Techub 专访顾荣辉教授:解密 CertiK 的安全战略路线
token2049 新加坡站期间,Techub News 在 TOKEN2049 活动期间对 CertiK 联合创始人顾荣辉教授进行了专访,深入了解 CertiK 安全策略。
当 Web3 安全审计公司还在争抢审计份额时,CertiK 已经开始将目光瞄准即将进军 Web3 的传统商业巨头。CertiK 不仅在传统行业进行白帽行动获得如苹果公司的官方感谢,还是 Web3 行业唯一一家拥有 SOC 2 和 ISO 认证的 Web3 的安全公司。基于此,其已然成为传统行业进入 Web3 领域进行安全咨询的首选公司。
然而,作为 Web3 安全审计领域的龙头,CertiK 的实力不仅限于其精准的商业战略,其技术实力亦非常雄厚。ZK(零知识证明)领域的安全审计一直是行业的难题,但 CertiK 通过其对 zkWasm 进行的完全形式化验证,开创性地完成了行业在 ZK 形式化验证的首次成功尝试。
2024 年新加坡 Token 2049 活动期间,CertiK 公布其 4500 万美元 CertiK Ventures 的资金规模,同时发布其产品链路。此举在引发行业和媒体广泛关注的同时,也不禁令人好奇,作为 Web3 行业安全赛道的龙头公司,CertiK 依靠何等技术优势或商业逻辑,使其在持续低迷的市场中作出如此积极的战略判断?
为揭示 CertiK 此轮战略调整和业务布局背后的逻辑,Techub News 在 TOKEN2049 活动期间对 CertiK 联合创始人顾荣辉教授进行了专访,探寻 CertiK 如何从单一业务的安全公司发展成为生态中心。
Techub News:CertiK 最近重新调整了产品和服务结构,可以给我们介绍一下目前的新的服务和产品嘛,以及是基于什么样的考虑做出这样的调整?
顾荣辉教授:CertiK 在近期调整了我们的产品服务框架,我们之前完全专注于 ToB 的服务,主要是提供最高等级的安全审计和安全保护等。CertiK 现在战略和产品的调整主要围绕着 Web3 社区进行,我们会更专注于 Web3 社区,更注重 Web3 社区的安全性。这和之前的区别之处在于我们会更注重对社区的回馈和投入,而不是单纯为行业中企业级客户进行服务。
我们希望更深入地参与到社区之中,参与到整个行业的构建与发展之中。为此,我们为社区提供了能全面覆盖生命周期的产品支持。比如我们刚刚成立的 CertiK Ventures,就是希望能够在企业早期,比如种子轮或者种子前轮阶段,提供资金以及后续一系列投后服务,助力这些企业完成从 0 到 1 的过程。此前,CertiK 更多地是在企业上线或上线部署前介入其发展中,但现在我们希望更早地介入,发现并助力这些未来独角兽完成从 0 到 1 的过程。我们会提供一系列的服务,比如咨询服务与支持,以及提供一些开发者工具和审计中使用的内部工具,来助力这些企业的开发。此外,在部署前和部署后的阶段,我们通过提供审计服务,确保企业在合约安全方面得到保障。
我们还发布了产品 Skynet,这个产品主要是提供安全查阅,把 Web3 企业的数据以一种公开透明的方式呈现给社区。我们还有一些面向社区用户的工具,比如 Smart Calendar、Wallet Scan,还有 Token Scan 等等,这些工具可以帮助 C 端用户在参与 B 端企业的产品与活动时能更好地降低风险。Smart Calendar 记录了 Web3 项目的空投以及升级时间;Wallet Scan 可以帮助用户扫描钱包来检查潜在风险;Token Scan 专为分析代币安全设计,帮助用户识别包括「退出骗局」在内的多种潜在风险。
我们还有安全节点服务。CertiK 很早就打入了节点服务这个市场。我们是 BNB Chain(早期的 BSC)最早的 21 个节点之一,同时我们也是 Kishu 的安全节点兼唯一的安全合作伙伴。我们希望能够把我们的产品和服务扩展到项目的全周期,从项目开始的最早期直到最后期。
目前,CertiK 的战略重心正在经历一次重要的升级,我们会更加注重回馈社区。我们会把内部的很多工具和框架陆续推出到社区,造福更多的项目方和开发者甚至是其他的 Web3 安全公司,这都是我们很开心可以见到的。
Techub News:可以给我们透露一下 CertiK Ventures 目前的资金规模和重点投资方向吗?
顾荣辉教授:CertiK Ventures 目前第一期的规模有 4500 万美元,这些全部都是我们的自有资金。我们目前计划第一期的资金应该会在 2025 年结束之前全部投出。我们目前的投资主要专注在种子轮和种子前轮阶段的项目,目标是寻找到各个赛道的潜在独角兽,利用 CertiK 的资源以及我们全周期的服务来帮助他们完成从 0 到 1,从 1 到 100 的过程。同时,我们也会进行战略投资,在二级市场我们也会押注一些赛道和项目。
Techub News:相较于其他安全审计公司,CertiK 有什么独特之处?
顾荣辉教授:Messari 在 2022 年的一篇报告中提到,2021 年 CertiK 几乎是以一己之力把 Web3 的安全审计变成了一个赛道,并成为了这个赛道里的独角兽。在那段时间,CertiK 的市场份额就达到了 60% 到 70%,成为当时整个 Web3 行业中第 13 家除了交易所外大家公认有潜力 IPO 的独角兽公司。
在 2022 年,CertiK 的估值就超过了 20 亿美元。最头部的投资机构比如红杉、高盛也都投了我们,这同时也说明了我们在合规方面做得非常到位,我们完全有能力接受美国商业投资银行的合规调查。
我们不仅局限于数字资产的保护,还会积极参与白帽行动,比如最近我们因为找到了苹果 Vision Pro 里的一些安全漏洞收获了苹果的官方致谢,这已经是 CertiK 第 6 次收获苹果的致谢。去年,我们还入选了三星的安全名人堂,此外还得到了阿里巴巴、字节跳动等 9 家传统互联网行业的认可,这些在整个 Web3 行业里都是非常少见的。而且我们应该是唯一一家拥有 SOC 2 和 ISO 认证的 Web3 的安全公司。这使得 CertiK 成为很多的传统企业进入 Web3 领域寻求安全帮助和安全服务的首选。一些大型银行比如 DBS、UBS 等就会选择我们作为主要的安全提供方。
CertiK 在技术上也有很大不同。首先 CertiK 可以同时服务很多家公司。CertiK 之所以能够做到这一点是因为我们有很多内部开发的工具,比如支撑于形式化验证的工具,以及很多自动化的工具和成体系的安全审计的流程。
并且我们是 Web3 领域唯一一家公开审计报告的公司。我们拥抱透明度,鼓励同行进行监督、分享和学习。另一方面,我们的每一个错误都将置于整个行业的审视之下,所有人都能看得到。这对我们来说其实是一个双重的压力,不过这也是督促我们前进的方式。
Techub News:在过去的一年当中 CertiK 有遇到过哪一些安全挑战吗?CertiK 又是如何应对的?
顾荣辉教授:随着技术栈的前移和 ZK 技术的兴起,Web3 安全面临的技术复杂性显著增加。ZK 的复杂程度远超之前区块链的大部分应用,ZK 该如何完成安全审计,这其实是一个非常大的难题,对此行业也进行了很多的探索。像 CertiK 选择了一个比较重大的尝试是和 zkWasm 一起合作,完成了 zkWasm 所有 ZK 电路翻译相关的全面形式化验证,这在行业内尚属首次,也是目前唯一一次成功的尝试。我们也发布了一系列 ZK 电路相关形式化验证的视频,其中多个视频的播放量都超过了 100 万次。
zkWasm 的完全形式化验证其实非常困难,其中包括怎么进行数据上的建模、怎么做形态验证、怎么样一条一条完成 ZK 存储用例的验证工作、如何提高人效,才能将这一技术进一步规模化。目前,我们正在提交相关技术的论文,预计论文发表后,这些技术将对行业产生更深远的影响。
以上就是我们面临的第一个挑战,如何在行业技术快速迭代、复杂性飞速增长的情况下,适应并提供同等级甚至更高等级的安全服务和产品。
我们面临的第二个挑战在于大众对于审计安全的认知缺失。安全审计的必要性已经成为业界的共识,但对于在安全上的投入应该达到何种程度,行业尚未有明确的答案。
在这方面,我们确实遭遇了不少挑战。一些项目方在进行安全审计时,往往只提交部分代码以供审查,他们对于安全的态度仅限于希望对社区有个交代。这种做法实际上埋藏了许多安全隐患。一旦真的发生攻击,作为审计方就会面临很大的压力。因此,在市场教育方面,我们需要付出更多的努力,以提高项目方对全面安全审计重要性的认识。
我们还会遇到一些其他情况,比如项目方的代码其实没有问题,但在配置环节却出现了问题,如私钥的不慎丢失。从这些过程之中,我们可以发现,安全审计其实是一个静态的一个点。
但安全服务需要在整个项目的全周期进行,因为随着项目进展和环境变化,所需的安全产品和服务也会相应变化。然而,目前许多项目方还没能形成这样共识,这种认识的缺失可能引发诸多安全隐患。
Techub News:CertiK 在提升安全性方面有什么创新或趋势?
顾荣辉教授:面对技术栈前移带来的挑战,比如如何完成 ZK 的审计,传统的个人或小型审计团队已经难以提供足够的支持。但 CertiK 将持续推进形式化验证,未来计划提供共识协议的安全形式化验证服务,以适应这一变化。
并且,我们的审计是系统化的,我们不希望审计还只是停留在人工读代码的阶段,而是实现审计工作的规模化。为此,我们内部已经应用了 LLM。我们首先对代码进行分类,然后根据不同的分类,采用相应的审计方法进行验证。
我们的服务不仅局限于 B 端用户,同时也为 C 端用户提供了相应的工具和服务。比如钱包安全扫描的服务,该服务能够检测钱包地址是否授权给存在风险的智能合约、是否持有具有安全风险的代币,以及是否与有风险的地址进行过交互。此外,我们还有一款叫做 SkyInsights 的合规产品,为个人和项目方提供合规相关的服务。
Techub News:C 端个人用户所需要的合规服务主要存在于哪里呢?
顾荣辉教授:举个例子,我们最开始帮助 6 万客户进行地址扫描的时候,发现有近 4000 个地址存在风险,这些地址可能曾经从被制裁的相关地址处收到过汇款或有过交互。这种情况意味着该钱包地址被污染了。如果该钱包地址还将代币打给主合规地址的话,就会造成主合规账户也受到污染,进而可能导致整个钱包被封。
Techub News:那这种情况要怎么处理?
顾荣辉教授:许多 C 端用户可能缺乏对这方面风险的认识,在不了解的情况下与风险地址进行交易,例如选择场外交易(OTC),就可能会带来安全隐患。为了预防这种情况,我们会提供一些地址名单供用户在交互前进行核查,以避免和风险地址产生交互。
如果地址已被污染,我们会帮助用户查出具体是哪一笔交易出现了问题,并提供相应的文件帮助用户解封账号。
Techub News:请分享一些 CertiK 在进行智能合约审计时的典型案例或成功故事。
顾荣辉教授:今年 7 月,福布斯公布了 2024 年上半年市值超过 10 亿美元中表现最佳十大加密货币,我们的五位客户 TON、PEPE、FLOKI、CORE DAO 和 Bitget 均榜上有名。这些客户在早期就选择了我们的审计服务,我们很高兴能助力他们的成功之路。以 TON 为例,CertiK 自 2022 年末起便与其展开了合作,一路见证了其发展壮大。我们为能为这些杰出的加密货币项目提供支持而感到自豪,这也是我们选择推出 CertiK Ventures 的原因,目的是发掘、支持像他们一样的明日之星项目。
Techub News:CertiK 如何平衡安全审计的深度和广度问题?
顾荣辉教授:在深度方面,我们持续深化形式化验证技术,以应对不断涌现的新技术栈,从而不断提升我们的安全防护水平。同时,我们也在积极预见并准备应对未来可能出现的风险,确保我们的安全技术能够适应不断变化的环境。
在广度方面,我们通过规模化的审计流程和分类方法,运用多样化的工具来满足各种安全需求。这种方法确保了项目的可审计性(auditable),即每个步骤都是清晰且可验证的,确保我们能够覆盖更广泛的安全领域。
Techub News:还有哪些您认为是非常重要但我们这次问题中没有涉及到的吗?
顾荣辉教授:现在对于 Web3 来说正处于一个关键的节点。过去几年,整个行业都处于熊市,众多参与者承受了不小的压力。接下来我觉得会迎来一波快速发展的过程,牛市的回归不仅可期,而且有望持续延伸下去。在这样的背景下,CertiK 正积极寻找并支持那些有潜力在新兴赛道中脱颖而出的项目。我们的目标是通过我们的专业知识和资源,帮助这些项目实现与上一轮牛市中一样的显著增长。
原文链接:https://techub.news/newDetails/?id=1bca98990e1640d5a475a8768dc29e8e
免责声明:文章中的所有内容仅代表作者的观点,与本平台无关。用户不应以本文作为投资决策的参考。
你也可能喜欢
Bounce 品牌推出由 AUCTION 提供支持的 BounceX 永久交易所
简单来说 Bounce Brand 推出了永久交易所 BounceX,使用户能够使用 AUCTION 作为杠杆交易的抵押品,从而进一步增强了代币的实用性。
Nym 将回购价值 1 万美元的 NYM 代币并于 12 月 XNUMX 日推出 NymVPN
简单来说 Nym 计划回购 1 万美元的 NYM,以增强其资金,并利用这些资金在即将推出之前增强 Nym 网络。
StarryNift 升级其 StarryAI 平台,促进人工智能和 Meme 创新
简单来说 StarryNift 升级其 StarryAI 平台,为人工智能驱动的模因创作、交易、娱乐和推广提供无缝体验。
ZKsync 发布启动 Ignite 计划并构建流动性中心的提案
简单来说 ZK Nation 发布提案,建议分发 325 亿个 ZK 代币以启动 Ignite 计划,该计划旨在建立一个 DeFi ZKsync 时代的流动性中心。