Techub专访顾荣辉教授:解密CertiK的安全战略路线

Techub专访顾荣辉教授:解密CertiK的安全战略路线

当 Web3 安全审计公司还在争抢审计份额时,CertiK 已经开始将目光瞄准即将进军 Web3 的传统商业巨头。CertiK 不仅在传统行业进行白帽行动获得如苹果公司的官方感谢,还是 Web3 行业唯一一家拥有 SOC 2 和 ISO 认证的 Web3 的安全公司。基于此,其已然成为传统行业进入 Web3 领域进行安全咨询的首选公司。

然而,作为 Web3 安全审计领域的龙头,CertiK 的实力不仅限于其精准的商业战略,其技术实力亦非常雄厚。ZK(零知识证明)领域的安全审计一直是行业的难题,但 CertiK 通过其对 zkWasm 进行的完全形式化验证,开创性地完成了行业在ZK形式化验证的首次成功尝试。

2024 年新加坡 Token 2049 活动期间,CertiK 公布其 4500 万美元 CertiK Ventures 的资金规模,同时发布其产品链路。此举在引发行业和媒体广泛关注的同时,也不禁令人好奇,作为 Web3 行业安全赛道的龙头公司,CertiK 依靠何等技术优势或商业逻辑,使其在持续低迷的市场中作出如此积极的战略判断?

为揭示 CertiK 此轮战略调整和业务布局背后的逻辑,Techub News 在 TOKEN2049 活动期间对 CertiK 联合创始人顾荣辉教授进行了专访,探寻 CertiK 如何从单一业务的安全公司发展成为生态中心。

Techub专访顾荣辉教授:解密CertiK的安全战略路线

Techub News:CertiK 最近重新调整了产品和服务结构,可以给我们介绍一下目前的新的服务和产品嘛,以及是基于什么样的考虑做出这样的调整?

顾荣辉教授:CertiK 在近期调整了我们的产品服务框架,我们之前完全专注于 ToB 的服务,主要是提供最高等级的安全审计和安全保护等。CertiK 现在战略和产品的调整主要围绕着 Web3 社区进行,我们会更专注于 Web3 社区,更注重 Web3 社区的安全性。这和之前的区别之处在于我们会更注重对社区的回馈和投入,而不是单纯为行业中企业级客户进行服务。

我们希望更深入地参与到社区之中,参与到整个行业的构建与发展之中。为此,我们为社区提供了能全面覆盖生命周期的产品支持。比如我们刚刚成立的 CertiK Ventures,就是希望能够在企业早期,比如种子轮或者种子前轮阶段,提供资金以及后续一系列投后服务,助力这些企业完成从 0 到 1 的过程。此前,CertiK 更多地是在企业上线或上线部署前介入其发展中,但现在我们希望更早地介入,发现并助力这些未来独角兽完成从 0 到 1 的过程。我们会提供一系列的服务,比如咨询服务与支持,以及提供一些开发者工具和审计中使用的内部工具,来助力这些企业的开发。此外,在部署前和部署后的阶段,我们通过提供审计服务,确保企业在合约安全方面得到保障。

我们还发布了产品 Skynet,这个产品主要是提供安全查阅,把 Web3 企业的数据以一种公开透明的方式呈现给社区。我们还有一些面向社区用户的工具,比如 Smart Calendar、Wallet Scan,还有 Token Scan 等等,这些工具可以帮助 C 端用户在参与 B 端企业的产品与活动时能更好地降低风险。Smart Calendar 记录了 Web3 项目的空投以及升级时间;Wallet Scan 可以帮助用户扫描钱包来检查潜在风险;Token Scan专为分析代币安全设计,帮助用户识别包括「退出骗局」在内的多种潜在风险。

我们还有安全节点服务。CertiK 很早就打入了节点服务这个市场。我们是 BNB Chain(早期的BSC)最早的 21 个节点之一,同时我们也是 Kishu 的安全节点兼唯一的安全合作伙伴。我们希望能够把我们的产品和服务扩展到项目的全周期,从项目开始的最早期直到最后期。

目前,CertiK 的战略重心正在经历一次重要的升级,我们会更加注重回馈社区。我们会把内部的很多工具和框架陆续推出到社区,造福更多的项目方和开发者甚至是其他的 Web3 安全公司,这都是我们很开心可以见到的。

Techub News:可以给我们透露一下 CertiK Ventures 目前的资金规模和重点投资方向吗?

顾荣辉教授:CertiK Ventures 目前第一期的规模有 4500 万美元,这些全部都是我们的自有资金。我们目前计划第一期的资金应该会在 2025 年结束之前全部投出。我们目前的投资主要专注在种子轮和种子前轮阶段的项目,目标是寻找到各个赛道的潜在独角兽,利用 CertiK 的资源以及我们全周期的服务来帮助他们完成从 0 到 1,从 1 到 100 的过程。同时,我们也会进行战略投资,在二级市场我们也会押注一些赛道和项目。

Techub News:相较于其他安全审计公司,CertiK 有什么独特之处?

顾荣辉教授:Messari 在 2022 年的一篇报告中提到,2021 年 CertiK 几乎是以一己之力把 Web3 的安全审计变成了一个赛道,并成为了这个赛道里的独角兽。在那段时间,CertiK 的市场份额就达到了 60% 到 70%,成为当时整个 Web3 行业中第 13 家除了交易所外大家公认有潜力 IPO 的独角兽公司。

在 2022 年,CertiK 的估值就超过了 20 亿美元。最头部的投资机构比如红杉、高盛也都投了我们,这同时也说明了我们在合规方面做得非常到位,我们完全有能力接受美国商业投资银行的合规调查。

我们不仅局限于数字资产的保护,还会积极参与白帽行动,比如最近我们因为找到了苹果 Vision Pro 里的一些安全漏洞收获了苹果的官方致谢,这已经是CertiK第6次收获苹果的致谢。去年,我们还入选了三星的安全名人堂,此外还得到了阿里巴巴、字节跳动等9家传统互联网行业的认可,这些在整个 Web3 行业里都是非常少见的。而且我们应该是唯一一家拥有 SOC 2 和 ISO 认证的 Web3 的安全公司。这使得 CertiK 成为很多的传统企业进入 Web3 领域寻求安全帮助和安全服务的首选。一些大型银行比如 DBS、UBS 等就会选择我们作为主要的安全提供方。

CertiK 在技术上也有很大不同。首先 CertiK 可以同时服务很多家公司。CertiK 之所以能够做到这一点是因为我们有很多内部开发的工具,比如支撑于形式化验证的工具,以及很多自动化的工具和成体系的安全审计的流程。

并且我们是 Web3 领域唯一一家公开审计报告的公司。我们拥抱透明度,鼓励同行进行监督、分享和学习。另一方面,我们的每一个错误都将置于整个行业的审视之下,所有人都能看得到。这对我们来说其实是一个双重的压力,不过这也是督促我们前进的方式。

Techub News:在过去的一年当中 CertiK 有遇到过哪一些安全挑战吗?CertiK 又是如何应对的?

顾荣辉教授:随着技术栈的前移和 ZK 技术的兴起,Web3安全面临的技术复杂性显著增加。ZK 的复杂程度远超之前区块链的大部分应用,ZK 该如何完成安全审计,这其实是一个非常大的难题,对此行业也进行了很多的探索。像 CertiK 选择了一个比较重大的尝试是和 zkWasm 一起合作,完成了 zkWasm 所有 ZK 电路翻译相关的全面形式化验证,这在行业内尚属首次,也是目前唯一一次成功的尝试。我们也发布了一系列 ZK 电路相关形式化验证的视频,其中多个视频的播放量都超过了 100 万次。

zkWasm 的完全形式化验证其实非常困难,其中包括怎么进行数据上的建模、怎么做形态验证、怎么样一条一条完成 ZK 存储用例的验证工作、如何提高人效,才能将这一技术进一步规模化。目前,我们正在提交相关技术的论文,预计论文发表后,这些技术将对行业产生更深远的影响。

以上就是我们面临的第一个挑战,如何在行业技术快速迭代、复杂性飞速增长的情况下,适应并提供同等级甚至更高等级的安全服务和产品。

我们面临的第二个挑战在于大众对于审计安全的认知缺失。安全审计的必要性已经成为业界的共识,但对于在安全上的投入应该达到何种程度,行业尚未有明确的答案。

在这方面,我们确实遭遇了不少挑战。一些项目方在进行安全审计时,往往只提交部分代码以供审查,他们对于安全的态度仅限于希望对社区有个交代。这种做法实际上埋藏了许多安全隐患。一旦真的发生攻击,作为审计方就会面临很大的压力。因此,在市场教育方面,我们需要付出更多的努力,以提高项目方对全面安全审计重要性的认识。

我们还会遇到一些其他情况,比如项目方的代码其实没有问题,但在配置环节却出现了问题,如私钥的不慎丢失。从这些过程之中,我们可以发现,安全审计其实是一个静态的一个点。

但安全服务需要在整个项目的全周期进行,因为随着项目进展和环境变化,所需的安全产品和服务也会相应变化。然而,目前许多项目方还没能形成这样共识,这种认识的缺失可能引发诸多安全隐患。

Techub News:CertiK 在提升安全性方面有什么创新或趋势?

顾荣辉教授:面对技术栈前移带来的挑战,比如如何完成 ZK 的审计,传统的个人或小型审计团队已经难以提供足够的支持。但 CertiK 将持续推进形式化验证,未来计划提供共识协议的安全形式化验证服务,以适应这一变化。

并且,我们的审计是系统化的,我们不希望审计还只是停留在人工读代码的阶段,而是实现审计工作的规模化。为此,我们内部已经应用了LLM。我们首先对代码进行分类,然后根据不同的分类,采用相应的审计方法进行验证。

我们的服务不仅局限于 B 端用户,同时也为 C 端用户提供了相应的工具和服务。比如钱包安全扫描的服务,该服务能够检测钱包地址是否授权给存在风险的智能合约、是否持有具有安全风险的代币,以及是否与有风险的地址进行过交互。此外,我们还有一款叫做 SkyInsights 的合规产品,为个人和项目方提供合规相关的服务。

Techub News:C 端个人用户所需要的合规服务主要存在于哪里呢?

顾荣辉教授:举个例子,我们最开始帮助 6 万客户进行地址扫描的时候,发现有近 4000 个地址存在风险,这些地址可能曾经从被制裁的相关地址处收到过汇款或有过交互。这种情况意味着该钱包地址被污染了。如果该钱包地址还将代币打给主合规地址的话,就会造成主合规账户也受到污染,进而可能导致整个钱包被封。

Techub News:那这种情况要怎么处理?

顾荣辉教授:许多 C 端用户可能缺乏对这方面风险的认识,在不了解的情况下与风险地址进行交易,例如选择场外交易(OTC),就可能会带来安全隐患。为了预防这种情况,我们会提供一些地址名单供用户在交互前进行核查,以避免和风险地址产生交互。

如果地址已被污染,我们会帮助用户查出具体是哪一笔交易出现了问题,并提供相应的文件帮助用户解封账号。

Techub News:请分享一些 CertiK 在进行智能合约审计时的典型案例或成功故事。

顾荣辉教授:今年7月,福布斯公布了 2024 年上半年市值超过 10 亿美元中表现最佳十大加密货币,我们的五位客户TON、PEPE、FLOKI、CORE DAO 和 Bitget 均榜上有名。这些客户在早期就选择了我们的审计服务,我们很高兴能助力他们的成功之路。以 TON 为例,CertiK 自 2022 年末起便与其展开了合作,一路见证了其发展壮大。我们为能为这些杰出的加密货币项目提供支持而感到自豪,这也是我们选择推出 CertiK Ventures 的原因,目的是发掘、支持像他们一样的明日之星项目。

Techub News:CertiK 如何平衡安全审计的深度和广度问题?

顾荣辉教授:在深度方面,我们持续深化形式化验证技术,以应对不断涌现的新技术栈,从而不断提升我们的安全防护水平。同时,我们也在积极预见并准备应对未来可能出现的风险,确保我们的安全技术能够适应不断变化的环境。

在广度方面,我们通过规模化的审计流程和分类方法,运用多样化的工具来满足各种安全需求。这种方法确保了项目的可审计性(auditable),即每个步骤都是清晰且可验证的,确保我们能够覆盖更广泛的安全领域。

Techub News:还有哪些您认为是非常重要但我们这次问题中没有涉及到的吗?

顾荣辉教授:现在对于Web3来说正处于一个关键的节点。过去几年,整个行业都处于熊市,众多参与者承受了不小的压力。接下来我觉得会迎来一波快速发展的过程,牛市的回归不仅可期,而且有望持续延伸下去。在这样的背景下,CertiK 正积极寻找并支持那些有潜力在新兴赛道中脱颖而出的项目。我们的目标是通过我们的专业知识和资源,帮助这些项目实现与上一轮牛市中一样的显著增长。

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用 * 标注