzwaniowa, ale nasza pierwotna misja pozostaje niezmieniona.