2024年11月29日,Web3行業權威媒體Blockbeats發佈了對CertiK創始人顧榮輝教授的專訪,文章介紹了CertiK從初期創立到發展壯大的獨特歷程,並針對當前行業內的敏感問題作出了迴應。
以下爲Blockbeats的專訪全文:
專訪CertiK聯創顧榮輝教授:
「蓋章式審計」風波下,CertiK何去何從
在加密行業中,安全性是每個項目和平臺的基石。隨着區塊鏈技術的發展和數字資產的廣泛應用,安全問題也日益成爲關注的焦點。
在2024年新加坡金融科技節(SFF)上,CertiK聯合創始人、哥倫比亞大學計算機科學教授顧榮輝發表了題爲(超越代碼,引領信任)的主旨演講。顧教授在演講中回顧了自己的學術之旅,以及從學術研究到創辦Web3安全公司CertiK的跨越,強調了“安全不僅是競爭優勢,更是共同責任”的核心理念。
顧榮輝教授在演講中提到,2023年4月DeFi協議Merlin遭遇的200萬美元黑客攻擊,給整個區塊鏈行業帶來了深刻的警示。
新加坡金融科技節作爲全球金融科技的頂級年度活動,由新加坡金融管理局(MAS)和Elevandi聯合主辦。藉着這個契機,BlockBeats和CertiK聯合創始人顧榮輝聊了聊。
學術起始與CertiK的誕生
2010年代的清華園裏,計算機科學逐漸成爲精英學子的熱選。然而,與衆多追逐熱點研究的學生不同,顧榮輝選擇了一條冷門但極具深度的方向——形式化驗證。這一領域專注於通過數學證明確保軟件系統的正確性,是編譯器、操作系統等基礎設施的核心保障。儘管在國內起步較晚,形式化驗證一直有着高需求,尤其是在保障系統安全和穩定方面。
在清華時,顧榮輝師從董淵教授,初次接觸形式化驗證技術。他參與的研究項目RA(Region-based Allocation)爲他奠定了理論基礎。清華的四年時光,讓他對學術研究產生了濃厚興趣,也促使他追尋更高層次的學術突破。2012年在清華畢業後,顧榮輝選擇前往耶魯大學,跟隨著名學者邵中教授繼續深造。
耶魯的實驗室不僅是顧榮輝的學術發源地,也是他與區塊鏈行業初次接觸的地方。在邵中教授實驗室中,顧榮輝遇到了加密行業的傳奇人物——烤貓。在2013年消失前,烤貓就已經創造了一個比特幣礦機帝國,而顧榮輝正是那段時期的早期歷史見證者。
具體地說,烤貓是CertiK聯合創始人邵中教授的博士生、耶魯中科大聯合實驗室的學生,同時也是顧榮輝的學長與耶魯計算機系301辦公室的office mate。“當時我在學習XCAP framework(CertiK CTO倪兆中博士的工作成果),很多Coq代碼都讀不懂,有問題的時候都會去問烤貓。那個時候在耶魯,烤貓就在佈道比特幣了。”顧榮輝回憶道。
不過對於烤貓傳奇的消失經歷,顧榮輝也並沒有什麼內幕,“2013年回國在蘇州(耶魯中科大實驗室所在地),烤貓還請我單獨吃了一頓火鍋。那也是我最後一次見到他。消失後沒有過聯繫。”
學術創新的商業化:從CertiKOS到CertiK
在耶魯的研究經歷讓顧榮輝敏銳地察覺到形式化驗證的潛力。2016年,他與團隊成功研發了CertiKOS,這是全球首個完全形式化驗證的多核操作系統內核。
此外,顧榮輝的團隊還研發出了首個被完全驗證的商用雲hypervisor系統SeKVM;與Arm合作完成了Confidential Computing Architecture(CCA)的驗證工作,此成果將會應用到下一代ArmV9芯片上;與螞蟻集團合作完成了HyperEnclave系統的驗證工作。
這些成果不僅引起了學術界的矚目,也讓顧榮輝看到了形式化驗證技術在現實世界的廣泛應用可能性。“CertiKOS的成功讓我意識到,形式化驗證不應該只停留在實驗室裏,它完全可以爲區塊鏈和Web3領域提供強有力的安全保障。”顧榮輝說道。
因此顧榮輝與邵中教授於2018年1月聯合創立了CertiK。公司名稱來源於“CertiKOS”,寓意“可證明的安全”,這也成爲了公司核心理念的象徵。CertiK的目標,是將形式化驗證的嚴謹性帶入區塊鏈領域,爲數字資產提供頂級安全保障。
在邵中教授和多位清華、耶魯校友的支持下,CertiK組建了一支堪稱“豪華”的初創團隊。團隊成員不僅學術背景突出,更有着豐富的行業經驗。聯合創始人邵中教授,中科大少年班,不僅是耶魯大學計算機系主任,更是普林斯頓大學博士、世界級學術權威;CTO倪兆中博士則是顧榮輝清華和耶魯的學長,曾擔任全球信息學奧賽總教練,並多次指導學生獲得金牌。團隊中的多位高管和技術骨幹同樣出身於清華,並在信息學競賽、計算機領域中屢獲殊榮。這種深厚的學術積澱與技術實力,使得CertiK從成立之初便在行業內備受矚目。
創立後的短短兩個月,CertiK便獲得了350萬美元種子輪融資,由Lightspeed Venture Partner領投。公司發展迅猛,不斷獲得資本青睞:2020年6月,IDG Capital領投了700萬美元的A輪融資;2021年至2022年間,CertiK連續完成四輪融資,總估值一躍達到20億美元。據公開信息顯示,截至2021年12月,CertiK完成了20倍的收入增長,員工人數增加了4倍。
儘管發展迅猛、融資節奏快、金額大,CertiK卻始終保持克制。“2021和2022年期間,確實有很多投資機構找到我們希望投錢,我們也確實拒絕了很大一部分。因爲CertiK的現金流一直很健康,我們更希望獲得戰略投資,能夠在業務上助力我們,而不僅僅是爲了引入財務投資,因此我們是有選擇地接納投資。”顧榮輝回憶道。
從產品創新到行業影響:CertiK的崛起之路
能成爲行業獨角獸,肯定不只有豪華的團隊,還得有過硬的產品創新。
在發展過程中,CertiK不斷推出創新產品,以應對區塊鏈行業不斷變化的需求。其中,2022年上線的CertiK Skynet for Community,是爲Web3用戶打造的項目安全信息搜索引擎。該平臺爲普通用戶提供安全評分,幫助他們更好地評估項目風險,爲行業普及安全意識奠定了基礎。
2023年,CertiK進一步推出了SkyInsights,一個爲項目方量身定製的實時監控工具。SkyInsights不僅高效,還具備成本優勢,它能夠協助項目方在快速變化的市場中保持安全性和合規性。這一工具迅速成爲項目團隊在複雜的Web3環境中確保安全運營的利器。
2024年,CertiK再度升級產品矩陣,推出了兩個頗具影響力的新項目。CertiK Quest以問答和知識卡的形式,向用戶科普Web3相關的安全知識,爲行業培養了更廣泛的安全意識;與此同時,CertiK Ventures宣佈了4500萬美元的投資計劃,旨在通過資金、技術和人才支持,助力Web3領域的潛在明星項目成長。這一戰略性佈局,不僅提升了CertiK在行業內的影響力,也鞏固了其作爲安全領域領導者的地位。
此外,CertiK還升級了產品線,提出了“全生命週期安全解決方案”的理念。這一解決方案覆蓋項目從初創到成功的每一個成長階段,將安全深度嵌入到Web3生態系統的每一個環節,並輔以新的Slogan:“Elevating Your Entire Web3 Journey”。CertiK將安全服務聚焦到更爲具體的對象,如項目方、交易平臺、錢包以及終端用戶,通過定製化解決方案確保全方位的安全保障。
“很多項目會覺得安全是上線之前一次性的安全審計,會把它當成一個時間點的服務,但安全需要伴隨整個項目的生命週期,我們希望可以陪伴用戶從早期一直到上線、上鍊、上幣,再到成熟期的運營。”
CertiK的安全引擎,是其技術競爭力的核心體現。這一引擎依託先進的形式化驗證、自動化掃描和深度規範分析等技術,幫助安全專家高效地發現代碼中的潛在問題。顧榮輝教授形容它爲“安全專家的智能助手”,類似於ChatGPT在文本處理領域的角色。
該引擎的模型數據來源於CertiK多年來積累的審計經驗和知識庫,涵蓋了4700家客戶的代碼樣本、15萬個安全漏洞以及超過40個大型漏洞的詳細報告。這些數據爲引擎提供了強大的分析能力,使其能夠快速識別智能合約和區塊鏈應用中的隱患。
以TON公鏈爲例,CertiK不僅爲其提供了代碼審計和形式化驗證,還在上線後幫助進行了性能測試和社區建設。這種全流程的支持已超越傳統安全領域,進一步爲項目方提供了多維度的增值服務。這也反映出CertiK從單一服務提供者向“安全合作伙伴”角色的轉型。
此外,隨着區塊鏈行業的普及,CertiK逐步將目光從2B(面向企業)擴展到2C(面向消費者)領域。2024年,CertiK推出了免費的社區安全工具Token Scan和Wallet Scan,爲普通用戶提供了簡單易用的安全檢測服務。這些工具的推出,不僅降低了安全技術的使用門檻,也讓更多人能夠參與到Web3安全生態的建設中。
CertiK希望通過這些工具,讓C端用戶具備更強的安全意識和防範能力。顧榮輝坦言:“CertiK服務了4700家客戶,找到了15萬個安全漏洞,彙報了超過40個大型漏洞,可以說我們對社區做了非常大的貢獻,但是我們對於C端以及開發者社區還是不夠的。”未來,CertiK計劃推出更多的免費安全工具,以回饋社區支持並推動行業健康發展。
澄清與迴應:“蓋章式審計”的誤解
在一個技術快速迭代且安全需求複雜多變的領域裏,爭議在所難免。從“蓋章式”審計的批評,到部分項目出現問題後的輿論質疑,CertiK經歷了公衆和行業的多重考驗。如何正視這些問題、揭示背後的原因,同時爲行業發展作出更大貢獻,成爲CertiK不可迴避的使命。
安全審計,從本質上來說,是對特定時間點代碼安全性的專業評估,而非對整個項目生命週期的全面保護。CertiK作爲審計服務的提供者,面臨着幾大現實挑戰:
代碼範圍的限制:很多項目方在提交審計時,只提供了部分代碼或測試版本的代碼。這意味着,審計只能基於這些內容進行風險評估,而無法覆蓋整個項目的代碼庫。項目上線後,如果代碼有改動但未經審計,就可能導致安全隱患。
審計後的改動:一些項目方在審計後爲了快速上線,會對代碼進行修改或新增功能,但這些改動未經過安全審計。這種“後續變動”往往是安全事件的主要原因,而非初期審計的疏漏。
成本與資源:全面深入的安全審計成本高昂,並非每個項目都能負擔得起。即使是知名項目,有時也會因預算問題選擇局部審計而非全代碼覆蓋,這進一步加大了潛在風險。
審計與執行的斷層:即使CertiK提供了詳盡的風險建議和優化方案,最終的實施仍由項目方負責。然而,有些項目方並未完全執行審計建議或整改方案,這也成爲安全問題發生的另一重要原因。
面對質疑,CertiK也給出了自己的迴應。例如,自2020年以來,CertiK將所有審計報告公開,供用戶和社區監督。公開審計報告的決定在當時遭到廣泛反對,無論是公司內部、合作伙伴,甚至投資機構都非常牴觸。
“因爲一旦公開,任何安全事故發生時,大家都會將其與CertiK聯繫起來。目前還沒有其他安全公司敢於公開所有審計信息,因爲這意味着面對問題將無所遁形。對於CertiK而言,公開透明的信息是一把雙刃劍,但對於行業而言卻是積極的推動。”顧榮輝解釋道。
“我們堅持即使這種選擇對CertiK帶來挑戰,但只要對行業有益,CertiK也會堅定執行。從2020年至今,CertiK始終保持初心,即便有項目方出現問題,CertiK也承擔了隨之而來的負面影響。直到今天,我們都會將報告公開發布在網站上。”顧榮輝表示。
此外,爲了解決這些問題,CertiK推出了CertiK Skynet排行榜和安全評分系統,以增強審計報告的透明度和真實性。通過排行榜和項目信息頁面來確保審計報告的可訪問性和真實性,避免了被篡改或僞造的風險。CertiK的安全評級系統綜合考慮了鏈上數據、GitHub代碼庫、審計信息和社羣狀況等多個維度,爲用戶提供了更全面的項目安全信息。
另一方面,CertiK還推出了Quest功能,這是一種問答獎勵機制,旨在向社區展示更多技術細節、安全知識。通過這種方式幫助用戶更深入地瞭解項目的安全相關信息,理解安全的作用。
Web3安全領域從來都不是“完美安全”的保障,而是技術與風險博弈的動態平衡。CertiK在這個過程中,既要直面技術侷限與項目方執行問題,也要承擔公衆質疑的壓力。
危機中的責任
在Web3的世界裏,黑客行爲的界限比傳統互聯網更加模糊。傳統意義上的“黑帽子”與“白帽子”之間,在Web3中存在大量灰色地帶。例如,部分黑客聲稱爲了“公共利益”而曝光漏洞,但他們的行爲未必符合現有法律法規。這種複雜性爲安全公司帶來了更多挑戰。
自2020年以來,CertiK已進行70多次白帽行動,通過嚴格遵守白帽守則,並在不損害用戶或公衆利益的前提下,發現並修復了數萬起安全漏洞。例如,CertiK因發現關鍵漏洞獲得了Sui項目的最高漏洞賞金,CertiK具有行業領先的鏈上實時攻擊監測和預警能力,並重點追蹤拉撒路集團相關案件的資金流轉,爲行業提供了寶貴的安全防護經驗。
然而,CertiK也深知,僅靠技術手段不足以全面解決問題,Web3的安全問題不僅存在於技術層面,更涉及人性與信任的複雜交互。
例如,在Merlin事件中,幕後黑手並非代碼漏洞,而是項目內部人員的惡意行爲。CertiK通過嚴格的背景調查與實時監控,進一步完善了防範內部威脅的機制。
此外,CertiK曾向另一個交易平臺報告了任意指定兌換價格的漏洞,而這次預警幾乎是無償提供的服務。如果這一漏洞未被發現,交易平臺可能會面臨生存危機。顧榮輝教授在一次訪談中表示:“很多時候,我們的工作並不被外界看到,但正是這些看不見的努力,防止了許多潛在的重大損失。”
在Web3的安全戰場上,黑客組織的攻擊手段日益複雜,Lazarus集團就是其中的典型代表。這個組織以其高超的社會工程攻擊、供應鏈攻擊,以及假扮開發者植入漏洞等手法,在全球範圍內製造了大量安全事件。
CertiK不僅在技術上與Lazarus集團展開對抗,還通過資金追蹤和反洗錢工具,持續監控其涉案資金的流轉。2022年,Merlin事件中幕後黑手被聯合國確認與Lazarus集團有關,而CertiK在這一事件中的調查工作被視爲與黑客“0距離交鋒”的典範。這也促使CertiK在資金追蹤、漏洞掃描和KYC(身份認證)等領域進行了全面升級。
“Web3安全行業是一個需要7x24高度警備,隨時和黑客短兵相接,隨時鬥智鬥勇捍衛客戶和社區利益。雖然這場戰爭可能永遠沒有辦法一勞永逸地止息,但也正是這個特徵讓CertiK有了強烈的使命感,我們會秉承初心,貫穿始終地守護Web3安全。”CertiK表示。
初心未改,CertiK將引領區塊鏈安全與合規,共建Web3生態新未來
在之後的道路上,致力於推動區塊鏈行業向善並堅守白帽精神的CertiK,不僅將繼續其作爲區塊鏈行業獨角獸的地位,也將積極承擔起新的責任與角色。目前,CertiK已與五個國家和地區的監管機構建立了合作關係,在政策制定和合規支持上發揮了重要作用。
顧榮輝教授作爲新加坡金融管理局(MAS)國際技術諮詢委員會的成員,參與了多個重要框架的討論。他還受邀成爲香港Web3發展專責小組的成員,協助推動數字資產管理規則的形成。
在新加坡金融科技節上,顧榮輝教授以主講嘉賓身份分享了他的觀點。他表示:“監管的核心在於‘管得住、看得見、能執行’。在鏈上交易愈發複雜的今天,安全問題已成爲監管的關鍵支柱之一。”
CertiK的政府合作範圍廣泛且深入。例如,CertiK爲香港金管局和財庫局聯合發佈的穩定幣監管制度建議提供了專業意見;參與了日本金融廳(FSA)關於日元穩定幣合規政策的起草工作;與馬來西亞數字經濟發展局合作,共同制定Metaverse和Web3的政策文件;還與韓國首爾和釜山市政府簽署了合作備忘錄,提供區塊鏈安全和風險防控的技術支持。這些努力不僅鞏固了CertiK在行業內的領導地位,也彰顯了其對行業發展的深刻責任感。
與此同時,CertiK宣佈推出旗下風投部門CertiK Ventures,並設立了4500萬美元的投資計劃,旨在支持Web3生態中具有高潛力的新興項目。該計劃不僅是對行業未來的承諾,也是CertiK從技術提供者向生態推動者轉型的重要一步。
CertiK Ventures的投資重點放在安全和基礎設施相關的項目,尤其是那些具有可持續和可擴展商業模式的企業。CertiK希望通過資金和技術支持,幫助這些項目在快速發展的賽道中脫穎而出,併爲其構建長期的技術合作關係。CertiK Ventures預計從2024年第四季度起開始分配資金,計劃持續至2025年底,爲更多項目提供全方位的成長助力。
除了政府合作與VC部門的建設,CertiK還透露了CertiK的最新計劃——“21計劃”,目標是在21個月內達到上市標準,並將客戶體驗管理(Client Insights First)作爲核心戰略。通過深入挖掘客戶需求,CertiK致力於打造以客戶反饋爲導向的產品優化和服務提升體系。
在這一計劃的指導下,CertiK推出了全生命週期安全解決方案。這套方案覆蓋了項目從概念階段到上線後的整個成長過程,從最初的設計審查到代碼審計,再到上線後的社區管理與性能優化。CertiK已經將安全服務從防禦擴展到支持,讓Web3項目方能夠在安全的基礎上實現持續的創新。
CertiK對未來的展望也超出了傳統的安全領域。在Web3逐步成爲主流的背景下,CertiK計劃將服務範圍拓展到更多的傳統企業,幫助它們順利進入區塊鏈生態。在面對行業牛市和熊市交替的環境下,CertiK通過優化團隊結構、強化技術能力,爲持續增長奠定了基礎。