4 декабря 2024 года (Блумберг Бизнес Уикли) опубликовал эксклюзивное интервью с профессором Гу Ронгхуем, соучредителем CertiK. (Блумберг Бизнес Уикли) является одним из самых влиятельных финансовых медиа в мире и широко считается обязательным к прочтению изданием для бизнесменов и инвесторов. Оно известно своим глубоким анализом и комментариями, предоставляя важные источники информации для инвесторов и руководителей компаний. Репортажи журнала охватывают более 120 стран и регионов по всему миру, имея более 4,7 миллиона глобальных читателей и почти миллион экземпляров в международном распространении, обладая сильным влиянием в США и Азии.
В этом эксклюзивном интервью для (Блумберг Бизнес Уикли) профессор Гу с точки зрения отраслевого эксперта подробно объяснил основные проблемы безопасности, с которыми сталкивается область Web3, а также, опираясь на многолетний опыт CertiK, поделился уникальными взглядами на будущее развития отрасли.
Ниже представлен полный текст репортажа:
Вопросы и ответы: соучредитель и CEO CertiK Гу Ронгхуй
Одним из ключевых факторов массового развития блокчейна является использование смарт-контрактов, так как они могут выполняться автоматически, как только выполнены предустановленные условия, без необходимости вмешательства третьих лиц. Однако хакеры могут воспользоваться этой особенностью для атак через уязвимости. Основная цель создания блокчейн-компании CertiK заключается в максимальной защите безопасности смарт-контрактов. Соучредитель и CEO компании Гу Ронгхуй дал интервью (Блумберг Бизнес Уикли/Китайская версия), в котором он объяснил вызовы, с которыми сталкивается безопасность Web3. Также, как член рабочей группы по развитию Web3 в Гонконге, он предложил рекомендации по развитию Web3 в Гонконге.
Вы сами являетесь профессором Колумбийского университета. Что стало толчком к созданию CertiK?
Моя исследовательская область - формальная верификация, использование математических методов для доказательства безопасности программных систем. Традиционные методы безопасности заключаются в поиске возможных уязвимостей в системе, тогда как мы пытаемся доказать, что проектирование, разработка и реализация этого программного обеспечения соответствуют стандартам, что эквивалентно исследованию всех возможных вариантов. Эта технология долгое время считалась сложной для применения в реальных сложных системах, пока в 2016 году мы не разработали CertiKOS, первую в мире полностью формально верифицированную многопоточную операционную систему.
В то же время на блокчейне разразился инцидент с атакой на The DAO, в результате которой было потеряно более трехсот шестидесяти тысяч эфиров (Ethereum), и люди начали осознавать, что вызовы безопасности на блокчейне намного превышают таковые на других вычислительных платформах, так как атаки на них могут непосредственно приводить к финансовым потерям. Поскольку смарт-контракты начинают выполняться сразу после развертывания, это делает невозможным их остановку даже при обнаружении атаки. Поэтому все стремятся обеспечить безопасность смарт-контрактов на блокчейне, и в этом контексте мы основали CertiK, предлагая множество решений по безопасности, включая аудит смарт-контрактов.
Некоторые проекты, прошедшие аудит CertiK, все же столкнулись с проблемами безопасности. В том числе, какие еще вызовы стоят перед областью безопасности Web3, включая аудит смарт-контрактов?
Безопасность - это 'целостная' вещь, как дом: можно сделать двери очень прочными, но если ваша электрическая система будет взломана, злоумышленник все равно сможет войти через окно. В настоящее время часто встречается ситуация, когда у многих компаний или проектов ограниченный бюджет на безопасность, и они считают, что, если они проведут аудит безопасности только одной версии кода или даже его основной части, это будет достаточно. Но как только код обновляется или происходит новое развертывание, проблемы могут все равно возникнуть.
Недостаток осведомленности на рынке и в отрасли о безопасности является одной из основных проблем, с которыми в настоящее время сталкивается область безопасности Web3. Кроме того, в блокчейне происходит множество инноваций, как для экспертов по безопасности, так и для обновлений версий наших внутренних инструментов. Для нас это практически война 24/7, потому что хакеры не отдыхают.
Многие описывают CertiK как 'Большую четвёрку' в области безопасности Web3. Когда вы сталкиваетесь с большим объемом работ, как вы балансируете между широтой и глубиной аудита, и почему отрасль должна доверять централизованным компаниям, таким как ваша?
С учетом огромного объема работ мы всегда стремились к продуктизации безопасности аудита или проверки кода. Многие внутренние инструменты помогают нам автоматически генерировать некоторые отчеты аудита, на основе которых эксперты по безопасности анализируют и проверяют все подозрительные моменты, а не рассматривают код построчно. Наш принцип заключается в том, что лучше ошибиться в отчетах, чем пропустить что-то. Например, в 2023 году мы выпустили более 1000 отчетов аудита с реальной долей пропуска менее 1%. Что касается проблемы централизации, мы стараемся быть максимально открытыми и прозрачными. CertiK с 2020 года публикует все отчеты аудита. Однако опубликованные отчеты не являются 'печатью' какого-либо проекта, они просто показывают, какие тесты мы провели и какой код проверяли.
CertiK в прошлом году открыла офис в Гонконге. Пожалуйста, расскажите о текущем развитии бизнеса или сотрудничестве в Гонконге. Также, как член рабочей группы по развитию третьего поколения Интернета в Гонконге, какие у вас есть рекомендации по действиям и изменениям в Гонконге за последние два года в сфере развития виртуальных активов?
В настоящее время CertiK активно сотрудничает с Дигитальным портом, предоставляя обучение по безопасности Web3 для компаний и профессионалов в этом сообществе через семинары и другие мероприятия. В то же время в Гонконге много компаний Web3 подают заявки на получение лицензий на соответствие, и мы также предоставляем им услуги по аудиту безопасности и проектированию безопасной архитектуры.
Как член рабочей группы я считаю, что Гонконг проявляет активную и быструю позицию в развитии Web3. Например, лицензии для (виртуальных активов) бирж, одобрение спотовых ETF и т.д. - за каждым из этих нормативных актов стоит огромная работа. Однако на уровне исполнения правительство Гонконга иногда может быть слишком консервативным. Я также являюсь членом Международного консультативного совета по технологиям Управления по финансовым услугам Сингапура. Например, в случае выпуска токенизированных облигаций между Сингапуром и Гонконгом есть явные различия. Сингапур выбирает выпуск на публичной цепочке, CertiK предоставляет аудит безопасности на всех этапах; тогда как правительство Гонконга решает разместить его на частной цепочке Goldman Sachs, что демонстрирует, что правительство Гонконга все еще имеет слишком много опасений при реализации инноваций, опасаясь негативных последствий, которые могут возникнуть из-за рисков. Несмотря на то, что Сингапур после инцидента с FTX 'пострадал' в репутационном плане и стал более консервативным в отношении Web3, в отношении токенизированных облигаций и даже лицензий на стейблкойны он все же более смелый, чем Гонконг.
