29 листопада 2024 року авторитетні засоби масової інформації в індустрії Web3 Blockbeats опублікували ексклюзивне інтерв'ю з професором Гу Рунгхуєм, засновником CertiK, в якому описується унікальний шлях CertiK від початку до успіху та дається відповідь на чутливі питання в галузі.
Нижче наведено повний текст інтерв'ю Blockbeats:
Ексклюзивне інтерв'ю з професором Гу Рунгхуєм, співзасновником CertiK:
Як CertiK впорається з кризою «печаткових аудитів»
У криптоіндустрії безпека є основою кожного проекту та платформи. З розвитком технології блокчейн та широким використанням цифрових активів, питання безпеки стає все більш актуальним.
На Фестивалі фінансових технологій у Сінгапурі (SFF) у 2024 році співзасновник CertiK, професор комп'ютерних наук Колумбійського університету Гу Рунгхуй виступив з основною доповіддю на тему «Подолання коду, ведення довіри». Професор Гу у своїй промові повернувся до своєї академічної подорожі та переходу від академічних досліджень до заснування компанії безпеки Web3 CertiK, підкресливши основну концепцію: «Безпека — це не лише конкурентна перевага, а й спільна відповідальність».
Професор Гу Рунгхуй у своїй промові зазначив, що в результаті атаки хакерів на DeFi-протокол Merlin у квітні 2023 року, що призвела до збитків у 2 мільйони доларів, вся блокчейн-індустрія отримала серйозне попередження.
Фестиваль фінансових технологій у Сінгапурі, як провідна річна подія у сфері фінансових технологій, спільно організований Управлінням грошово-кредитної політики Сінгапуру (MAS) та Elevandi. Відзначаючи цю нагоду, BlockBeats та співзасновник CertiK Гу Рунгхуй обговорили.
Академічний початок та народження CertiK
У 2010-х роках у Ціньхуа комп'ютерні науки поступово ставали популярним вибором серед елітних студентів. Однак, на відміну від багатьох студентів, які переслідували модні дослідження, Гу Рунгхуй обрав рідкісну, але глибоку напрямок — формалізовану верифікацію. Ця галузь зосереджується на забезпеченні правильності програмних систем через математичне доведення, що є основою для компіляторів, операційних систем та інших інфраструктур. Хоча в країні формалізована верифікація розвивалася повільно, вона завжди мала високий попит, особливо в забезпеченні безпеки та стабільності систем.
Під час навчання в Ціньхуа Гу Рунгхуй навчався у професора Дунь Юаня, вперше ознайомившись з технікою формалізованої верифікації. Дослідницький проект, у якому він брав участь, RA (Region-based Allocation), заклав йому теоретичну основу. Чотири роки в Ціньхуа викликали у нього глибокий інтерес до наукових досліджень і спонукали його шукати вищі академічні прориви. Після закінчення Ціньхуа в 2012 році Гу Рунгхуй вирішив поїхати до Єльського університету, щоб продовжити навчання під керівництвом відомого вченого професора Шао Чжунга.
Лабораторія Єльського університету не лише є академічним джерелом Гу Рунгхуя, але й місцем його першого контакту з індустрією блокчейн. У лабораторії професора Шао Чжунга Гу Рунгхуй зустрів легендарну постать криптоіндустрії — Кау Мао. Перед зникненням у 2013 році Кау Мао вже створив імперію біткойн-майнінгу, а Гу Рунгхуй був свідком цієї ранньої історії.
Конкретно кажучи, Кау Мао був аспірантом професора Шао Чжунга, спільним студентом єльської лабораторії з Гу Рунгхуєм, а також його старшим товаришем та сусідом по офісу в комп'ютерному факультеті Єльського університету. «Тоді я вивчав XCAP framework (робота доктора Ні Чжаожуна, CTO CertiK), багато коду Coq не міг зрозуміти, тому завжди йшов запитувати Кау Мао. У той час у Єлі Кау Мао вже активно пропагував біткойн», — згадує Гу Рунгхуй.
Однак Гу Рунгхуй не має жодних внутрішніх даних щодо зникнення Кау Мао: «У 2013 році, повернувшись додому в Сучжоу (місцезнаходження лабораторії Єльського університету), Кау Мао запросив мене на окрему вечерю. Це була остання моя зустріч з ним. Після його зникнення ми не підтримували зв'язок».
Комерціалізація академічних інновацій: від CertiKOS до CertiK
Досвід досліджень у Єльському університеті дозволив Гу Рунгхуєві гостро усвідомити потенціал формалізованої верифікації. У 2016 році він разом з командою успішно розробив CertiKOS, першу у світі повністю формалізовану ядро багатоядерної операційної системи.
Крім того, команда Гу Рунгхуя також розробила першу в світі повністю перевірену комерційну систему гіпервізора SeKVM; завершила верифікацію архітектури конфіденційних обчислень (CCA) у співпраці з Arm, цей результат буде застосовано в наступному поколінні чіпів ArmV9; спільно з Ant Group завершила верифікацію системи HyperEnclave.
Ці досягнення привернули увагу не лише академічного світу, але й дозволили Гу Рунгхуєві побачити широку можливість застосування технології формалізованої верифікації у реальному світі. «Успіх CertiKOS дав мені усвідомлення, що формалізована верифікація не повинна залишатися лише в лабораторії; вона цілком здатна надати потужну безпеку для сфери блокчейн та Web3», — сказав Гу Рунгхуй.
Тому Гу Рунгхуй та професор Шао Чжунг заснували CertiK у січні 2018 року. Назва компанії походить від «CertiKOS», що означає «доказова безпека», що стало символом основної концепції компанії. Метою CertiK є впровадження строгості формалізованої верифікації в область блокчейн для забезпечення найвищого рівня безпеки цифрових активів.
Завдяки підтримці професора Шао Чжунга та багатьох випускників Ціньхуа і Єльського університету, CertiK сформувала команду стартапу, яка заслуговує на звання «розкішної». Члени команди не лише мають видатний академічний фон, але й багатий досвід в індустрії. Співзасновник професор Шао Чжунг — випускник молодшого класу Університету науки і технологій Китаю, не лише є директором комп'ютерного факультету Єльського університету, але й доктором Принстонського університету, світовим академічним авторитетом; CTO Ні Чжаожун — старший товариш Гу Рунгхуя з Ціньхуа та Єльського університету, колишній головний тренер глобальної олімпіади з інформатики, який неодноразово наставляв студентів, які отримали медалі. Багато керівників команди та технічних фахівців також закінчили Ціньхуа та мають численні нагороди у змаганнях з інформатики та у комп'ютерній сфері. Ця глибока академічна база та технічна потужність зробили так, що CertiK з моменту свого заснування привернула велику увагу в індустрії.
Лише через два місяці після заснування CertiK отримала 3,5 мільйона доларів у раунді початкового фінансування від Lightspeed Venture Partners. Компанія швидко розвивалася, постійно отримуючи інтерес капіталу: у червні 2020 року IDG Capital інвестувала 7 мільйонів доларів у раунд A; з 2021 по 2022 рік CertiK успішно завершила чотири раунди фінансування, а її оцінка зросла до 2 мільярдів доларів. Відповідно до публічної інформації, станом на грудень 2021 року CertiK досягла 20-кратного зростання доходу, а кількість працівників зросла в чотири рази.
Незважаючи на швидкий розвиток, швидкі темпи фінансування і великі суми, CertiK завжди дотримується стриманості. «У 2021 та 2022 роках багато інвестиційних установ зверталися до нас з пропозиціями, і ми дійсно відмовилися від значної частини. Тому що грошові потоки CertiK завжди були здоровими, ми більше хотіли стратегічних інвестицій, які могли б допомогти нам у бізнесі, а не просто фінансових інвестицій, тому ми вибірково приймали інвестиції», — нагадав Гу Рунгхуй.
Від інновацій у продуктах до впливу на галузь: шлях зростання CertiK
Щоб стати індустріальним єдинорогом, недостатньо лише мати розкішну команду; необхідно також мати надійні інновації в продуктах.
У процесі розвитку CertiK постійно впроваджує інноваційні продукти, щоб відповідати змінним вимогам індустрії блокчейн. Серед них — CertiK Skynet for Community, запущений у 2022 році, проект, спрямований на створення пошукового двигуна інформації про безпеку для користувачів Web3. Ця платформа надає звичайним користувачам оцінки безпеки, допомагаючи їм краще оцінювати ризики проекту та закладаючи основу для поширення усвідомлення безпеки в індустрії.
У 2023 році CertiK додатково запустила SkyInsights, інструмент моніторингу в реальному часі, спеціально розроблений для проектних сторін. SkyInsights не лише ефективний, але й має переваги з точки зору витрат, оскільки може допомогти проектним сторонам зберегти безпеку та відповідність у швидко мінливому ринку. Цей інструмент швидко став важливим інструментом для команд проектів для забезпечення безпечних операцій у складному середовищі Web3.
У 2024 році CertiK знову оновила свою продуктову матрицю, запустивши два впливові нові проекти. CertiK Quest у форматі питань та знань просвіщає користувачів про безпеку, пов'язану з Web3, сприяючи формуванню більшої безпекової свідомості в індустрії; одночасно CertiK Ventures оголосила про інвестиційний план на 45 мільйонів доларів, метою якого є підтримка зростання потенційних зірок у сфері Web3 через фінансування, технології та кадрову підтримку. Ця стратегічна розстановка не лише підвищила вплив CertiK в індустрії, але й закріпила її позицію як лідера в сфері безпеки.
Крім того, CertiK оновила свою лінійку продуктів, представивши концепцію «рішення з безпеки на всьому життєвому циклі». Це рішення охоплює кожен етап зростання проекту від початку до успіху, глибоко інтегруючи безпеку в кожен етап екосистеми Web3 та доповнюючи новим слоганом: «Підвищення вашої всієї подорожі Web3». CertiK зосередила свої послуги з безпеки на більш конкретних об'єктах, таких як проектні сторони, торгові платформи, гаманці та кінцеві користувачі, забезпечуючи всебічну безпеку за допомогою індивідуальних рішень.
«Багато проектів вважають, що безпека — це одноразовий аудит перед запуском, і сприймають це як послугу на певний момент часу, але безпека має супроводжувати проект протягом усього його життєвого циклу. Ми сподіваємося супроводжувати користувачів від ранніх етапів до запуску, включення в ланцюг, запуску токенів до етапу зрілості в експлуатації».
Безпековий двигун CertiK є центральним проявом її технологічної конкурентоспроможності. Цей двигун базується на передових технологіях формалізованої верифікації, автоматизованого сканування та глибокого нормативного аналізу, що допомагає експертам з безпеки ефективно виявляти потенційні проблеми в коді. Професор Гу Рунгхуй описує його як «інтелектуального помічника безпекових експертів», подібно до ролі ChatGPT у сфері обробки тексту.
Модель даних цього двигуна базується на багаторічному досвіді аудиту та знаннях, накопичених CertiK, включаючи зразки коду 4700 клієнтів, 150 тисяч вразливостей і детальні звіти про понад 40 великих вразливостей. Ці дані надають двигуну потужні аналітичні можливості, що дозволяє йому швидко виявляти ризики у смарт-контрактах та блокчейн-додатках.
Наприклад, у випадку з публічною ланцюговою мережею TON, CertiK не лише надала аудит коду та формалізовану верифікацію, але й допомогла провести тестування продуктивності та побудувати спільноту після запуску. Ця всебічна підтримка перевершила традиційну область безпеки та надала проектним сторонам багатогранні послуги з доданою вартістю. Це також відображає трансформацію CertiK з одного постачальника послуг у «партнера з безпеки».
Крім того, з розширенням індустрії блокчейн, CertiK поступово розширила свою увагу з B2B (для підприємств) до B2C (для споживачів). У 2024 році CertiK запустила безкоштовні інструменти безпеки для спільноти Token Scan і Wallet Scan, надаючи звичайним користувачам прості у використанні послуги перевірки безпеки. Запуск цих інструментів не лише знизив бар'єри використання безпекових технологій, але й дозволив більшій кількості людей долучитися до побудови екосистеми безпеки Web3.
CertiK прагне шляхом цих інструментів дати кінцевим користувачам більше усвідомлення безпеки та можливостей запобігання. Гу Рунгхуй зізнається: «CertiK обслуговувала 4700 клієнтів, виявила 150 тисяч вразливостей, повідомила про понад 40 великих вразливостей, можна сказати, що ми зробили величезний внесок у спільноту, але для кінцевих користувачів та розробників спільноти цього все ще недостатньо». У майбутньому CertiK планує випустити більше безкоштовних інструментів безпеки, щоб віддячити спільноті за підтримку та сприяти здоровому розвитку галузі.
Роз'яснення і відповідь на непорозуміння «печаткових аудитів»
У швидко змінюваній технологічній сфері, де безпекові вимоги складні та різноманітні, суперечки неминучі. Від критики «печаткових» аудитів до суспільних запитань після проблем у деяких проектах, CertiK пережила численні перевірки з боку громадськості та галузі. Як чесно з цими питаннями, виявити причини та зробити більший внесок у розвиток галузі стало невід'ємною місією CertiK.
Аудит безпеки, по суті, є професійною оцінкою безпеки коду на певний момент часу, а не всебічним захистом на всьому життєвому циклі проекту. CertiK, як постачальник послуг аудиту, стикається з кількома реальними викликами:
Обмеження обсягів коду: багато проектів при подачі на аудит надають лише частини коду або тестові версії. Це означає, що аудит може бути проведено лише на основі цих матеріалів, а не охоплювати всю кодову базу проекту. Після запуску проекту, якщо код змінюється, але не проходить аудит, це може призвести до безпекових ризиків.
Зміни після аудиту: деякі проекти після аудиту, щоб швидше запуститися, вносять зміни до коду або додають нові функції, але ці зміни не проходять безпековий аудит. Такі «післяаудиторські зміни» часто є основною причиною безпекових інцидентів, а не недоліками первісного аудиту.
Витрати та ресурси: всебічний і глибокий безпековий аудит коштує дорого, і не кожен проект може це собі дозволити. Навіть відомі проекти іноді через бюджетні проблеми вибирають частковий аудит, а не повне покриття коду, що ще більше збільшує потенційні ризики.
Розрив між аудитом і виконанням: навіть якщо CertiK надає детальні рекомендації щодо ризику та оптимізації, за остаточну реалізацію все ще відповідає сторона проекту. Проте деякі проектні сторони не повністю виконують рекомендації аудиту або плани виправлення, що також є однією з важливих причин виникнення безпекових проблем.
Стикнувшись з критикою, CertiK також надала свою відповідь. Наприклад, з 2020 року CertiK публічно оголосила всі аудиторські звіти для нагляду користувачів та спільноти. Рішення про публікацію аудиторських звітів на той час зазнало широкої опозиції, як з боку компанії, так і з боку партнерів, навіть інвестиційних установ.
«Бо як тільки це стає публічним, у разі виникнення будь-якої безпекової ситуації, всі пов'язуватимуть це з CertiK. Наразі жодна інша безпекова компанія не наважується публічно розкривати всю аудиторську інформацію, оскільки це означає, що у разі проблем їм не буде куди сховатися. Для CertiK публічна та прозора інформація є двосічним мечем, але для галузі це позитивний імпульс», — пояснює Гу Рунгхуй.
«Ми наполягаємо на тому, що навіть якщо цей вибір призводить до труднощів для CertiK, якщо він корисний для галузі, ми будемо рішуче діяти. З 2020 року CertiK постійно дотримується своїх початкових принципів; навіть коли у проектних сторін виникають проблеми, CertiK бере на себе негативні наслідки. І до сьогодні ми продовжуємо публікувати звіти на нашому веб-сайті», — зазначив Гу Рунгхуй.
Крім того, щоб вирішити ці проблеми, CertiK запустила рейтинг CertiK Skynet та систему оцінки безпеки, щоб підвищити прозорість та достовірність аудиторських звітів. За допомогою рейтингу та інформаційних сторінок проектів вона забезпечила доступність та достовірність аудиторських звітів, уникнувши ризику їх фальсифікації чи підробки. Система оцінки безпеки CertiK враховує різні виміри, такі як дані з блокчейну, кодові репозиторії GitHub, аудиторська інформація та статус спільноти, щоб надати користувачам більш всебічну інформацію про безпеку проекту.
З іншого боку, CertiK також запустила функцію Quest, яка є механізмом винагороди за запитання, спрямованим на те, щоб показати спільноті більше технічних деталей та знань про безпеку. Цей метод допомагає користувачам глибше зрозуміти безпекову інформацію про проекти та роль безпеки.
Сфера безпеки Web3 ніколи не є гарантією «ідеальної безпеки», а є динамічним балансом між технологією та ризиками. У цьому процесі CertiK повинна не лише зіткнутися з технічними обмеженнями та проблемами виконання з боку проектних сторін, але й нести тягар суспільної критики.
Відповідальність у кризі
У світі Web3 межі хакерської діяльності є більш розмитими, ніж у традиційному інтернеті. Між «чорними капелюшками» та «білими капелюшками» існує багато сірих зон. Наприклад, деякі хакери стверджують, що виявляють вразливості «в ім'я суспільного блага», але їхні дії можуть не відповідати існуючим законам та нормам. Ця складність створює більше викликів для безпекових компаній.
З 2020 року CertiK провела понад 70 білих шапок, суворо дотримуючись кодексу білих шапок та виявляючи та усуваючи тисячі вразливостей без шкоди для користувачів чи суспільних інтересів. Наприклад, CertiK отримала найвищу винагороду за вразливість проекту Sui через виявлення критичної вразливості. CertiK має провідні в галузі можливості моніторингу та попередження про атаки в режимі реального часу, зосереджуючи увагу на відстеженні фінансових потоків, пов'язаних з випадками групи Лазаря, що надає цінний досвід безпеки для галузі.
Однак CertiK також розуміє, що лише технічних засобів недостатньо для повного вирішення проблеми; питання безпеки Web3 не лише технічні, але й включає складну взаємодію людської природи та довіри.
Наприклад, у випадку інциденту Merlin винуватцем були не кодові вразливості, а зловмисні дії внутрішнього персоналу проекту. CertiK вдосконалила механізми запобігання внутрішнім загрозам через ретельні перевірки та моніторинг в реальному часі.
Крім того, CertiK однажды повідомила про вразливість з можливістю обміну за будь-якою вказаною ціною на іншу платформу, а це попередження було надано майже безкоштовно. Якби ця вразливість не була виявлена, платформа могла б стикнутися з кризою виживання. Професор Гу Рунгхуй у одному з інтерв'ю зазначив: «Багато разів наша робота не помічається зовні, але саме ці невидимі зусилля запобігли багатьом потенційно великим збиткам».
На арені безпеки Web3 методи атак хакерських організацій стають все більш складними, група Лазаря є типовим представником цього явища. Ця організація відома своєю майстерністю в соціальних інженерних атаках, атаках на постачальників, а також використанні підроблених розробників для впровадження вразливостей, що призвело до великої кількості безпекових інцидентів у всьому світі.
CertiK не лише технічно протистоїть групі Лазаря, але й безперервно контролює рух їхніх залучених коштів за допомогою інструментів відстеження фінансів та запобігання відмиванню грошей. У 2022 році за кулісами інциденту Merlin було підтверджено, що винуватець має зв'язок з групою Лазаря, а розслідування CertiK у цій справі вважається зразком «нульової відстані» з хакерами. Це також спонукало CertiK до всебічного оновлення в таких сферах, як відстеження коштів, сканування вразливостей та KYC (ідентифікація).
«Індустрія безпеки Web3 є такою, що потребує 7x24 високої готовності, постійної боротьби з хакерами, постійної боротьби за захист інтересів клієнтів та спільноти. Хоча ця війна, можливо, ніколи не зможе закінчитися остаточно, саме ця особливість надає CertiK сильне почуття місії; ми будемо дотримуватися своїх початкових принципів і постійно захищати безпеку Web3», — заявили в CertiK.
Початкове прагнення без змін: CertiK буде вести безпеку блокчейн та відповідність, спільно створюючи нове майбутнє екосистеми Web3.
На наступних етапах CertiK, яка прагне сприяти доброчесному розвитку індустрії блокчейн та дотримуватися духу білих шапок, не лише продовжить утримувати своє місце в індустрії блокчейн як єдиноріг, але й активно братиме на себе нові відповідальності та ролі. Наразі CertiK вже налагодила співпрацю з регуляторами п'яти країн та регіонів, відіграючи важливу роль у розробці політики та підтримці відповідності.
Професор Гу Рунгхуй, як член Міжнародного технічного консультативного комітету Управління грошово-кредитної політики Сінгапуру (MAS), брав участь у обговореннях кількох важливих рамок. Його також запросили стати членом спеціальної групи з розвитку Web3 в Гонконзі, щоб допомогти в розробці правил управління цифровими активами.
На Фестивалі фінансових технологій у Сінгапурі професор Гу Рунгхуй виступив у якості головного доповідача, поділившись своїми поглядами. Він заявив: «Суть регулювання полягає в тому, щоб «контролювати, бачити і виконувати». У сьогоднішньому світі все більш складних онлайнових транзакцій питання безпеки стало одним із ключових стовпів регулювання».
Співпраця CertiK з урядом є широкою та глибокою. Наприклад, CertiK надала професійні рекомендації щодо регулювання стабільних монет, опублікованих Гонконгським управлінням грошового обігу та Департаментом фінансів; брала участь у розробці політики відповідності для стабільних монет японської фінансової служби (FSA); співпрацювала з Управлінням розвитку цифрової економіки Малайзії для спільної розробки політичних документів щодо Metaverse та Web3; також підписала меморандум про співпрацю з урядами Сеула та Пусана в Південній Кореї, надаючи технічну підтримку у сфері безпеки блокчейн та запобігання ризикам. Ці зусилля не лише зміцнили лідируючу позицію CertiK у галузі, але й продемонстрували її глибоке почуття відповідальності за розвиток індустрії.
Одночасно CertiK оголосила про запуск свого венчурного підрозділу CertiK Ventures та створила інвестиційний план на 45 мільйонів доларів, щоб підтримати нові перспективні проекти в екосистемі Web3. Цей план є не лише зобов'язанням щодо майбутнього галузі, але й важливим кроком для CertiK у переході від постачальника технологій до рушія екосистеми.
Інвестиційний фокус CertiK Ventures зосереджений на проектах, пов'язаних з безпекою та інфраструктурою, особливо на підприємствах з сталими та масштабованими бізнес-моделями. CertiK прагне використовувати фінансову та технологічну підтримку, щоб допомогти цим проектам виділитися на швидко зростаючій арені та встановити довгострокові технологічні партнерства. CertiK Ventures планує розпочати розподіл фінансування з четвертого кварталу 2024 року і планує продовжити до кінця 2025 року, щоб надати всебічну підтримку зростанню більшій кількості проектів.
Крім співпраці з урядом та розвитку VC, CertiK також розкрила свої останні плани — «План 21», мета якого — досягти стандарту IPO протягом 21 місяця, а також зробити управління досвідом клієнта (Client Insights First) основною стратегією. Завдяки глибокому аналізу потреб клієнтів CertiK прагне створити систему оптимізації продуктів та підвищення послуг, орієнтуючись на відгуки клієнтів.
В рамках цього плану CertiK запустила рішення з безпеки на всьому життєвому циклі. Це рішення охоплює всі етапи зростання проекту, від концепції до запуску, починаючи з початкового етапу перевірки дизайну до аудиту коду та закінчуючи управлінням спільнотою та оптимізацією продуктивності після запуску. CertiK розширила свої безпекові послуги з оборони до підтримки, щоб проектні сторони Web3 могли продовжувати інновації на основі безпеки.
Видіння CertiK на майбутнє також перевищує традиційну сферу безпеки. На фоні того, що Web3 поступово стає основним напрямком, CertiK планує розширити свої послуги на більше традиційних підприємств, щоб допомогти їм успішно інтегруватися в блокчейн-екосистему. З огляду на чергування биків і ведмедів в індустрії, CertiK оптимізує структуру команди та зміцнює свої технічні можливості, закладаючи основу для постійного зростання.