4 грудня 2024 року (Блумберг Бізнес Вік) опублікував інтерв'ю з професором Гу Рунгхуй, співзасновником CertiK. (Блумберг Бізнес Вік) вважається одним з найбільш впливових фінансових медіа у світі і широко визнано як обов'язкове видання для бізнесменів та інвесторів. Воно славиться своїм глибоким аналізом і коментарями, надаючи важливі джерела інформації для інвесторів і менеджерів компаній. Журнал охоплює більше 120 країн і регіонів, має понад 4,7 мільйона читачів у всьому світі, а загальний тираж наближається до 1 мільйона примірників, маючи сильний вплив в США та Азії.
У цьому інтерв'ю (Блумберг Бізнес Вік) професор Гу, з точки зору експерта галузі, детально розкрив основні виклики безпеки, з якими стикається сучасна сфера Web3, а також, спираючись на багаторічний досвід CertiK, поділився унікальними поглядами на майбутній розвиток галузі.
Нижче наведено повний текст звіту:
Q&A: Співзасновник та CEO CertiK Гу Рунгхуй
Одним з ключових чинників масового розвитку блокчейну є смарт-контракти, оскільки вони не потребують втручання третіх сторін і можуть автоматично виконуватися, як тільки виконуються задані умови. Однак хакери можуть скористатися цією особливістю, щоб атакувати через вразливості. Початковою метою заснування компанії CertiK було максимально забезпечити безпеку смарт-контрактів. Співзасновник та CEO компанії Гу Рунгхуй дав інтерв'ю (Блумберг Бізнес Вік/Китайська версія), розглядаючи виклики, з якими стикається сфера безпеки Web3. Як член Групи спеціального призначення з розвитку Web3 в Гонконзі, він також висловив свої пропозиції щодо розвитку Web3 в Гонконзі.
Ви є професором Колумбійського університету, що спонукало вас до заснування CertiK?
Моя досліджувана область - формальна верифікація, використання математичних методів для підтвердження безпеки програмних систем. Традиційні методи безпеки зосереджуються на пошуку можливих вразливостей у системі, тоді як ми намагаємося довести, що дизайн, розробка та реалізація цього програмного забезпечення відповідають стандартам, що є еквівалентом вивчення всіх можливостей. Ця технологія раніше вважалася важкою для застосування до реальних складних систем, поки в 2016 році ми не створили CertiKOS, першу в світі повністю формально верифіковану багатоядерну операційну систему.
В той же час на блокчейні спалахнула атака на The DAO, внаслідок якої було втрачено понад три мільйони ефірів (Ethereum), і всі почали усвідомлювати, що виклики безпеки на блокчейні набагато перевищують виклики на інших обчислювальних платформах, оскільки атаки на ньому можуть призвести до прямих фінансових втрат. Крім того, оскільки смарт-контракти виконуються без зупинки після розгортання, навіть якщо атака виявлена, її неможливо зупинити. Тому всі сподіваються забезпечити безпеку смарт-контрактів на блокчейні, і в цьому контексті ми заснували CertiK, надаючи кілька рішень з безпеки, включаючи аудит смарт-контрактів.
Деякі проекти, які пройшли аудит CertiK, все ще стикалися з проблемами безпеки, включаючи аудит смарт-контрактів, з якими ще стикається сфера безпеки Web3?
Безпека є «цілісним» питанням, як і будинок: ви можете зробити двері від злодіїв надзвичайно міцними, але, можливо, ваша електрична система буде зламаною, і зловмисник все ще зможе потрапити через вікно. Наразі дуже поширеним є те, що безпековий бюджет багатьох компаній або проектів обмежений, і вони вважають, що якщо вони безпечно перевірять тільки одну версію коду або навіть його основну частину, це буде достатньо. Але як тільки код оновлюється або з'являється нове розгортання, можуть виникнути проблеми.
Недостатнє розуміння безпеки на ринку та в галузі є великою проблемою, з якою зараз стикається сфера безпеки Web3. Крім того, в блокчейні відбувається безліч інновацій, і як експерти з безпеки, так і оновлення наших внутрішніх інструментів стикаються з величезним тиском. Для нас це майже безперервна війна 24/7, адже хакери не знають відпочинку.
Багато людей описують CertiK як «великої четвірки» у сфері безпеки Web3, як ви балансуєте широту та глибину аудитів, коли стикаєтеся з великою кількістю бізнесу, і чому галузь повинна довіряти централізованим компаніям, таким як ваша?
Стикаючись з величезними обсягами бізнесу, ми постійно працюємо над продуктами, пов'язаними з безпекою аудиту або перевіркою коду. Багато внутрішніх інструментів можуть допомогти нам автоматизовано генерувати деякі звіти про аудит, а експерти з безпеки аналізують і перевіряють всі підозрілі місця, замість того щоб переглядати код рядок за рядком. Наша принципова позиція: краще помилитися, ніж пропустити щось. Наприклад, у 2023 році ми видали понад 1000 звітів про аудит, реальний рівень пропущених звітів становить менше 1%. Щодо проблеми централізації, ми робимо все можливе, щоб бути якомога більш відкритими і прозорими. CertiK почала публікувати всі звіти про аудит з 2020 року. Однак опубліковані звіти про аудит не є «грамотою» для якогось проекту, а просто повідомляють про те, які тестування ми провели, який код перевірили.
CertiK минулого року відкрила офіс у Гонконзі, розкажіть про розвиток бізнесу або співпрацю в Гонконзі. Водночас, як член Групи спеціального призначення з розвитку третього покоління Інтернету в Гонконзі, які у вас є пропозиції щодо дій та змін Гонконгу у сфері віртуальних активів за останні два роки?
CertiK наразі глибоко співпрацює з Digital Harbor, щоб забезпечити освіту з безпеки Web3 для компаній та фахівців у цій спільноті через семінари та інші формати. Водночас, багато Web3 компаній у Гонконзі подають заявки на отримання ліцензій на відповідність, і ми також надаємо послуги з безпеки, такі як аудит безпеки та проектування безпечної архітектури.
Як член спеціальної групи, я вважаю, що Гонконг активно розвиває Web3 і швидко реагує. Наприклад, ліцензії на (віртуальні активи) біржі, прийняття спотового ETF тощо; за кожною рамкою відповідності стоїть величезна робота. Але в реалізації уряд Гонконгу іноді може бути занадто обережним. Я також є членом Міжнародного консультативного комітету з технологій Управління грошового обігу Сінгапуру, взявши за приклад випуск токенізованих облігацій, між Сінгапуром і Гонконгом існують помітні відмінності. Сінгапур вирішив випустити облігації на публічному блокчейні, а CertiK надає аудит безпеки на всіх етапах; тоді як уряд Гонконгу вирішив розгорнути їх на приватному блокчейні Goldman Sachs, що свідчить про те, що уряд Гонконгу має занадто багато побоювань у реалізації інновацій, побоюючись негативних наслідків ризиків. Хоча Сінгапур через інцидент з FTX «втратив репутацію», він став більш обережним у відношенні до Web3, але у сфері токенізованих облігацій та навіть ліцензій на стейблкоїни він все ще сміливіший, ніж Гонконг.