Techub 专访顾荣辉教授：解密 CertiK 的安全战略路线

当 Web3 安全审计公司还在争抢审计份额时，CertiK 已经开始将目光瞄准即将进军 Web3 的传统商业巨头。CertiK 不仅在传统行业进行白帽行动获得如苹果公司的官方感谢，还是 Web3 行业唯一一家拥有 SOC 2 和 ISO 认证的 Web3 的安全公司。基于此，其已然成为传统行业进入 Web3 领域进行安全咨询的首选公司。

然而，作为 Web3 安全审计领域的龙头，CertiK 的实力不仅限于其精准的商业战略，其技术实力亦非常雄厚。ZK（零知识证明）领域的安全审计一直是行业的难题，但 CertiK 通过其对 zkWasm 进行的完全形式化验证，开创性地完成了行业在 ZK 形式化验证的首次成功尝试。

2024 年新加坡 Token 2049 活动期间，CertiK 公布其 4500 万美元 CertiK Ventures 的资金规模，同时发布其产品链路。此举在引发行业和媒体广泛关注的同时，也不禁令人好奇，作为 Web3 行业安全赛道的龙头公司，CertiK 依靠何等技术优势或商业逻辑，使其在持续低迷的市场中作出如此积极的战略判断？

为揭示 CertiK 此轮战略调整和业务布局背后的逻辑，Techub News 在 TOKEN2049 活动期间对 CertiK 联合创始人顾荣辉教授进行了专访，探寻 CertiK 如何从单一业务的安全公司发展成为生态中心。

Techub News：CertiK 最近重新调整了产品和服务结构，可以给我们介绍一下目前的新的服务和产品嘛，以及是基于什么样的考虑做出这样的调整？ 

顾荣辉教授：CertiK 在近期调整了我们的产品服务框架，我们之前完全专注于 ToB 的服务，主要是提供最高等级的安全审计和安全保护等。CertiK 现在战略和产品的调整主要围绕着 Web3 社区进行，我们会更专注于 Web3 社区，更注重 Web3 社区的安全性。这和之前的区别之处在于我们会更注重对社区的回馈和投入，而不是单纯为行业中企业级客户进行服务。

我们希望更深入地参与到社区之中，参与到整个行业的构建与发展之中。为此，我们为社区提供了能全面覆盖生命周期的产品支持。比如我们刚刚成立的 CertiK Ventures，就是希望能够在企业早期，比如种子轮或者种子前轮阶段，提供资金以及后续一系列投后服务，助力这些企业完成从 0 到 1 的过程。此前，CertiK 更多地是在企业上线或上线部署前介入其发展中，但现在我们希望更早地介入，发现并助力这些未来独角兽完成从 0 到 1 的过程。我们会提供一系列的服务，比如咨询服务与支持，以及提供一些开发者工具和审计中使用的内部工具，来助力这些企业的开发。此外，在部署前和部署后的阶段，我们通过提供审计服务，确保企业在合约安全方面得到保障。

我们还发布了产品 Skynet，这个产品主要是提供安全查阅，把 Web3 企业的数据以一种公开透明的方式呈现给社区。我们还有一些面向社区用户的工具，比如 Smart Calendar、Wallet Scan，还有 Token Scan 等等，这些工具可以帮助 C 端用户在参与 B 端企业的产品与活动时能更好地降低风险。Smart Calendar 记录了 Web3 项目的空投以及升级时间；Wallet Scan 可以帮助用户扫描钱包来检查潜在风险；Token Scan 专为分析代币安全设计，帮助用户识别包括「退出骗局」在内的多种潜在风险。

我们还有安全节点服务。CertiK 很早就打入了节点服务这个市场。我们是 BNB Chain（早期的 BSC）最早的 21 个节点之一，同时我们也是 Kishu 的安全节点兼唯一的安全合作伙伴。我们希望能够把我们的产品和服务扩展到项目的全周期，从项目开始的最早期直到最后期。

目前，CertiK 的战略重心正在经历一次重要的升级，我们会更加注重回馈社区。我们会把内部的很多工具和框架陆续推出到社区，造福更多的项目方和开发者甚至是其他的 Web3 安全公司，这都是我们很开心可以见到的。

Techub News：可以给我们透露一下 CertiK Ventures 目前的资金规模和重点投资方向吗？

顾荣辉教授：CertiK Ventures 目前第一期的规模有 4500 万美元，这些全部都是我们的自有资金。我们目前计划第一期的资金应该会在 2025 年结束之前全部投出。我们目前的投资主要专注在种子轮和种子前轮阶段的项目，目标是寻找到各个赛道的潜在独角兽，利用 CertiK 的资源以及我们全周期的服务来帮助他们完成从 0 到 1，从 1 到 100 的过程。同时，我们也会进行战略投资，在二级市场我们也会押注一些赛道和项目。

Techub News：相较于其他安全审计公司，CertiK 有什么独特之处？

顾荣辉教授：Messari 在 2022 年的一篇报告中提到，2021 年 CertiK 几乎是以一己之力把 Web3 的安全审计变成了一个赛道，并成为了这个赛道里的独角兽。在那段时间，CertiK 的市场份额就达到了 60% 到 70%，成为当时整个 Web3 行业中第 13 家除了交易所外大家公认有潜力 IPO 的独角兽公司。

在 2022 年，CertiK 的估值就超过了 20 亿美元。最头部的投资机构比如红杉、高盛也都投了我们，这同时也说明了我们在合规方面做得非常到位，我们完全有能力接受美国商业投资银行的合规调查。

我们不仅局限于数字资产的保护，还会积极参与白帽行动，比如最近我们因为找到了苹果 Vision Pro 里的一些安全漏洞收获了苹果的官方致谢，这已经是 CertiK 第 6 次收获苹果的致谢。去年，我们还入选了三星的安全名人堂，此外还得到了阿里巴巴、字节跳动等 9 家传统互联网行业的认可，这些在整个 Web3 行业里都是非常少见的。而且我们应该是唯一一家拥有 SOC 2 和 ISO 认证的 Web3 的安全公司。这使得 CertiK 成为很多的传统企业进入 Web3 领域寻求安全帮助和安全服务的首选。一些大型银行比如 DBS、UBS 等就会选择我们作为主要的安全提供方。

CertiK 在技术上也有很大不同。首先 CertiK 可以同时服务很多家公司。CertiK 之所以能够做到这一点是因为我们有很多内部开发的工具，比如支撑于形式化验证的工具，以及很多自动化的工具和成体系的安全审计的流程。

并且我们是 Web3 领域唯一一家公开审计报告的公司。我们拥抱透明度，鼓励同行进行监督、分享和学习。另一方面，我们的每一个错误都将置于整个行业的审视之下，所有人都能看得到。这对我们来说其实是一个双重的压力，不过这也是督促我们前进的方式。

Techub News：在过去的一年当中 CertiK 有遇到过哪一些安全挑战吗？CertiK 又是如何应对的？

顾荣辉教授：随着技术栈的前移和 ZK 技术的兴起，Web3 安全面临的技术复杂性显著增加。ZK 的复杂程度远超之前区块链的大部分应用，ZK 该如何完成安全审计，这其实是一个非常大的难题，对此行业也进行了很多的探索。像 CertiK 选择了一个比较重大的尝试是和 zkWasm 一起合作，完成了 zkWasm 所有 ZK 电路翻译相关的全面形式化验证，这在行业内尚属首次，也是目前唯一一次成功的尝试。我们也发布了一系列 ZK 电路相关形式化验证的视频，其中多个视频的播放量都超过了 100 万次。

zkWasm 的完全形式化验证其实非常困难，其中包括怎么进行数据上的建模、怎么做形态验证、怎么样一条一条完成 ZK 存储用例的验证工作、如何提高人效，才能将这一技术进一步规模化。目前，我们正在提交相关技术的论文，预计论文发表后，这些技术将对行业产生更深远的影响。

以上就是我们面临的第一个挑战，如何在行业技术快速迭代、复杂性飞速增长的情况下，适应并提供同等级甚至更高等级的安全服务和产品。

我们面临的第二个挑战在于大众对于审计安全的认知缺失。安全审计的必要性已经成为业界的共识，但对于在安全上的投入应该达到何种程度，行业尚未有明确的答案。

在这方面，我们确实遭遇了不少挑战。一些项目方在进行安全审计时，往往只提交部分代码以供审查，他们对于安全的态度仅限于希望对社区有个交代。这种做法实际上埋藏了许多安全隐患。一旦真的发生攻击，作为审计方就会面临很大的压力。因此，在市场教育方面，我们需要付出更多的努力，以提高项目方对全面安全审计重要性的认识。

我们还会遇到一些其他情况，比如项目方的代码其实没有问题，但在配置环节却出现了问题，如私钥的不慎丢失。从这些过程之中，我们可以发现，安全审计其实是一个静态的一个点。

但安全服务需要在整个项目的全周期进行，因为随着项目进展和环境变化，所需的安全产品和服务也会相应变化。然而，目前许多项目方还没能形成这样共识，这种认识的缺失可能引发诸多安全隐患。

Techub News：CertiK 在提升安全性方面有什么创新或趋势？

顾荣辉教授：面对技术栈前移带来的挑战，比如如何完成 ZK 的审计，传统的个人或小型审计团队已经难以提供足够的支持。但 CertiK 将持续推进形式化验证，未来计划提供共识协议的安全形式化验证服务，以适应这一变化。

并且，我们的审计是系统化的，我们不希望审计还只是停留在人工读代码的阶段，而是实现审计工作的规模化。为此，我们内部已经应用了 LLM。我们首先对代码进行分类，然后根据不同的分类，采用相应的审计方法进行验证。

我们的服务不仅局限于 B 端用户，同时也为 C 端用户提供了相应的工具和服务。比如钱包安全扫描的服务，该服务能够检测钱包地址是否授权给存在风险的智能合约、是否持有具有安全风险的代币，以及是否与有风险的地址进行过交互。此外，我们还有一款叫做 SkyInsights 的合规产品，为个人和项目方提供合规相关的服务。

Techub News：C 端个人用户所需要的合规服务主要存在于哪里呢？

顾荣辉教授：举个例子，我们最开始帮助 6 万客户进行地址扫描的时候，发现有近 4000 个地址存在风险，这些地址可能曾经从被制裁的相关地址处收到过汇款或有过交互。这种情况意味着该钱包地址被污染了。如果该钱包地址还将代币打给主合规地址的话，就会造成主合规账户也受到污染，进而可能导致整个钱包被封。

Techub News：那这种情况要怎么处理？

顾荣辉教授：许多 C 端用户可能缺乏对这方面风险的认识，在不了解的情况下与风险地址进行交易，例如选择场外交易（OTC），就可能会带来安全隐患。为了预防这种情况，我们会提供一些地址名单供用户在交互前进行核查，以避免和风险地址产生交互。

如果地址已被污染，我们会帮助用户查出具体是哪一笔交易出现了问题，并提供相应的文件帮助用户解封账号。

Techub News：请分享一些 CertiK 在进行智能合约审计时的典型案例或成功故事。

顾荣辉教授：今年 7 月，福布斯公布了 2024 年上半年市值超过 10 亿美元中表现最佳十大加密货币，我们的五位客户 TON、PEPE、FLOKI、CORE DAO 和 Bitget 均榜上有名。这些客户在早期就选择了我们的审计服务，我们很高兴能助力他们的成功之路。以 TON 为例，CertiK 自 2022 年末起便与其展开了合作，一路见证了其发展壮大。我们为能为这些杰出的加密货币项目提供支持而感到自豪，这也是我们选择推出 CertiK Ventures 的原因，目的是发掘、支持像他们一样的明日之星项目。

Techub News：CertiK 如何平衡安全审计的深度和广度问题？

顾荣辉教授：在深度方面，我们持续深化形式化验证技术，以应对不断涌现的新技术栈，从而不断提升我们的安全防护水平。同时，我们也在积极预见并准备应对未来可能出现的风险，确保我们的安全技术能够适应不断变化的环境。

在广度方面，我们通过规模化的审计流程和分类方法，运用多样化的工具来满足各种安全需求。这种方法确保了项目的可审计性（auditable），即每个步骤都是清晰且可验证的，确保我们能够覆盖更广泛的安全领域。

Techub News：还有哪些您认为是非常重要但我们这次问题中没有涉及到的吗？

顾荣辉教授：现在对于 Web3 来说正处于一个关键的节点。过去几年，整个行业都处于熊市，众多参与者承受了不小的压力。接下来我觉得会迎来一波快速发展的过程，牛市的回归不仅可期，而且有望持续延伸下去。在这样的背景下，CertiK 正积极寻找并支持那些有潜力在新兴赛道中脱颖而出的项目。我们的目标是通过我们的专业知识和资源，帮助这些项目实现与上一轮牛市中一样的显著增长。

原文链接：https://techub.news/newDetails/?id=1bca98990e1640d5a475a8768dc29e8e