原創

Techub專訪顧榮輝教授:解密CertiK的安全戰略路線

avatar
CertiK
09-27

當 Web3 安全審計公司還在爭搶審計份額時,CertiK 已經開始將目光瞄準即將進軍 Web3 的傳統商業巨頭。CertiK 不僅在傳統行業進行白帽行動獲得如蘋果公司的官方感謝,還是 Web3 行業唯一一家擁有 SOC 2 和 ISO 認證的 Web3 的安全公司。基於此,其已然成為傳統行業進入 Web3 領域進行安全諮詢的首選公司。

然而,作為 Web3 安全審計領域的龍頭,CertiK 的實力不僅限於其精準的商業戰略,其技術實力亦非常雄厚。ZK(零知識證明)領域的安全審計一直是行業的難題,但 CertiK 通過其對 zkWasm 進行的完全形式化驗證,開創性地完成了行業在ZK形式化驗證的首次成功嘗試。

2024 年新加坡 Token 2049 活動期間,CertiK 公佈其 4500 萬美元 CertiK Ventures 的資金規模,同時發佈其產品鏈路。此舉在引發行業和媒體廣泛關注的同時,也不禁令人好奇,作為 Web3 行業安全賽道的龍頭公司,CertiK 依靠何等技術優勢或商業邏輯,使其在持續低迷的市場中作出如此積極的戰略判斷?

為揭示 CertiK 此輪戰略調整和業務佈局背後的邏輯,Techub News 在 TOKEN2049 活動期間對 CertiK 聯合創始人顧榮輝教授進行了專訪,探尋 CertiK 如何從單一業務的安全公司發展成為生態中心。

Techub News:CertiK 最近重新調整了產品和服務結構,可以給我們介紹一下目前的新的服務和產品嘛,以及是基於什麼樣的考慮做出這樣的調整? 

顧榮輝教授:CertiK 在近期調整了我們的產品服務框架,我們之前完全專注於 ToB 的服務,主要是提供最高等級的安全審計和安全保護等。CertiK 現在戰略和產品的調整主要圍繞著 Web3 社區進行,我們會更專注於 Web3 社區,更注重 Web3 社區的安全性。這和之前的區別之處在於我們會更注重對社區的回饋和投入,而不是單純為行業中企業級客戶進行服務。

我們希望更深入地參與到社區之中,參與到整個行業的構建與發展之中。為此,我們為社區提供了能全面覆蓋生命週期的產品支持。比如我們剛剛成立的 CertiK Ventures,就是希望能夠在企業早期,比如種子輪或者種子前輪階段,提供資金以及後續一系列投後服務,助力這些企業完成從 0 到 1 的過程。此前,CertiK 更多地是在企業上線或上線部署前介入其發展中,但現在我們希望更早地介入,發現並助力這些未來獨角獸完成從 0 到 1 的過程。我們會提供一系列的服務,比如諮詢服務與支持,以及提供一些開發者工具和審計中使用的內部工具,來助力這些企業的開發。此外,在部署前和部署後的階段,我們通過提供審計服務,確保企業在合約安全方面得到保障。

我們還發布了產品 Skynet,這個產品主要是提供安全查閱,把 Web3 企業的數據以一種公開透明的方式呈現給社區。我們還有一些面向社區用戶的工具,比如 Smart Calendar、Wallet Scan,還有 Token Scan 等等,這些工具可以幫助 C 端用戶在參與 B 端企業的產品與活動時能更好地降低風險。Smart Calendar 記錄了 Web3 項目的空投以及升級時間;Wallet Scan 可以幫助用戶掃描錢包來檢查潛在風險;Token Scan專為分析代幣安全設計,幫助用戶識別包括「退出騙局」在內的多種潛在風險。

我們還有安全節點服務。CertiK 很早就打入了節點服務這個市場。我們是 BNB Chain(早期的BSC)最早的 21 個節點之一,同時我們也是 Kishu 的安全節點兼唯一的安全合作伙伴。我們希望能夠把我們的產品和服務擴展到項目的全週期,從項目開始的最早期直到最後期。

目前,CertiK 的戰略重心正在經歷一次重要的升級,我們會更加註重回饋社區。我們會把內部的很多工具和框架陸續推出到社區,造福更多的項目方和開發者甚至是其他的 Web3 安全公司,這都是我們很開心可以見到的。

Techub News:可以給我們透露一下 CertiK Ventures 目前的資金規模和重點投資方向嗎?

顧榮輝教授:CertiK Ventures 目前第一期的規模有 4500 萬美元,這些全部都是我們的自有資金。我們目前計劃第一期的資金應該會在 2025 年結束之前全部投出。我們目前的投資主要專注在種子輪和種子前輪階段的項目,目標是尋找到各個賽道的潛在獨角獸,利用 CertiK 的資源以及我們全週期的服務來幫助他們完成從 0 到 1,從 1 到 100 的過程。同時,我們也會進行戰略投資,在二級市場我們也會押注一些賽道和項目。

Techub News:相較於其他安全審計公司,CertiK 有什麼獨特之處?

顧榮輝教授:Messari 在 2022 年的一篇報告中提到,2021 年 CertiK 幾乎是以一己之力把 Web3 的安全審計變成了一個賽道,併成為了這個賽道里的獨角獸。在那段時間,CertiK 的市場份額就達到了 60% 到 70%,成為當時整個 Web3 行業中第 13 家除了交易所外大家公認有潛力 IPO 的獨角獸公司。

在 2022 年,CertiK 的估值就超過了 20 億美元。最頭部的投資機構比如紅杉、高盛也都投了我們,這同時也說明了我們在合規方面做得非常到位,我們完全有能力接受美國商業投資銀行的合規調查。

我們不僅侷限於數字資產的保護,還會積極參與白帽行動,比如最近我們因為找到了蘋果 Vision Pro 裡的一些安全漏洞收穫了蘋果的官方致謝,這已經是CertiK第6次收穫蘋果的致謝。去年,我們還入選了三星的安全名人堂,此外還得到了阿里巴巴、字節跳動等9家傳統互聯網行業的認可,這些在整個 Web3 行業裡都是非常少見的。而且我們應該是唯一一家擁有 SOC 2 和 ISO 認證的 Web3 的安全公司。這使得 CertiK 成為很多的傳統企業進入 Web3 領域尋求安全幫助和安全服務的首選。一些大型銀行比如 DBS、UBS 等就會選擇我們作為主要的安全提供方。

CertiK 在技術上也有很大不同。首先 CertiK 可以同時服務很多家公司。CertiK 之所以能夠做到這一點是因為我們有很多內部開發的工具,比如支撐於形式化驗證的工具,以及很多自動化的工具和成體系的安全審計的流程。

並且我們是 Web3 領域唯一一家公開審計報告的公司。我們擁抱透明度,鼓勵同行進行監督、分享和學習。另一方面,我們的每一個錯誤都將置於整個行業的審視之下,所有人都能看得到。這對我們來說其實是一個雙重的壓力,不過這也是督促我們前進的方式。

Techub News:在過去的一年當中 CertiK 有遇到過哪一些安全挑戰嗎?CertiK 又是如何應對的?

顧榮輝教授:隨著技術棧的前移和 ZK 技術的興起,Web3安全面臨的技術複雜性顯著增加。ZK 的複雜程度遠超之前區塊鏈的大部分應用,ZK 該如何完成安全審計,這其實是一個非常大的難題,對此行業也進行了很多的探索。像 CertiK 選擇了一個比較重大的嘗試是和 zkWasm 一起合作,完成了 zkWasm 所有 ZK 電路翻譯相關的全面形式化驗證,這在行業內尚屬首次,也是目前唯一一次成功的嘗試。我們也發佈了一系列 ZK 電路相關形式化驗證的視頻,其中多個視頻的播放量都超過了 100 萬次。

zkWasm 的完全形式化驗證其實非常困難,其中包括怎麼進行數據上的建模、怎麼做形態驗證、怎麼樣一條一條完成 ZK 存儲用例的驗證工作、如何提高人效,才能將這一技術進一步規模化。目前,我們正在提交相關技術的論文,預計論文發表後,這些技術將對行業產生更深遠的影響。

以上就是我們面臨的第一個挑戰,如何在行業技術快速迭代、複雜性飛速增長的情況下,適應並提供同等級甚至更高等級的安全服務和產品。

我們面臨的第二個挑戰在於大眾對於審計安全的認知缺失。安全審計的必要性已經成為業界的共識,但對於在安全上的投入應該達到何種程度,行業尚未有明確的答案。

在這方面,我們確實遭遇了不少挑戰。一些項目方在進行安全審計時,往往只提交部分代碼以供審查,他們對於安全的態度僅限於希望對社區有個交代。這種做法實際上埋藏了許多安全隱患。一旦真的發生攻擊,作為審計方就會面臨很大的壓力。因此,在市場教育方面,我們需要付出更多的努力,以提高項目方對全面安全審計重要性的認識。

我們還會遇到一些其他情況,比如項目方的代碼其實沒有問題,但在配置環節卻出現了問題,如私鑰的不慎丟失。從這些過程之中,我們可以發現,安全審計其實是一個靜態的一個點。

但安全服務需要在整個項目的全週期進行,因為隨著項目進展和環境變化,所需的安全產品和服務也會相應變化。然而,目前許多項目方還沒能形成這樣共識,這種認識的缺失可能引發諸多安全隱患。

Techub News:CertiK 在提升安全性方面有什麼創新或趨勢?

顧榮輝教授:面對技術棧前移帶來的挑戰,比如如何完成 ZK 的審計,傳統的個人或小型審計團隊已經難以提供足夠的支持。但 CertiK 將持續推進形式化驗證,未來計劃提供共識協議的安全形式化驗證服務,以適應這一變化。

並且,我們的審計是系統化的,我們不希望審計還只是停留在人工讀代碼的階段,而是實現審計工作的規模化。為此,我們內部已經應用了LLM。我們首先對代碼進行分類,然後根據不同的分類,採用相應的審計方法進行驗證。

我們的服務不僅侷限於 B 端用戶,同時也為 C 端用戶提供了相應的工具和服務。比如錢包安全掃描的服務,該服務能夠檢測錢包地址是否授權給存在風險的智能合約、是否持有具有安全風險的代幣,以及是否與有風險的地址進行過交互。此外,我們還有一款叫做 SkyInsights 的合規產品,為個人和項目方提供合規相關的服務。

Techub News:C 端個人用戶所需要的合規服務主要存在於哪裡呢?

顧榮輝教授:舉個例子,我們最開始幫助 6 萬客戶進行地址掃描的時候,發現有近 4000 個地址存在風險,這些地址可能曾經從被制裁的相關地址處收到過匯款或有過交互。這種情況意味著該錢包地址被汙染了。如果該錢包地址還將代幣打給主合規地址的話,就會造成主合規賬戶也受到汙染,進而可能導致整個錢包被封。

Techub News:那這種情況要怎麼處理?

顧榮輝教授:許多 C 端用戶可能缺乏對這方面風險的認識,在不瞭解的情況下與風險地址進行交易,例如選擇場外交易(OTC),就可能會帶來安全隱患。為了預防這種情況,我們會提供一些地址名單供用戶在交互前進行核查,以避免和風險地址產生交互。

如果地址已被汙染,我們會幫助用戶查出具體是哪一筆交易出現了問題,並提供相應的文件幫助用戶解封賬號。

Techub News:請分享一些 CertiK 在進行智能合約審計時的典型案例或成功故事。

顧榮輝教授:今年7月,福布斯公佈了 2024 年上半年市值超過 10 億美元中表現最佳十大加密貨幣,我們的五位客戶TON、PEPE、FLOKI、CORE DAO 和 Bitget 均榜上有名。這些客戶在早期就選擇了我們的審計服務,我們很高興能助力他們的成功之路。以 TON 為例,CertiK 自 2022 年末起便與其展開了合作,一路見證了其發展壯大。我們為能為這些傑出的加密貨幣項目提供支持而感到自豪,這也是我們選擇推出 CertiK Ventures 的原因,目的是發掘、支持像他們一樣的明日之星項目。

Techub News:CertiK 如何平衡安全審計的深度和廣度問題?

顧榮輝教授:在深度方面,我們持續深化形式化驗證技術,以應對不斷湧現的新技術棧,從而不斷提升我們的安全防護水平。同時,我們也在積極預見並準備應對未來可能出現的風險,確保我們的安全技術能夠適應不斷變化的環境。

在廣度方面,我們通過規模化的審計流程和分類方法,運用多樣化的工具來滿足各種安全需求。這種方法確保了項目的可審計性(auditable),即每個步驟都是清晰且可驗證的,確保我們能夠覆蓋更廣泛的安全領域。

Techub News:還有哪些您認為是非常重要但我們這次問題中沒有涉及到的嗎?

顧榮輝教授:現在對於Web3來說正處於一個關鍵的節點。過去幾年,整個行業都處於熊市,眾多參與者承受了不小的壓力。接下來我覺得會迎來一波快速發展的過程,牛市的迴歸不僅可期,而且有望持續延伸下去。在這樣的背景下,CertiK 正積極尋找並支持那些有潛力在新興賽道中脫穎而出的項目。我們的目標是通過我們的專業知識和資源,幫助這些項目實現與上一輪牛市中一樣的顯著增長。

原文鏈接:https://techub.news/newDetails/?id=1bca98990e1640d5a475a8768dc29e8e

免責聲明:以上內容僅為作者觀點,不代表Followin的任何立場,不構成與Followin相關的任何投資建議。
喜歡
收藏
評論