专访CertiK顾荣辉教授：“监督者”该由谁来监督？

电影《国家公敌》里有这样一句话：“who's gonna monitor the monitors of the monitors（谁来监控监控别人的人）？”随着Web3.0生态的不断完善，越来越多的资金涌入加密行业，与此同时，黑客通过攻击链上漏洞便可以直接获利。相比之下，项目方一旦遭受攻击，应对手段寥寥无几，有时候只能提供奖金吸引黑客归还非法获利，并不再追究。

因此，一批相关的安全公司应运而生，除了审计代码安全，有时候他们被称作“白帽黑客”，主动挖掘安全漏洞。CertiK正是其中的龙头，估值近20亿美元。能否通过CertiK的审计甚至成为社区对于某个新兴项目的评判标准。然而，回到开头的问题：监督者该由谁来监督？这一问题也为CertiK后续遭遇的争议埋下伏笔。

今年6月，CertiK在美国加密交易所Kraken中发现了一个严重的安全漏洞，由此引发了一场争议。对于CertiK遭受的争议，以及安全公司如何进行自我监督等问题，DeThings对CertiK联合创始人顾荣辉教授进行了专访。

DeThings：对Kraken事件有何回应？

顾荣辉教授：关于与Kraken的争议，起因是CertiK的研究团队在进行白帽安全研究过程中，发现了Kraken平台上的一个严重级别安全漏洞。我们迅速向Kraken通报了这一发现，以便能够及时修复该漏洞。然而，在沟通过程中出现了一些不畅，引发了一场争议。我们已在官方网站上发布了一份详细的公告，可以通过该公告了解更多的详情。

DeThings：怎样看待“白帽黑客”这一称呼？

顾荣辉教授：虽然“白帽黑客”尚无统一定义，但一般来说，我们认为白帽的行动指的是出于善意的测试、调查和（或）修复安全漏洞或缺陷而访问计算机的行为。此类活动以避免对个人或公众造成损失的方式进行，并且从活动中获得的信息主要用于提升相关设备、机器或在线服务的安全性，或保护使用这些设备、机器或在线服务的用户。

CertiK内部也有着一套严格的白帽守则，自2020年以来，我们在确保不损害个人或公众利益的前提下，已进行70多次白帽行动，其中因发现关键漏洞获得了目前为止Sui最高的漏洞赏金。同时结合我们自己的审计工作，CertiK已经为Web3.0社区报告4000多起安全事件，总共发现了11.5万多个代码漏洞，保护了超过3600亿美元的数字资产免受潜在损失。

DeThings：如何评价目前所处赛道，未来安全领域的重点是什么？

顾荣辉教授：当前区块链安全领域正处于快速发展阶段，尤其是在Web3.0和Web2.0交汇处的安全风险管理成为行业焦点。随着区块链技术应用的扩展，安全漏洞和攻击手段也在不断升级，影响包括DeFi、NFT和跨链互操作性在内的多个赛道。

目前来看，Web3.0的安全压力不仅来自于项目技术漏洞，也来自一些常见的网络安全风险，例如，对隐私数据的保护，对钓鱼攻击的警惕，以及普通的电信诈骗。

时至今日，私钥安全仍然是Web3.0领域面临的主要挑战之一。根据CertiK 2023年的统计数据，私钥泄露导致的财务损失占据了所有区块链安全事件损失总额的近半数。

CertiK即将发布的2024年第三季度安全报告进一步揭示，私钥泄露和网络钓鱼攻击仍然是本季度造成最重大财务损失的原因。这些数据表明加强私钥管理、引入多重签名和多方计算等技术迫在眉睫。

此外，随着Web3.0的快速发展，大量Web3.0应用依赖Web2.0基础设施，例如云存储和DNS服务，容易受到Web2.0特有的攻击手段（如DNS劫持、网络钓鱼）的影响。这些混合型攻击加剧了安全管理的复杂性。

综上，未来区块链安全领域的重点，我们认为有以下两点：

1. 为了避免对Web2.0基础设施的依赖，Web3.0必须加快去中心化基础设施建设和推广，特别是在身份验证、数据存储和治理系统方面。这将有效减少中心化攻击向去中心化平台的渗透。CertiK也将努力为Web2.0和Web3.0的安全接轨提供技术上的支持，也将通过CertiK Ventures支持和培育相关高潜力项目，为Web3.0生态系统的安全提供新的助力。

2. 网络钓鱼攻击正在变得越来越复杂，尤其是AI驱动的深度伪造使网络钓鱼工具变得更加难以防范。未来需要在智能防护机制和用户安全教育上加大投入，确保用户能够识别和规避风险。

CertiK持续致力于帮助Web3.0成员增加防范手段、提高防范意识，因此推出了以Token Scan和Wallet Scan为代表的安全工具，免费开放给社区；同时通过CertiK Quest让用户更加了解项目、获取安全知识。

DeThings：作为某种程度上的“监督者”，如何保证自己受到监督？

顾荣辉教授：安全公司作为区块链领域的“监督者”，面对Web3.0世界的成员，我们也更应该提高我们的透明度以回馈用户的信任。我们希望用去中心化的方式让Web3.0安全公司得到监督：CertiK在行业内率先通过完全公开审计报告的方式保持审计结果的透明。

让社区用户、安全机构、个体白帽等不同行业内外群体查阅我们的审计报告，并对我们的工作进行监督。在CertiK Skynet平台上，任何人都可以查阅CertiK的审计报告，并在发现任何问题时直接向CertiK反馈。

此外，CertiK严格遵守全球各地对Web3.0的监管标准，并接受第三方的验证与监督。CertiK是目前获得最多监管审计数据安全认证的Web3.0安全审计公司，我们通过实施严格的安全措施来确保客户数据和我们系统的最高安全标准。

这不仅体现了我们对“客户利益至上”这一使命的承诺，更展示了我们对保护用户资产安全的决心。我们坚信，通过接受Web3.0社区的监督和遵守国家监管要求，是确保Web3.0安全公司透明度和可问责性的关键。

DeThings：在各政府推进合规化的背景下，安全有什么意义？

顾荣辉教授：在各国政府推动区块链合规化的背景下，安全在多个层面上发挥着关键作用：

1. 增强信任：合规性往往需要透明和问责，安全机制能够确保平台符合法规，增强用户和机构对区块链系统的信任。政府合规要求通常包括反洗钱和KYC，而安全的交易追溯和信息收集就显得尤为重要。

2. 减少系统性风险：合规化背景下，安全机制可以减少系统性的金融风险和黑客攻击导致的资产损失。安全协议、智能合约审计和网络钓鱼防护等手段是保障区块链网络稳定性和可持续性的关键。

3. 推动合规创新：安全是合规的基础，通过增强安全性能，能够推动去中心化技术合规创新，比如利用零知识证明等技术，实现数据隐私和监管要求的平衡。

随着全球的监管要求日益严格，CertiK也非常重视合规，因此和很多国家的监管机构进行合作。我本人就是新加坡金融管理局的国际技术咨询委员，和香港Web3.0发展专责小组的成员。

DeThings：目前领域内有哪些痛点，如何解决？

顾荣辉教授：随着技术栈的前移和零知识证明（ZK）技术的兴起，Web3.0安全面临的技术复杂性显著增加。CertiK与zkWasm的合作，成功完成了对zkWasm的全面形式化验证，这在全行业尚属首次，也是目前唯一的一次尝试。我们认为这种全面验证的方法将成为未来行业的标准实践。目前，相关技术正在撰写成论文，预计论文发表后，这些技术将对行业产生更深远的影响。面对技术栈前移带来的挑战，传统的个人或小型审计团队可能难以提供足够的支持。CertiK将持续推进形式化验证，未来计划提供共识协议的安全形式化验证服务，以适应这一变化。

安全审计的必要性已经成为业界的共识，但对于在安全上的投入应该达到何种程度，行业尚未有明确的答案。例如，某个项目可能只提交了部分代码进行审计，但一旦发生风险，这些风险可能并不在我们审计的范围内。代码安全只是静态的一点，我们需要在项目的各个阶段进行深入的安全检查，特别是在部署前。此外，私钥管理和节点服务的安全同样至关重要，这些都是需要在项目的不同周期内仔细检查的关键环节。

因此，对于内部系统的迭代和更新，单一审计人员很难实现审计流程的规范化。CertiK通过大型语言模型（LLM）和代码分类技术，根据不同的代码分类采用不同的审计方法。每种方法都对应特定的工具，如测试、形式化验证、分阶段审计等，以确保每一步都能产生可审计的结果，并在报告中清晰展现。我们的目标是超越仅仅发现问题，而是提供审计报告的完整过程，帮助客户理解审计的每个环节。

目前，区块链安全服务主要集中在面向B端的市场，但面向C端的安全需求同样强烈。例如，用户需要了解他们的钱包内是否具有安全风险的代币，是否与风险地址有过交互，以及是否存在被隐蔽攻击的风险。CertiK致力于服务C端用户，尽管这一领域更具挑战性，但我们正准备为大量用户提供服务，帮助C端用户确保资产安全。

DeThings：对比Web2.0，Web3.0的安全领域发展情况如何？

顾荣辉教授：相对于Web2.0来说，Web3.0的安全领域更为复杂。

一方面，许多Web3.0应用程序仍然依赖于Web2.0的基础设施，这使得它们容易受到Web2.0的中心化缺陷的影响；同时，Web2.0和Web3.0融合为不法分子提供了将传统网络钓鱼攻击与新技术结合的机会，从而滋生出更加复杂的诈骗形式。

另一方面，Web3.0的技术仍在发展之中，合约上容易出现漏洞，从而被黑客攻击。同Web2.0相比，Web3.0的特点在于公开、透明，但这也意味着智能合约运行在区块链上，其代码一旦部署，就很难被更改。一旦黑客利用漏洞进行攻击，将造成比Web2.0网络中更大的损失。

因此Web3.0世界的安全显得尤为重要。为了项目和用户安全，项目方应当承担起社区建设的责任，保护团队和项目支持者的利益。CertiK作为安全公司，我们认为应该提供给项目全方位的安全解决方案，更好地覆盖项目发展不同阶段的安全需求。同时，应该面向所有用户普及安全知识，提供便于使用的自主安全工具，为Web3.0的每一位成员提供安全防范手段。

原文链接：https://m.dethings.com/app/h5/#/pages/common/topicDetail/topicDetail?id=10704