在加密行業中,安全性是每個項目和平臺的基石。隨著區塊鏈技術的發展和數字資產的廣泛應用,安全問題也日益成為關注的焦點。
在 2024 年新加坡金融科技節(SFF)上,CertiK 聯合創始人、哥倫比亞大學計算機科學教授顧榮輝發表了題為《超越代碼,引領信任》的主旨演講。顧教授在演講中回顧了自己的學術之旅,以及從學術研究到創辦 Web3 安全公司 CertiK 的跨越,強調了“安全不僅是競爭優勢,更是共同責任”的核心理念。
顧榮輝教授在演講中提到,2023 年 4 月 DeFi 協議 Merlin 遭遇的 200 萬美元黑客攻擊,給整個區塊鏈行業帶來了深刻的警示。
新加坡金融科技節(SFF)作為全球金融科技的頂級年度活動,由新加坡金融管理局(MAS)和 Elevandi 聯合主辦。藉著這個契機,BlockBeats 和 CertiK 聯合創始人顧榮輝聊了聊。
學術起始與 CertiK 的誕生
2010 年代的清華園裡,計算機科學逐漸成為精英學子的熱選。然而,與眾多追逐熱點研究的學生不同,顧榮輝選擇了一條冷門但極具深度的方向——形式化驗證。這一領域專注於通過數學證明確保軟件系統的正確性,是編譯器、操作系統等基礎設施的核心保障。儘管在國內起步較晚,形式化驗證一直有著高需求,尤其是在保障系統安全和穩定方面。
在清華時,顧榮輝師從董淵教授,初次接觸形式化驗證技術。他參與的研究項目 RA(Region-based Allocation)為他奠定了理論基礎。清華的四年時光,讓他對學術研究產生了濃厚興趣,也促使他追尋更高層次的學術突破。2012 年在清華畢業後,顧榮輝選擇前往耶魯大學,跟隨著名學者邵中教授繼續深造。
耶魯的實驗室不僅是顧榮輝的學術發源地,也是他與區塊鏈行業初次接觸的地方。在邵中教授實驗室中,顧榮輝遇到了加密行業的傳奇人物——烤貓。在 2013 年消失前,烤貓就已經創造了一個比特幣礦機帝國,而顧榮輝正是那段時期的早期歷史見證者。
具體地說,烤貓是 CertiK 聯合創始人邵中教授的博士生、耶魯中科大聯合實驗室的學生,同時也是顧榮輝的學長與耶魯計算機系 301 辦公室的 office mate。“當時我在學習 XCAP framework(CertiK CTO 倪兆中博士的工作成果),很多 Coq 代碼都讀不懂,有問題的時候都會去問烤貓。那個時候在耶魯,烤貓就在佈道比特幣了。”顧榮輝回憶道。
不過對於烤貓傳奇的消失經歷,顧榮輝也並沒有什麼內幕,“2013 年回國在蘇州(耶魯中科大實驗室所在地),烤貓還請我單獨吃了一頓火鍋。那也是我最後一次見到他。消失後沒有過聯繫。”
學術創新的商業化:從 CertiKOS 到 CertiK
在耶魯的研究經歷讓顧榮輝敏銳地察覺到形式化驗證的潛力。2016 年,他與團隊成功研發了 CertiKOS,這是全球首個完全形式化驗證的多核操作系統內核。
此外,顧榮輝的團隊還研發出了首個被完全驗證的商用雲 hypervisor 系統 SeKVM;與 Arm 合作完成了 Confidential Computing Architecture (CCA) 的驗證工作,此成果將會應用到下一代 Arm V9 芯片上;與螞蟻集團合作完成了 HyperEnclave 系統的驗證工作。
這些成果不僅引起了學術界的矚目,也讓顧榮輝看到了形式化驗證技術在現實世界的廣泛應用可能性。“CertiKOS 的成功讓我意識到,形式化驗證不應該只停留在實驗室裡,它完全可以為區塊鏈和 Web3 領域提供強有力的安全保障。”顧榮輝說道。
因此顧榮輝與邵中教授於 2018 年 1 月聯合創立了 CertiK。公司名稱來源於“CertiKOS”,寓意“可證明的安全”,這也成為了公司核心理念的象徵。CertiK 的目標,是將形式化驗證的嚴謹性帶入區塊鏈領域,為數字資產提供頂級安全保障。
在邵中教授和多位清華、耶魯校友的支持下,CertiK 組建了一支堪稱“豪華”的初創團隊。團隊成員不僅學術背景突出,更有著豐富的行業經驗。聯合創始人邵中教授,中科大少年班,不僅是耶魯大學計算機系主任,更是普林斯頓大學博士、世界級學術權威;CTO 倪兆中博士則是顧榮輝清華和耶魯的學長,曾擔任全球信息學奧賽總教練,並多次指導學生獲得金牌。團隊中的多位高管和技術骨幹同樣出身於清華,並在信息學競賽、計算機領域中屢獲殊榮。這種深厚的學術積澱與技術實力,使得 CertiK 從成立之初便在行業內備受矚目。
創立後的短短兩個月,CertiK 便獲得了 350 萬美元種子輪融資,由 Lightspeed Venture Partner 領投。公司發展迅猛,不斷獲得資本青睞:2020 年 6 月,IDG Capital 領投了 700 萬美元的 A 輪融資;2021 年至 2022 年間,CertiK 連續完成四輪融資,總估值一躍達到 20 億美元。據公開信息顯示,截至 2021 年 12 月,CertiK 完成了 20 倍的收入增長,員工人數增加了 4 倍。
儘管發展迅猛、融資節奏快、金額大,CertiK 卻始終保持克制。“2021 和 2022 年期間,確實有很多投資機構找到我們希望投錢,我們也確實拒絕了很大一部分。因為 CertiK 的現金流一直很健康,我們更希望獲得戰略投資,能夠在業務上助力我們,而不僅僅是為了引入財務投資,因此我們是有選擇地接納投資。”顧榮輝回憶道。
從產品創新到行業影響:CertiK 的崛起之路
能成為行業獨角獸,肯定不只有豪華的團隊,還得有過硬的產品創新。
在發展過程中,CertiK 不斷推出創新產品,以應對區塊鏈行業不斷變化的需求。其中,2022 年上線的 CertiK Skynet for Community,是為 Web3 用戶打造的項目安全信息搜索引擎。該平臺為普通用戶提供安全評分,幫助他們更好地評估項目風險,為行業普及安全意識奠定了基礎。
2023 年,CertiK 進一步推出了 SkyInsights,一個為項目方量身定製的實時監控工具。SkyInsights 不僅高效,還具備成本優勢,它能夠協助項目方在快速變化的市場中保持安全性和合規性。這一工具迅速成為項目團隊在複雜的 Web3 環境中確保安全運營的利器。
2024 年,CertiK 再度升級產品矩陣,推出了兩個頗具影響力的新項目。CertiK Quest 以問答和知識卡的形式,向用戶科普 Web3 相關的安全知識,為行業培養了更廣泛的安全意識;與此同時,CertiK Ventures 宣佈了 4500 萬美元的投資計劃,旨在通過資金、技術和人才支持,助力 Web3 領域的潛在明星項目成長。這一戰略性佈局,不僅提升了 CertiK 在行業內的影響力,也鞏固了其作為安全領域領導者的地位。
此外,CertiK 還升級了產品線,提出了“全生命週期安全解決方案”的理念。這一解決方案覆蓋項目從初創到成功的每一個成長階段,將安全深度嵌入到 Web3 生態系統的每一個環節,並輔以新的 Slogan:“Elevating Your Entire Web3 Journey”。CertiK 將安全服務聚焦到更為具體的對象,如項目方、交易平臺、錢包以及終端用戶,通過定製化解決方案確保全方位的安全保障。
“很多項目會覺得安全是上線之前一次性的安全審計,會把它當成一個時間點的服務,但安全需要伴隨整個項目的生命週期,我們希望可以陪伴用戶從早期一直到上線、上鍊、上幣,再到成熟期的運營。”
CertiK 的安全引擎,是其技術競爭力的核心體現。這一引擎依託先進的形式化驗證、自動化掃描和深度規範分析等技術,幫助安全專家高效地發現代碼中的潛在問題。顧榮輝教授形容它為“安全專家的智能助手”,類似於 ChatGPT 在文本處理領域的角色。
該引擎的模型數據來源於 CertiK 多年來積累的審計經驗和知識庫,涵蓋了 4700 家客戶的代碼樣本、15 萬個安全漏洞以及超過 40 個大型漏洞的詳細報告。這些數據為引擎提供了強大的分析能力,使其能夠快速識別智能合約和區塊鏈應用中的隱患。
以 TON 公鏈為例,CertiK 不僅為其提供了代碼審計和形式化驗證,還在上線後幫助進行了性能測試和社區建設。這種全流程的支持已超越傳統安全領域,進一步為項目方提供了多維度的增值服務。這也反映出 CertiK 從單一服務提供者向“安全合作伙伴”角色的轉型。
此外,隨著區塊鏈行業的普及,CertiK 逐步將目光從 2B(面向企業)擴展到 2C(面向消費者)領域。2024 年,CertiK 推出了免費的社區安全工具 Token Scan 和 Wallet Scan,為普通用戶提供了簡單易用的安全檢測服務。這些工具的推出,不僅降低了安全技術的使用門檻,也讓更多人能夠參與到 Web3 安全生態的建設中。
CertiK 希望通過這些工具,讓 C 端用戶具備更強的安全意識和防範能力。顧榮輝坦言:“CertiK 服務了 4700 家客戶,找到了 15 萬個安全漏洞,彙報了超過 40 個大型漏洞,可以說我們對社區做了非常大的貢獻,但是我們對於 C 端以及開發者社區還是不夠的。”未來,CertiK 計劃推出更多的免費安全工具,以回饋社區支持並推動行業健康發展。
澄清與回應:“蓋章式審計”的誤解
在一個技術快速迭代且安全需求複雜多變的領域裡,爭議在所難免。從“蓋章式”審計的批評,到部分項目出現問題後的輿論質疑,CertiK 經歷了公眾和行業的多重考驗。如何正視這些問題,解釋背後的原因,同時為行業發展做出更大貢獻,成為 CertiK 不可迴避的使命。
安全審計,從本質上來說,是對特定時間點代碼安全性的專業評估,而非對整個項目生命週期的全面保護。CertiK 作為審計服務的提供者,面臨著幾大現實挑戰:
1、代碼範圍的限制:很多項目方在提交審計時,只提供了部分代碼或測試版本的代碼。這意味著,審計只能基於這些內容進行風險評估,而無法覆蓋整個項目的代碼庫。項目上線後,如果代碼有改動但未經審計,就可能導致安全隱患。
2、審計後的改動:一些項目方在審計後為了快速上線,會對代碼進行修改或新增功能,但這些改動未經過安全審計。這種“後續變動”往往是安全事件的主要原因,而非初期審計的疏漏。
3、成本與資源:全面深入的安全審計成本高昂,並非每個項目都能負擔得起。即使是知名項目,有時也會因預算問題選擇局部審計而非全代碼覆蓋,這進一步加大了潛在風險。
4、審計與執行的斷層:即使 CertiK 提供了詳盡的風險建議和優化方案,最終的實施仍由項目方負責。然而,有些項目方並未完全執行審計建議或整改方案,這也成為安全問題發生的另一重要原因。
面對質疑,CertiK 也給出了自己的回應。例如,自 2020 年以來,CertiK 將所有審計報告公開,供用戶和社區監督。公開審計報告的決定在當時遭到廣泛反對,無論是公司內部、合作伙伴,甚至投資機構都非常牴觸。
“因為一旦公開,任何安全事故發生時,大家都會將其與 CertiK 聯繫起來。目前還沒有其他安全公司敢於公開所有審計信息,因為這意味著面對問題將無所遁形。對於 CertiK 而言,公開透明的信息是一把雙刃劍,但對於行業而言卻是積極的推動。”顧榮輝解釋道。
“我們堅持即使這種選擇對 CertiK 帶來挑戰,但只要對行業有益,CertiK 也會堅定執行。從 2020 年至今,CertiK 始終保持初心,即便有項目方出現問題,CertiK 也承擔了隨之而來的負面影響。直到今天,我們都會將報告公開發布在網站上。”顧榮輝表示。
此外,為了解決這些問題,CertiK 推出了 CertiK Skynet 排行榜和安全評分系統,以增強審計報告的透明度和真實性。通過排行榜和項目信息頁面來確保審計報告的可訪問性和真實性,避免了被篡改或偽造的風險。CertiK 的安全評級系統綜合考慮了鏈上數據、GitHub 代碼庫、審計信息和社群狀況等多個維度,為用戶提供了更全面的項目安全信息。
另一方面,CertiK 還推出了 Quest 功能,這是一種問答獎勵機制,旨在向社區展示更多技術細節、安全知識。通過這種方式幫助用戶更深入地瞭解項目的安全相關信息,理解安全的作用。
Web3 安全領域從來都不是“完美安全”的保障,而是技術與風險博弈的動態平衡。CertiK 在這個過程中,既要直面技術侷限與項目方執行問題,也要承擔公眾質疑的壓力。
危機中的責任
在 Web3 的世界裡,黑客行為的界限比傳統互聯網更加模糊。傳統意義上的“黑帽子”與“白帽子”之間,在 Web3 中存在大量灰色地帶。例如,部分黑客聲稱為了“公共利益”而曝光漏洞,但他們的行為未必符合現有法律法規。這種複雜性為安全公司帶來了更多挑戰。
自 2020 年以來,CertiK 已進行 70 多次白帽行動,通過嚴格遵守白帽守則,並在不損害用戶或公眾利益的前提下,發現並修復了數萬起安全漏洞。例如,CertiK 因發現關鍵漏洞獲得了 Sui 項目的最高漏洞賞金,CertiK 具有行業領先的鏈上實時攻擊監測和預警能力,並重點追蹤拉撒路集團相關案件的資金流轉,為行業提供了寶貴的安全防護經驗。
然而,CertiK 也深知,僅靠技術手段不足以全面解決問題,Web3 的安全問題不僅存在於技術層面,更涉及到人性與信任的複雜交互。
例如,在 Merlin 事件中,幕後黑手並非代碼漏洞,而是項目內部人員的惡意行為。CertiK 通過嚴格的背景調查與實時監控,進一步完善了防範內部威脅的機制。
此外,CertiK 曾向另一個交易平臺報告了任意指定兌換價格的漏洞,而這次預警幾乎是無償提供的服務。如果這一漏洞未被發現,交易平臺可能會面臨生存危機。顧榮輝教授在一次訪談中表示:“很多時候,我們的工作並不被外界看到,但正是這些看不見的努力,防止了許多潛在的重大損失。”
在 Web3 的安全戰場上,黑客組織的攻擊手段日益複雜,Lazarus 集團就是其中的典型代表。這個組織以其高超的社會工程攻擊、供應鏈攻擊,以及假扮開發者植入漏洞等手法,在全球範圍內製造了大量安全事件。
CertiK 不僅在技術上與 Lazarus 集團展開對抗,還通過資金追蹤和反洗錢工具,持續監控其涉案資金的流轉。2022 年,Merlin 事件中幕後黑手被聯合國確認與 Lazarus 集團有關,而 CertiK 在這一事件中的調查工作被視為與黑客“0 距離交鋒”的典範。這也促使 CertiK 在資金追蹤、漏洞掃描和 KYC(身份認證)等領域進行了全面升級。
“Web3 安全行業是一個需要 7x24 高度警備,隨時和黑客短兵相接,隨時鬥智鬥勇捍衛客戶和社區利益。雖然這場戰爭可能永遠沒有辦法一勞永逸地止息,但也正是這個特徵讓 CertiK 有了強烈的使命感,我們會秉承初心,貫穿始終地守護 Web3 安全。”CertiK 表示。
初心未改,CertiK 將引領區塊鏈安全與合規,共建 Web3 生態新未來
在之後的道路上,致力於推動區塊鏈行業向善並堅守白帽精神的 CertiK,不僅將繼續其作為區塊鏈行業獨角獸的地位,也將積極承擔起新的責任與角色。目前,CertiK 已與五個國家和地區的監管機構建立了合作關係,在政策制定和合規支持上發揮了重要作用。
顧榮輝教授作為新加坡金融管理局(MAS)國際技術諮詢委員會的成員,參與了多個重要框架的討論。他還受邀成為香港 Web3 發展專責小組的成員,協助推動數字資產管理規則的形成。
在新加坡金融科技節上,顧榮輝教授以主講嘉賓身份分享了他的觀點。他表示:“監管的核心在於‘管得住、看得見、能執行’。在鏈上交易愈發複雜的今天,安全問題已成為監管的關鍵支柱之一。”
CertiK 的政府合作範圍廣泛且深入。例如,CertiK 為香港金管局和財庫局聯合發佈的穩定幣監管制度建議提供了專業意見;參與了日本金融廳(FSA)關於日元穩定幣合規政策的起草工作;與馬來西亞數字經濟發展局合作,共同制定 Metaverse 和 Web3 的政策文件;還與韓國首爾和釜山市政府簽署了合作備忘錄,提供區塊鏈安全和風險防控的技術支持。這些努力不僅鞏固了 CertiK 在行業內的領導地位,也彰顯了其對行業發展的深刻責任感。
與此同時,CertiK 宣佈推出旗下風投部門 CertiK Ventures,並設立了 4500 萬美元的投資計劃,旨在支持 Web3 生態中具有高潛力的新興項目。該計劃不僅是對行業未來的承諾,也是 CertiK 從技術提供者向生態推動者轉型的重要一步。
CertiK Ventures 的投資重點放在安全和基礎設施相關的項目,尤其是那些具有可持續和可擴展商業模式的企業。CertiK 希望通過資金和技術支持,幫助這些項目在快速發展的賽道中脫穎而出,併為其構建長期的技術合作關係。CertiK Ventures 預計從 2024 年第四季度起開始分配資金,計劃持續至 2025 年底,為更多項目提供全方位的成長助力。
除了政府合作與 VC 部門的建設,CertiK 還透露了 CertiK 的最新計劃——“21 計劃”,目標是在 21 個月內達到上市標準,並將客戶體驗管理(Client Insights First)作為核心戰略。通過深入挖掘客戶需求,CertiK 致力於打造以客戶反饋為導向的產品優化和服務提升體系。
在這一計劃的指導下,CertiK 推出了全生命週期安全解決方案。這套方案覆蓋了項目從概念階段到上線後的整個成長過程,從最初的設計審查到代碼審計,再到上線後的社區管理與性能優化。CertiK 已經將安全服務從防禦擴展到支持,讓 Web3 項目方能夠在安全的基礎上實現持續的創新。
CertiK 對未來的展望也超出了傳統的安全領域。在 Web3 逐步成為主流的背景下,CertiK 計劃將服務範圍拓展到更多的傳統企業,幫助它們順利進入區塊鏈生態。在面對行業牛市和熊市交替的環境下,CertiK 通過優化團隊結構、強化技術能力,為持續增長奠定了基礎。
歡迎加入律動 BlockBeats 官方社群:
Telegram 訂閱群:https://t.me/theblockbeats
Telegram 交流群:https://t.me/BlockBeats_App
Twitter 官方賬號:https://twitter.com/BlockBeatsAsia
