原創

專訪CertiK顧榮輝教授:“監督者”該由誰來監督?

avatar
CertiK
10-09

電影《國家公敵》裡有這樣一句話:“who's gonna monitor the monitors of the monitors(誰來監控監控別人的人)?”隨著Web3.0生態的不斷完善,越來越多的資金湧入加密行業,與此同時,黑客通過攻擊鏈上漏洞便可以直接獲利。相比之下,項目方一旦遭受攻擊,應對手段寥寥無幾,有時候只能提供獎金吸引黑客歸還非法獲利,並不再追究。

因此,一批相關的安全公司應運而生,除了審計代碼安全,有時候他們被稱作“白帽黑客”,主動挖掘安全漏洞。CertiK正是其中的龍頭,估值近20億美元。能否通過CertiK的審計甚至成為社區對於某個新興項目的評判標準。然而,回到開頭的問題:監督者該由誰來監督?這一問題也為CertiK後續遭遇的爭議埋下伏筆。

今年6月,CertiK在美國加密交易所Kraken中發現了一個嚴重的安全漏洞,由此引發了一場爭議。對於CertiK遭受的爭議,以及安全公司如何進行自我監督等問題,DeThings對CertiK聯合創始人顧榮輝教授進行了專訪。

DeThings:對Kraken事件有何回應?

顧榮輝教授:關於與Kraken的爭議,起因是CertiK的研究團隊在進行白帽安全研究過程中,發現了Kraken平臺上的一個嚴重級別安全漏洞。我們迅速向Kraken通報了這一發現,以便能夠及時修復該漏洞。然而,在溝通過程中出現了一些不暢,引發了一場爭議。我們已在官方網站上發佈了一份詳細的公告,可以通過該公告瞭解更多的詳情。

DeThings:怎樣看待“白帽黑客”這一稱呼?

顧榮輝教授:雖然“白帽黑客”尚無統一定義,但一般來說,我們認為白帽的行動指的是出於善意的測試、調查和(或)修復安全漏洞或缺陷而訪問計算機的行為。此類活動以避免對個人或公眾造成損失的方式進行,並且從活動中獲得的信息主要用於提升相關設備、機器或在線服務的安全性,或保護使用這些設備、機器或在線服務的用戶。

CertiK內部也有著一套嚴格的白帽守則,自2020年以來,我們在確保不損害個人或公眾利益的前提下,已進行70多次白帽行動,其中因發現關鍵漏洞獲得了目前為止Sui最高的漏洞賞金。同時結合我們自己的審計工作,CertiK已經為Web3.0社區報告4000多起安全事件,總共發現了11.5萬多個代碼漏洞,保護了超過3600億美元的數字資產免受潛在損失。

DeThings:如何評價目前所處賽道,未來安全領域的重點是什麼?

顧榮輝教授:當前區塊鏈安全領域正處於快速發展階段,尤其是在Web3.0和Web2.0交匯處的安全風險管理成為行業焦點。隨著區塊鏈技術應用的擴展,安全漏洞和攻擊手段也在不斷升級,影響包括DeFi、NFT和跨鏈互操作性在內的多個賽道。

目前來看,Web3.0的安全壓力不僅來自於項目技術漏洞,也來自一些常見的網絡安全風險,例如,對隱私數據的保護,對釣魚攻擊的警惕,以及普通的電信詐騙。

時至今日,私鑰安全仍然是Web3.0領域面臨的主要挑戰之一。根據CertiK 2023年的統計數據,私鑰洩露導致的財務損失佔據了所有區塊鏈安全事件損失總額的近半數。

CertiK即將發佈的2024年第三季度安全報告進一步揭示,私鑰洩露和網絡釣魚攻擊仍然是本季度造成最重大財務損失的原因。這些數據表明加強私鑰管理、引入多重簽名和多方計算等技術迫在眉睫。

此外,隨著Web3.0的快速發展,大量Web3.0應用依賴Web2.0基礎設施,例如雲存儲和DNS服務,容易受到Web2.0特有的攻擊手段(如DNS劫持、網絡釣魚)的影響。這些混合型攻擊加劇了安全管理的複雜性。

綜上,未來區塊鏈安全領域的重點,我們認為有以下兩點:

1. 為了避免對Web2.0基礎設施的依賴,Web3.0必須加快去中心化基礎設施建設和推廣,特別是在身份驗證、數據存儲和治理系統方面。這將有效減少中心化攻擊向去中心化平臺的滲透。CertiK也將努力為Web2.0和Web3.0的安全接軌提供技術上的支持,也將通過CertiK Ventures支持和培育相關高潛力項目,為Web3.0生態系統的安全提供新的助力。

2. 網絡釣魚攻擊正在變得越來越複雜,尤其是AI驅動的深度偽造使網絡釣魚工具變得更加難以防範。未來需要在智能防護機制和用戶安全教育上加大投入,確保用戶能夠識別和規避風險。

CertiK持續致力於幫助Web3.0成員增加防範手段、提高防範意識,因此推出了以Token Scan和Wallet Scan為代表的安全工具,免費開放給社區;同時通過CertiK Quest讓用戶更加了解項目、獲取安全知識。

DeThings:作為某種程度上的“監督者”,如何保證自己受到監督?

顧榮輝教授:安全公司作為區塊鏈領域的“監督者”,面對Web3.0世界的成員,我們也更應該提高我們的透明度以回饋用戶的信任。我們希望用去中心化的方式讓Web3.0安全公司得到監督:CertiK在行業內率先通過完全公開審計報告的方式保持審計結果的透明。

讓社區用戶、安全機構、個體白帽等不同行業內外群體查閱我們的審計報告,並對我們的工作進行監督。在CertiK Skynet平臺上,任何人都可以查閱CertiK的審計報告,並在發現任何問題時直接向CertiK反饋。

此外,CertiK嚴格遵守全球各地對Web3.0的監管標準,並接受第三方的驗證與監督。CertiK是目前獲得最多監管審計數據安全認證的Web3.0安全審計公司,我們通過實施嚴格的安全措施來確保客戶數據和我們系統的最高安全標準。

這不僅體現了我們對“客戶利益至上”這一使命的承諾,更展示了我們對保護用戶資產安全的決心。我們堅信,通過接受Web3.0社區的監督和遵守國家監管要求,是確保Web3.0安全公司透明度和可問責性的關鍵。

DeThings:在各政府推進合規化的背景下,安全有什麼意義?

顧榮輝教授:在各國政府推動區塊鏈合規化的背景下,安全在多個層面上發揮著關鍵作用:

1. 增強信任:合規性往往需要透明和問責,安全機制能夠確保平臺符合法規,增強用戶和機構對區塊鏈系統的信任。政府合規要求通常包括反洗錢和KYC,而安全的交易追溯和信息收集就顯得尤為重要。

2. 減少系統性風險:合規化背景下,安全機制可以減少系統性的金融風險和黑客攻擊導致的資產損失。安全協議、智能合約審計和網絡釣魚防護等手段是保障區塊鏈網絡穩定性和可持續性的關鍵。

3. 推動合規創新:安全是合規的基礎,通過增強安全性能,能夠推動去中心化技術合規創新,比如利用零知識證明等技術,實現數據隱私和監管要求的平衡。

隨著全球的監管要求日益嚴格,CertiK也非常重視合規,因此和很多國家的監管機構進行合作。我本人就是新加坡金融管理局的國際技術諮詢委員,和香港Web3.0發展專責小組的成員。

DeThings:目前領域內有哪些痛點,如何解決?

顧榮輝教授:隨著技術棧的前移和零知識證明(ZK)技術的興起,Web3.0安全面臨的技術複雜性顯著增加。CertiK與zkWasm的合作,成功完成了對zkWasm的全面形式化驗證,這在全行業尚屬首次,也是目前唯一的一次嘗試。我們認為這種全面驗證的方法將成為未來行業的標準實踐。目前,相關技術正在撰寫成論文,預計論文發表後,這些技術將對行業產生更深遠的影響。面對技術棧前移帶來的挑戰,傳統的個人或小型審計團隊可能難以提供足夠的支持。CertiK將持續推進形式化驗證,未來計劃提供共識協議的安全形式化驗證服務,以適應這一變化。

安全審計的必要性已經成為業界的共識,但對於在安全上的投入應該達到何種程度,行業尚未有明確的答案。例如,某個項目可能只提交了部分代碼進行審計,但一旦發生風險,這些風險可能並不在我們審計的範圍內。代碼安全只是靜態的一點,我們需要在項目的各個階段進行深入的安全檢查,特別是在部署前。此外,私鑰管理和節點服務的安全同樣至關重要,這些都是需要在項目的不同週期內仔細檢查的關鍵環節。

因此,對於內部系統的迭代和更新,單一審計人員很難實現審計流程的規範化。CertiK通過大型語言模型(LLM)和代碼分類技術,根據不同的代碼分類採用不同的審計方法。每種方法都對應特定的工具,如測試、形式化驗證、分階段審計等,以確保每一步都能產生可審計的結果,並在報告中清晰展現。我們的目標是超越僅僅發現問題,而是提供審計報告的完整過程,幫助客戶理解審計的每個環節。

目前,區塊鏈安全服務主要集中在面向B端的市場,但面向C端的安全需求同樣強烈。例如,用戶需要了解他們的錢包內是否具有安全風險的代幣,是否與風險地址有過交互,以及是否存在被隱蔽攻擊的風險。CertiK致力於服務C端用戶,儘管這一領域更具挑戰性,但我們正準備為大量用戶提供服務,幫助C端用戶確保資產安全。

DeThings:對比Web2.0,Web3.0的安全領域發展情況如何?

顧榮輝教授:相對於Web2.0來說,Web3.0的安全領域更為複雜。

一方面,許多Web3.0應用程序仍然依賴於Web2.0的基礎設施,這使得它們容易受到Web2.0的中心化缺陷的影響;同時,Web2.0和Web3.0融合為不法分子提供了將傳統網絡釣魚攻擊與新技術結合的機會,從而滋生出更加複雜的詐騙形式。

另一方面,Web3.0的技術仍在發展之中,合約上容易出現漏洞,從而被黑客攻擊。同Web2.0相比,Web3.0的特點在於公開、透明,但這也意味著智能合約運行在區塊鏈上,其代碼一旦部署,就很難被更改。一旦黑客利用漏洞進行攻擊,將造成比Web2.0網絡中更大的損失。

因此Web3.0世界的安全顯得尤為重要。為了項目和用戶安全,項目方應當承擔起社區建設的責任,保護團隊和項目支持者的利益。CertiK作為安全公司,我們認為應該提供給項目全方位的安全解決方案,更好地覆蓋項目發展不同階段的安全需求。同時,應該面向所有用戶普及安全知識,提供便於使用的自主安全工具,為Web3.0的每一位成員提供安全防範手段。

原文鏈接:https://m.dethings.com/app/h5/#/pages/common/topicDetail/topicDetail?id=10704

免責聲明:以上內容僅為作者觀點,不代表Followin的任何立場,不構成與Followin相關的任何投資建議。
喜歡
收藏
評論