作者:黎詩韻,極客公園
在Web3跌入熊市遇冷、并被ChatGPT代表的AI浪潮奪走關注后——有一條賽道依舊火熱,那就是Web3安全。
由于區塊鏈的合約更公開、透明,因此也更容易被攻擊。智能合約一經部署之后,由于它的不可篡改和不可停止,一旦出現漏洞,黑客就能根據源代碼實時攻擊,致使用戶蒙受金錢損失。曾有投資人將Web3安全比作「軍隊」,沒有它的守護,Web3「國將不存」。它是Web3最重要的基礎設施之一,被認為會占到Web3價值的5%-10%。
這一賽道不僅未在熊市遇冷,反而更熱了。當牛市的「泡沫」套利消散后,黑客攻擊的套利會更猖獗。需求帶來行業爆發。據極客公園統計,自2022年中旬熊市以來,Web3安全領域涌現了十余家創業公司,融資額達上千萬美元。
而作為上一輪Web3熊市中涌現出來的公司——CertiK是目前全球Web3安全賽道的第一名。
你可以將CertiK形容為「明星公司」。它的創始人是兩位安全領域的頂尖學者,分別為耶魯大學計算機系主任、終身教授邵中,及其學生、現哥倫比亞大學計算機系教授顧榮輝。2016年,他們研發出了全球首個「無漏洞、不可攻破」的安全操作系統CertiKOS,并于2017年創立公司、將這一技術應用到了Web3領域。
直至2020年DeFi爆發,帶動Web3安全公司的業務水漲船高,2021年CertiK也迅速成為全球第一。據CoinMarketCap數據,在其所有經安全審計的DeFi項目中,CertiK的市占率達70%。遠遠超過同行。
CertiK擁有稱得上「明星」級別的融資待遇。2021年,在不到一年時間內,CertiK拿了五輪融資,高盛、老虎基金、軟銀愿景、紅杉、高瓴等最豪華的資方爭相競投。公司的估值也迅速飆升至20億美金,成為超級獨角獸——這還是它不斷「sayno」后的結果。
不久前,我們在北京見到了CertiK的聯合創始人顧榮輝——這位「哥大教授」只有33歲,身著一件咖色的西裝,熱情地跟我們握手。由于日常穿梭于中美之間,這是他少有的媒體見面。他的表達欲很豐沛,又處處透露著技術實用主義的影子,正如他的投資人和高管形容的那樣,「少有的將創始人和學者身份合一的人」。
「我們幾乎是靠一己之力把區塊鏈安全變成一個賽道,吸引了很多關注。」他驕傲地說。
但這不是一個只關乎「成功」的故事。根據極客公園調研,一些Web3安全行業的同行,對這家公司的看法爭議頗多。最核心的指責關乎CertiK的安全審計服務,包括為什么有些項目通過安全審計還會出事、誰來審計CertiK的審計等等。當我們將這些質疑拋向顧榮輝時,他并不意外,并打趣道,CertiK是「譽滿天下,謗滿天下」。
這位創業者面臨的核心困境在于,作為一個中心化的機構,該如何在Web3這個強調去中心化的世界里,獲取信任。這和幣安面臨的困境相似。
對此,CertiK的解決方法也是像幣安一樣,盡可能地公開透明——目前,CertiK是唯一將安全審計報告全部公開透明的Web3安全公司。
但顧榮輝也承認,CertiK仍有許多需要改進的地方。尤其是在Web3安全的領域,在教育用戶方面,這條道路更是漫長的。
以下是經過整理的對話全文:
一、安全攻防之外,
更要防止「公信力」被濫用
極客公園:2月3日,DeFi項目OrionProtocol遭到黑客攻擊,損失近300萬美元。而這個項目是CertiK審計的,為什么CertiK沒有審出它的代碼漏洞?
顧榮輝:出問題的代碼并不在我們審計的范圍以內。比如項目方有兩萬行代碼,出于各種考慮,它只把自認為最核心的代碼進行了審計,但剩下的上萬行代碼沒有審計,會有很大概率出問題。如果不在審計范圍內,審計方不應該受到指責。這聽起來很像「甩鍋」,但確實是審計公司最無奈的地方。
極客公園:所以這本質是因為項目方自己的問題?
顧榮輝:因為安全審計是一筆不小的開支,很多項目方只想把最核心的代碼做安全審計,其余的代碼就不做審計了。或者只給第一版代碼做審計,更新的代碼就不做審計了。
這也是為什么,盡管Web3安全公司這么多,但還是有項目不斷被盜、安全事件還是越來越多。因為項目方對安全的重視程度還是不夠。大家雖然在安全上花了錢,但花得還不夠,應該做完整的代碼審計。
Coinbase首席法務官:眾議院新法案最終將使美國參與數字資產監管的全球對話:金色財經報道,針對美眾議院剛剛宣布的《21世紀金融創新和技術法案》,Coinbase首席法務官paulgrewal.eth在社交媒體發表評論稱,如果我們想作為一個國家受到認真對待,我們就必須作為一個國家認真行事,這項立法最終將使美國參與數字資產監管的全球對話,國會應立即通過并頒布該法案。[2023/7/21 11:08:16]
極客公園:為什么在最重要的安全問題上,項目方會舍不得投入?
顧榮輝:因為目前很多項目方做安全審計的目的,并不是真的為了「安全」,而是給投資人、用戶、交易所「交差」。「你們看我是愿意花錢的,我是做了安全審計的,我都找了CertiK,最好最貴的審計公司。」那它只做一部分代碼審計,也可以有相同的陳述。
極客公園:聽起來項目方是讓審計公司背了「鍋」?
顧榮輝:用一個不恰當的比喻,在CertiK這么大市場占有率的情況下,我們的「鍋」都快背不過來了。
這也是我們強烈要把安全審計報告公開透明的原因之一。到目前為止,整個區塊鏈行業除了CertiK之外,沒有任何一家安全公司會把所有審計報告完全透明公開。因為我們希望用戶在網上清楚地看到,項目方有哪些代碼審計了,哪些代碼沒有審計。我們不希望CertiK變成一個「章」、一個防盜的「證書」,公信力被濫用。
極客公園:你什么時候做出的將審計報告公開透明的決定?
顧榮輝:2020年下半年。那時候DeFi非常火爆,Web3安全公司業務增長很快,我們很快就變成了全球第一。緊接著,很多項目都宣稱是找CertiK做的安全審計,但其實并不是。所以我就在想,應該讓這個事情變得公開透明,不要讓用戶被誤導。
極客公園:這個決定有效嗎?普通用戶真的會去看你們的報告嗎?
顧榮輝:大部分普通用戶不會去看。甚至我們公開之后,反而有很多人罵我們。因為我們公開之后,任何我們的關聯項目出事后都是公開的,而用戶如果在這個項目上受損失了,他不會去管這是不是在你的審計范圍之內,他一定會很生氣、要來罵你。所以即使到今天,很多我們公司內部的人、包括投資人,都不贊同我們將報告完全公開。
不過對于專業的機構來說,大家還是會去看審計報告并做出準確的判斷。2月,CertiK的市占率第一次超過了70%,我們客戶問卷的調查滿意程度也在90%以上。很多客戶還給我們寫了衷心感謝的話。但這些客戶不會去社交平臺上發言,他們只會一次次和你合作。
Twitter上關于CertiK的討論?|圖片來源:Twitter?
極客公園:如何讓普通用戶更好地意識到這點?
顧榮輝:我們一直在努力地去完成這個行業的用戶教育。2018年,我們剛創業的時候,主要是教用戶去看項目方「有沒有」安全審計。但到了2020年,我們開始推出安全展示板,就是去教育普通用戶,安全審計不是一個「章」,而應該是一個「動態的指標」。
我們會綜合各項指標,給項目方打安全分。這個安全評分每15分鐘會更新一次,比如你現在代碼沒有問題,但如果更新了代碼,評分就會實時變化。用戶還可以在安全展示板上,訂閱關于項目方的幾項關鍵安全指標,隨時收到變化通知。
我們希望一步一步地幫用戶轉變對Web3安全的觀念。但這是一條很長的路,而且很難很難很難。
CertiK安全展示板|圖片來源:CertiK
極客公園:去年,你們安全展示板的官方推特說,「你知道嗎?@orion_protocol是CertiK官網上唯一安全評分為100/100的項目。」項目出事后,很多人在推特評論里罵你們。
顧榮輝:是的。因為在那個時間段,這個項目確實是排名最高的安全評分。但這個安全評分是動態的,每15分鐘都會發生變化,更不要說橫跨一年之久。
極客公園:有Web3同行評價你們是用真正的互聯網思維在做產品。你贊同這個評價嗎?
顧榮輝:我覺得我們的出發點,還是在思考用戶和行業的需求和痛點。
說白了,安全攻防只是第一步,但你不能只做安全攻防。就像大家現在看CertiK,是安全攻防為基礎,但更看重的是我們的「公信力」。
那么如何防止別人利用你的「公信力」來做不好的事?這導致我們不停地思考,到底該怎么往前走。這個行業絕大多數公司還沒有「公信力」的困擾,沒有用戶在推特里罵他們的壓力。我覺得我們真的是被逼出來的。
CryptoFed要求與SEC就禁止銷售代幣令進行對話:1月19日消息,美國證券交易委員會(SEC)于2022年11月禁止CryptoFed DAO LLC注冊和銷售代幣,而CryptoFed在聽證會上表示曾尋求與SEC進行對話但并未獲得答復。
CryptoFed稱,SEC選擇直接禁止而不是為其提供機會來處理所提交的文件并解決問題,是對其進行不公平處理。(Theblock)[2023/1/19 11:20:19]
二、監測到有異常的項目,
我們主動曝光出來
極客公園:Web3安全審計不只是技術層面,也包括人性層面。比如有些項目方會「監守自盜」,故意設計代碼漏洞,卷走用戶的錢。人性是不是比技術更難審計?
顧榮輝:我們永遠相信去中心化、代碼,但代碼也會出現人性的問題。比如這種俗稱的「土狗項目」,我們稱之為高風險項目,它們可能因為本身的設計問題、或者代碼問題實在太多,最后會導致投資者損失慘重。
今天,Web3世界被詐騙的錢甚至多過了被盜的錢。
極客公園:這種「土狗項目」該如何識別?
顧榮輝:其實純靠看代碼是非常困難的。尤其是他們給我們的代碼,可能和真實部署的代碼都不一致。
所以我們推出了KYC服務。我們內部有兩個KYC團隊,一個是常規的KYC,比如一個項目過來了,我們能不能簽約,要做最基礎的評估。但這能做到的有限。而另一種是目前行業內最嚴格的KYC服務,會有很嚴格的審查流程,我們會為通過的項目方頒發KYC專屬徽章并公開展示在官網上,目前從來沒有拿到KYC徽章的項目出問題。但我們無法強制項目方申請這種嚴格的KYC徽章。
CertiK的KYC服務|圖片來源:CertiK
這兩支KYC團隊加起來有20多人,比一些小的安全審計公司人還多,成本很大。我們為什么要這樣投入?就是希望盡可能避免這種高風險項目。
極客公園:你們對高風險項目的判別是主觀的、還是有根據現實和規律推導出的標準?
顧榮輝:和審計類似,KYC既有主觀的判斷、也有客觀的規律。其實通過KYC服務,我們已經拒絕了30%以上的客戶。要不然我們的市場范圍會更廣。
極客公園:但2022年1月,經你們審計的項目ArbixFinance被標記為「RugPull」,當時是沒識別出來嗎?
顧榮輝:我們要根據項目方提供的客觀信息做判斷,這本身的難度就比較大。在項目方刻意隱瞞造假之下,挖掘蛛絲馬跡的難度更是直線上升。
但我想強調,ArbixFinance這個事,是我們自己監測到異常之后,主動曝光出來的。這對我們來說是不利的,你不會看到其他服務公司去做這種事情。但我們就公開在自己的官網上,因為這是應該去做的事情。
極客公園:在客戶利益和公眾利益之間,你會選擇后者?
顧榮輝:對。如果你發現一個項目可能有問題,你要不要大聲說出來?我覺得要,哪怕是我們自己的客戶。
包括我們的審計報告里,會單獨寫一章項目方的「中心化問題」,核心就是如何讓公眾了解項目的中心化風險。很多服務公司不會這么做,因為會得罪客戶,但我們堅持要這么做。
極客公園:你不怕跟項目方的關系很尷尬嗎?
顧榮輝:客戶肯定不開心,這肯定對我們的業績有負面影響。而且你報了這個項目有問題,項目的投資人恨不恨你?參與人恨不恨你?合作伙伴恨不恨你?真的負反饋很大。
在推特上,其實大部分關于CertiK的負面內容和黑客攻擊沒什么關系,主要是針對我們披露了項目方的負面信息。比如我們曝出這個項目有中心化風險,項目的用戶就開始罵我們,甚至組織水軍給我們打低分。
但還是那句話,如果這是對行業有利的事情,我們就應該去做。
極客公園:你會去社交平臺上看那些負面評論嗎?
顧榮輝:我是真的都會看。外界覺得,CertiK好厲害,這么好的數字、這么多的融資。但實際上,外界對我們也有很多負面評價和報道,我們賺的是壓力很大的錢。
我之前聽到一句話叫「譽滿天下、謗滿天下」,很多事情都是有兩面性的。譽滿天下指的是他在用你的產品,謗滿天下指的是他邊用邊罵。我覺得是好事,這樣才知道哪里不足、怎么提高。
特斯拉CEO馬斯克與推特CEO將在7月21日的一個比特幣活動上進行對話:市場消息:特斯拉CEO馬斯克與推特CEO將在7月21日的一個比特幣活動上進行對話。[2021/6/25 0:06:35]
極客公園:關于KYC,我看到有傳言說,你們某個項目方跑路之后,用戶聯系CertiK,CertiK說聯系不上項目方。這是真的嗎?
顧榮輝:這是有的。因為常規的KYC太容易造假了,你要了一套KYC的東西,但出了事誰都找不到。如果項目方通過的是我們最嚴苛的KYC,有KYC徽章的就不同了,這種情況下我們一定能和執法機構配合。
極客公園:當用戶的錢被卷走后,追回的可能性大嗎?
顧榮輝:我們和很多監管部門聊過,得出的結論是,追回資金最大的問題是必須要有執法力。但很多時候我們沒有執法力。
三、從學術圈到Web3世界,
技術實用主義與去中心化信仰
極客公園:你最早接觸區塊鏈是什么時候?
顧榮輝:大概是2012、2013年。當時我剛從清華本科畢業,進入耶魯大學計算機系「高可信軟件聯合研究中心」,跟著邵中教授讀博。
當時跟我在同一個辦公室的師兄叫蔣信予,他的化名叫「Friedcat烤貓」。我第一次對區塊鏈產生興趣,就是從他那知道的。
極客公園:烤貓在區塊鏈世界非常有名,是國內比特幣最早的布道者。
顧榮輝:他是比較早一批開始用ASIC機器去挖礦的,做礦機做的很成功,對整個區塊鏈世界影響很大。最后他博士輟學,回國做了這個。
回過頭來,為什么烤貓在區塊鏈世界做的很成功,我覺得可能是一種科研的思維方式。我們會從一個更基礎的層面考慮這些問題,所以大家會做出很多創新性的東西。
極客公園:當時你自己買幣嗎?
顧榮輝:當時沒有買過。
極客公園:像烤貓這樣一個偏原教旨主義的人,他對你有什么影響嗎?
顧榮輝:我覺得他對我學術上影響大一點。因為他是我的師兄,在科研上他幫助我很多,包括形式化驗證的很多知識。我們甚至在同一個項目CertiKOS,但是他后來離開了。
極客公園:CertiKOS也是你后來創業的重要技術基礎。
顧榮輝:對。我們研究的形式化驗證技術,簡而言之就是通過數學方法,證明你的代碼和你的設計是等價的,沒有漏洞。
這項技術在軟件上的應用一直是學術痛點。它過去一直被應用在硬件上,因為硬件是固定的,證明空間有限。但軟件是可編程的,證明空間可以到無窮大。我在讀博的時候,就想解決這個問題。
2016年,我們終于完成了這個技術突破,做出了CertiKOS。這是目前世界上第一個、也是唯一一個完全經過形式化驗證的多核操作系統內核。當時我們把它用在了無人車Landshark上面,被評價為「無懈可擊」。2018年我們創立了CertiK,希望把這項技術用于實際生產中。
極客公園:這項技術可以應用的領域有很多,為什么最終你選擇應用到區塊鏈或Web3領域?
顧榮輝:因為當年Web3發生了幾起很大的安全事件。2016年,TheDAOattack,被認為幾乎是人類歷史上最大的一起攻擊事件,超過幾百萬枚以太幣被盜,換算到現在就是幾十億美金的損失。那時候區塊鏈才剛剛開始火,這些攻擊事件讓大家意識到,Web3安全非常非常重要。大家希望能改變區塊鏈的安全狀況。
當時以太坊基金會也好,包括V神本人,都做了很多調研。然后他們發現同一時期有一個技術突破,就是CertiKOS。當時很多人找我們聊了很多輪,探索把這個技術用到區塊鏈領域、智能合約領域的可能性。后來我們成立了CertiK,還拿到了以太網基金會的撥款。
極客公園:感覺CertiK的誕生是新技術成果和市場需求的碰撞。
顧榮輝:因為區塊鏈面對的安全挑戰是前所未有的,區塊鏈的合約公開、透明,導致它更容易被攻擊。
傳統的安全平臺看到漏洞后,可以打補丁、升級系統。但區塊鏈是一個世界計算機,沒有人可以停掉它,智能合約一旦部署之后,就很難改了——就像打開潘多拉的魔盒。
這個場景就像什么?假設我是黑客,我可以看著你的源代碼找漏洞,實時攻擊。而你甚至沒有辦法打補丁阻止攻擊,只能眼睜睜看著我把錢取走。傳統安全損失的只是一些用戶數據,但區塊鏈直接損失的是錢。由于這些原因,我們的形式化驗證技術就很適合用于區塊鏈世界的防御。
推特CEO回應馬斯克:讓我們進行一場對話,分享你所有的好奇:推特CEO Jack Dorsey發推宣傳比特幣活動The B World,稱比特幣開發社區高于一切,而隨著更多企業和機構投身加密領域,他們將提供更多教育和行動,為大家提供幫助。隨后,馬斯克在Jack Dorsey推文下進行了頗為無厘頭的互動。Jack Dorsey對馬斯克說,讓我們在活動中進行一場對話,你可以分享你所有的好奇。[2021/6/25 0:05:23]
極客公園:但很多Web3安全公司都宣稱有形式化驗證技術。
顧榮輝:我們、尤其是邵中教授是形式化驗證技術的世界級權威專家,CertiK也是最先把形式化驗證技術應用到Web3領域的。系統形式化驗證過去十年很多里程碑式的科研成果,都是邵中教授實驗室和我在哥大的實驗室做出來的。現在很多安全公司都會宣稱有形式化驗證技術,但是大部分都是宣傳目的,技術儲備并不充足。
極客公園:我聽你的投資人說,這項技術成果也可以用于很多別的安全領域?
顧榮輝:沒錯,我們已經應用到了芯片、云、操作系統等領域。比如ARMV9處理器上隱私計算架構的安全驗證、螞蟻云原生的HyperEnclave的安全驗證都是我們做的。因為這些也都是底層的構建,需要在部署之前就做到盡可能安全,安全率要達到99%以上。
但我們現在的主營業務還是在Web3領域,我認為能把一件事情干好,就已經非常難了。我沒有辦法眼睜睜地看著這么大的痛點,還去做別的事。
極客公園:從研究技術的學者,到開公司的創業者,這種身份跨越有難度嗎?
顧榮輝:在創業之前,我還在谷歌呆了一年。當時我剛從耶魯博士畢業,推遲了一年哥大給我的助理教授offer。我當時覺得,如果我以后去創業,會有很大的gap,因為我一直在學術圈呆著、沒有工作經驗。所以我決定去谷歌這家頂級互聯網公司體驗一下。
這段經歷對我創辦CertiK的幫助很大。它讓我思考,「當你在做一件別人沒做過的事情時,你應該怎么做?」谷歌是第一家做搜索引擎的公司,這個東西到底是什么、應該做成什么樣子,都需要它自己回答。這跟我創立CertiK的感受是一樣的。
CertiK的審計報告|?圖片來源:CertiK
極客公園:學者和創業者都是不容易做的工作,你怎么能兼顧兩者?
顧榮輝:教授和創業者幾乎是大家認為最忙的兩個職業。但我認為,這兩重身份有一樣的底色,就是找到有挑戰性的問題,再將自己全身心的精力投入進去、將問題攻克。對我來說,這兩者的目標幾乎是統一的。這也是我能夠堅持下來的原因。
當然,這兩個身份的不同之處在于,學者不太用考慮什么時候商業化落地的問題,但創業者需要在一定時間內、至少給出一個商業上可以接受的答案。這也是很多學者企業的挑戰。但很多投資機構都說,我們算是它們見到的比較成功的學者企業。
極客公園:作為Web3創業者,你有去中心化信仰嗎?
顧榮輝:Web3的去中心化是「incodewetrust」,但是如果這個code本身并不trustworthy怎么辦?也就是codebug,這是CertiK要去解決的問題。你要說信仰,我們的信仰就是這個。
極客公園:你的同行說,做Web3安全也離不開「正義感」。你有這個東西嗎?
顧榮輝:我理解的正義感就是關于所做的事情到底是不是正確的,對這個世界產生了什么價值?
我可以很自豪的說,我們通過ARM的V9處理器的CCA架構的安全驗證,未來可以為上千萬臺設備保障隱私安全。我們在Web3的智能合約和區塊鏈系統里找到了6萬個bug,為項目降低了風險。這些是正確的,也是我們創造的價值。而且這不是別人通過我的論文幫我實現的,而是我自己實現的。
這些貢獻,不管是把學術往前推進了一點點,還是讓用戶損失減少了一點點,都可以說是由正義感驅動的。
四、吃下七成市場,
靠的是機審提高效率
極客公園:和CertiK同批成立的Web3安全公司有很多,為什么最后CertiK成了行業第一、吃下了70%的市場份額?
顧榮輝:我們對Web3安全行業的看法非常不同。
其他所有的公司,它們想做的是比較「手工式」的小團隊模式,比如組建「白帽」團隊,參加攻防大賽,找代碼漏洞、拿賞金等等。
STD盛大公鏈接受央視《對話品牌》欄目采訪:9月25日,中國企業數改專業委員會主任,盛大公鏈CEO趙永亮先生,今日接受中央電視臺《對話品牌》欄目采訪,其間多次提到企業數改的相關政策以及盛大公鏈運用在企業數改方面的優勢,這是央媒首次對專業從事區塊鏈技術的企業的官方報道。盛大公鏈專注區塊鏈底層技術開發,擁有多項區塊鏈黑科技,其獨立開發的STD錢包可直接對支付寶收款碼實行秒結算,真正實現了互聯互通的點對點交易。[2020/9/25]
但我們最開始想的是,希望從根本上去改善整個行業的安全現狀。我們希望服務大量有安全需求的公司,提供規模化的技術服務。所以我們從一開始就很注重工具和安全引擎的開發。
極客公園:規模化的愿景是怎么誕生的?
顧榮輝:因為我們看到整個Web3或者區塊鏈行業的創新,大部分都是來自很小的團隊。從中本聰開始,沒有哪個創新是來自大的公司。因此我們希望通過規模化,降低審計成本,服務好大量的中小團隊。
比如Sandbox,算是元宇宙的發起項目之一了。但2019年他們找我們做安全的時候,這個公司的估值只有600萬美金,錢非常少。如果我們不能服務這樣的小公司,那這樣的項目可能經歷一次安全事件就「死」了,很多Web3的創新就不會有了。
所以我們認為,如果Web3行業要發展,就必須讓中小型的機構也能享受到這種最高級的安全服務。而且也只有這樣,CertiK才有可能做成一個非常大的企業。
極客公園:通過規模化,CertiK把審計成本降低了多少?
顧榮輝:2019年,美國傳統的安全企業做一次Web3安全審計,只是部署非常簡單的智能合約,報價都是幾十萬美金。而現在,對普通客戶,我們的報價可以到壓到幾萬甚至幾千美金一次。我們把Web3安全審計的費用降低了90%以上,并且我們還在繼續降低。
極客公園:規模化不僅是一種意愿,更需要能力。你們是怎么規模化獲客的?
顧榮輝:其實獲客更多是項目方來找我們。很有意思,2021年11月,CertiK剛剛完成獨角獸那輪融資、估值達到10億美金的時候,我和McAfee的前CEO吃飯。他問我說,你們有多少個SalesBD?我說我們大概有6個,我說你們有多少?他說他們有4000個。
極客公園:你們如何有能力承接大規模訂單?
顧榮輝:我們是創造了一套安全引擎,盡量減少安全專家的工作,從而提高審計效率。但是所有的報告、所有的條目都會通過安全專家的審核。我們只是不讓安全專家簡簡單單的直接讀源代碼。
極客公園:所以你們的核心優勢是這套安全引擎?
顧榮輝:對。這個安全引擎類似于ChatGPT。它會自動檢查源代碼的問題、甚至模擬攻擊,接著安全工程師會對它提出的問題進行反饋,是對的還是錯的、為什么,你可以理解為這是一種標注后的數據。而這些數據會回到引擎、不斷地訓練引擎。
也就是說,即使我們的技術不發展,但只要我們能見到更多的代碼、有更多的人對它進行標注,我們的引擎就會變得越來越好。然后我們的安全程度會越來越高,并有越來越多的客戶,而這又會讓引擎越來越好。就是這樣一個正循環。
極客公園:有人說,Web3行業大部分代碼都是copy的、沒有什么創新,所以可以大規模去做審計。
顧榮輝:目前整個區塊鏈的buildingblock確實沒有那么多,這也是為什么我們認為這個行業可以實現自動化。如果不存在這個特性,這條路最開始是很難走的。
但這并不代表我們的審計工作輕松。因為往往被攻擊的都是仿盤項目,它就改了10行代碼,這10行代碼就改出問題來了。
而且我們也做了很多極具創新性、極難的項目。比如2022年區塊鏈安全事件就圍繞兩個字,跨鏈。跨N條鏈,就是N*N的復雜度,它的技術難度遠遠超過我們以前見過的所有項目。但很多小團隊沒有同時覆蓋多條鏈的能力,反而是CertiK,因為在所有鏈上都有很多客戶,積累了比較全的跨鏈數據,才能去做。現在很多跨鏈項目的安全保障都是CertiK在做。
CertiK的市場占有率|數據來源:CMC
極客公園:大量的自動化審計,如何保證審計質量?
顧榮輝:這是一個好問題。為什么傳統安全公司一直是小團隊模式?因為規模化之后,很難保證安全率、安全質量。因為你一個月接500個訂單,就算你的安全率達到99%,平均每個月也會有5個項目爆雷。公司一下就不行了。
CertiK是有一套監控系統,去監控我們的自動化審計+人工核對的工作是不是合格。每一份報告,我們都會根據安全專家的行為、報告結果、跟同類項目的比較,評出一個「自信分」。一旦這份報告的自信分低于某個閾值,我們會啟動相應流程處理。
極客公園:那為什么2020年「LIENFINANCE」這個項目的漏洞,還是有人在網上幫你們找到的?
顧榮輝:理論上沒有一種技術可以確保軟件100%的安全。
我們從來不強調「CertiK就是萬無一失的」。這也是我們把所有審計報告公開的原因。公開的審計結果,給了所有人都可以來檢查的機會,讓更多人可以找到代碼問題,讓項目更安全,這比CertiK的品牌聲譽重要得多的多。
極客公園:有項目方說,它找了好幾家審計公司,CertiK審出來的漏洞是最少的。
顧榮輝:我相信絕大部分情況不是這樣的,目前市面上公開的報告可以佐證我們的觀點。
不過確實有一些情況,比如有的項目方在和小團隊合作時,小團隊會把所有人都撲在一個項目上,會有非常頻繁的溝通,很多小的問題也都會和項目方反復確認,有非常多的反饋和交互。但是CertiK是規模化的,是一次性的直接出報告,自動化程度高,會忽略我們認為不重要的問題,也缺少和項目方反復確認的過程。體驗確實不同。
目前我們在針對這個問題進行改進,比如利用ChatGPT,在實現規模化的同時帶給客戶更好的服務體驗。
極客公園:因為CertiK審核過的代碼出現漏洞,導致項目方損失,你們會承擔什么責任嗎?你們會跟項目方道歉嗎?
顧榮輝:首先,這樣的情況并不多。其次,如果出現損失,我們第一時間是幫用戶減少損失、追回被盜資金。之后我們會出具很詳細的報告,說明為什么會發生這個情況。責任的話,就像我們一直強調的,審計報告不是一枚章,不是「防彈證書」,而是一個動態的安全評估。
極客公園:你的同行表示,CertiK審計了近6000個項目,暴雷了好幾個。但它們審計了2000多個項目,卻沒有一個出問題。你怎么回應這個觀點?
顧榮輝:我不太清楚這里提到的2000多個項目的報告是否公開。沒有公開的話,我們很難進行分析和回應。這也是我們一直提倡大家公開審計報告的原因。
Rekt是一個第三方的權威統計網站,它會看攻擊漏洞是否在審計范圍。在Rekt統計的一百多起Web3安全爆雷事件中,在CertiK審計范圍內的一共就三起。而從我們的市占率來看,我們的事故率要遠遠低于行業水平,安全系數應該是最高的。
極客公園:你們作為審計機構,其實并沒有來自監管的壓力。這很難讓人相信你們會有動力把審計做好。
顧榮輝:2022年,我被邀請去達沃斯經濟論壇。當時Circle的CEO、Ripple的CEO,Coinbase的COO、Animoca的CEO,幾個人和我開玩笑說,「CertiK的市占率這么高,會不會變成去中心化世界里的一個新中心呢?」
這和大家對中心化機構的擔憂是一樣的,就是當你做大之后,別人怎么相信你?怎么保證你們每一單的審計都是好好做的?就像大家怎么才能相信中心化交易所不挪用用戶資金呢?
對于交易所來說,它們可以使用「merkle-tree」來公開儲備證明、透明公示平臺的資產狀況。類似的,我們認為對安全審計的監管,最好的解決方案就是公開透明,這樣才能引入外界的監督。
極客公園:公開透明能夠替代監管的壓力嗎?
顧榮輝:這可能比監管的壓力更大。CertiK公開了所有報告,如果我們的報告出了一個漏洞,任何人都能發現,所有不好的東西都永遠留在互聯網的記憶里。
回到那個問題,CertiK到底好在哪、為什么以這么快的速度變成行業第一?拋開所有技術不談,CertiK堅持公開透明,在巨大壓力下倒逼自己,這不就是一個很直觀的「好」的地方嗎?
五、不缺錢,
但反而要拿很多很多錢
極客公園:從2021年開始,CertiK在不到一年的時間內拿了五次融資,囊括了高盛、老虎、軟銀、紅杉、高瓴等最豪華的資方,成為Web3安全領域的超級獨角獸。為什么當時融資這么「猛」?
顧榮輝:因為從2020年開始,DeFi迎來大爆發,很多資本希望進入Web3行業,但它們認為上層應用的不確定性比較高,所以更看好基礎設施。而安全是非常重要的基礎設施,我們又是公認的龍頭企業,所以引入了很多國際、國內的大型投資機構。
Web3安全領域的投資?|?數據來源:Crunchbase)
極客公園:為什么其它Web3安全公司的融資額和估值遠遠不及你們?
顧榮輝:套句俗話,「資本永不眠」,它會不斷追逐有價值的企業。
一方面我們有超強的財務數據和市占率,另一方面可能還是信任問題,基于我們堅持的公開透明的準則。舉個例子,高盛是全球最成功的投行,高盛投資部門的審查非常嚴格,很多Web3公司都未能通過審核。CertiK是為數不多通過高盛投資審核的Web3公司,這對我們是很大的認可。
極客公園:其實在2021年市場非常好的時候,Web3安全公司并不缺錢,所以你的同行決定不拿錢。但你們想的反而是不僅要拿錢,還要拿很多很多錢。你是怎么考慮的?
顧榮輝:這是非常好的問題。CertiK從最開始就是正向現金流,并不缺錢,融資的決策也和很多Web3公司不同。
首先,因為我們是學者創業,都沒有創業經驗,而CertiK和行業面臨的未知太多太多了。我們需要很專業的、最好的投資機構來幫助我們。
其次,雖然CertiK的安全產品得到了廣泛認可,但還遠遠不夠。因為我們的黑客對手非常強,甚至有背靠國家的黑客組織。我們希望開發出下一代的安全產品,比如鏈上主動防御技術。這需要大量的投入,這也是我們融資的最重要原因。
極客公園:所以外界覺得你們拿的錢多,但你覺得跟對手相比,這個錢并沒有很多?
顧榮輝:對。我們融資了2.4億美金,但這跟我們的黑客對手、和面臨的挑戰相比并不算多。
事實上,我們在融資上已經非常克制了。2021年到2022年,一直在對潛在投資機構sayno、sayno、sayno。有很多的offer非常有吸引力,但我們都沒有接。
極客公園:資本扭曲公司發展的事例不算少,引入這么多豪華投資方,你不會有這樣擔憂嗎?
顧榮輝:我們的投資方都是專業、頂級的大型投資機構。到目前為止,他們從來沒有干涉過我們,而是很尊重我們的想法。我記得有位投資人和我開玩笑說,「他如果要指手畫腳,還不如自己去創立公司呢」。
極客公園:關于上市,你有自己的時間表嗎?
顧榮輝:上市肯定是CertiK非常重要的發展節點,我們的很多投資機構比如高盛都很專業,我們會聽取它們的建議。
極客公園:你們賺了這么多錢,又拿了這么多錢,準備怎么花?
顧榮輝:首先,最重要的還是開發下一代Web3安全產品,更好的解決用戶痛點。比如基于CertiK的安全引擎,我們會大規模投入數據能力,包括區塊鏈數據的處理、分析、響應能力等。比如在合約上鏈后發現漏洞,該怎么跟黑客搶跑資金等等,目前還是比較早期的構想。
其次,我們也在看比較好的潛在收購標的。比如跟我們形成技術互補的、生態呼應的公司,能拓展我們在Web3安全賽道的布局。
最后是開拓市場。CertiK現在全球各個市場的份額應該都是最大的。但因為安全需要24小時響應,靠一個純美國團隊來支撐這點很累,同事經常加班到夜里兩三點鐘。所以接下來我們要組建當地團隊,去解決時區問題。
極客公園:CertiK的全球化做得很好。有國內同行說,你們團隊的海外背景天然有更大優勢?
顧榮輝:CertiK的國際化背景可能給我們加分,但應該不是決定性因素。
極客公園:很多國內同行做全球化市場遇阻,你覺得可能原因是什么?
顧榮輝:國內公司出海確實挺難的。首先是語言問題。比如我去韓國,那邊的客戶就問我能不能出韓文版報告?所以很多時候,你覺得英文已經可以全球化了,但其實不是。語言問題會帶來很多限制。
其次是觀念的沖突。國內的安全團隊主要是小團隊模式,員工層級分明、管理嚴格,這帶來的好處是效率比較高。但歐美市場主張管理扁平化。出海時會有管理觀念沖突。
極客公園:安全方面的人才很稀缺,你們怎么吸納人才?
顧榮輝:通過一種使命感去凝聚。比如黑客的獲利更大,但絕大部分安全人才都還是選擇做白帽,因為他們是有追求的。
比如我們的李康教授,他是世界聞名的白帽,放棄了收入更高的工作來到CertiK。所以我們只有做對行業有利的事情、樹立使命感,才能夠凝聚他們。
極客公園:回過頭看,上波熊市跟你們同期創立的Web3安全公司,活到現在的不多了。這種大浪淘沙可以學到什么?
顧榮輝:我覺得跟風是很危險的。
包括因為我們的融資很好,這輪熊市又出現很多新的Web3安全公司。但我覺得目前這個賽道已經非常擁擠了,也很難再有規模化的機會。因為這需要大量的代碼數據、做大量的標注,它們很難超過現有公司的技術積累。
還有些初創Web3安全公司,它們提出了新的審計模式。比如讓項目方在平臺上公開代碼,通過賞金吸引白帽等來審計。但這只對低風險漏洞有效,而那些高風險漏洞,會因為利益誘惑巨大而很難通過賞金找出來。所以這些模式我們都不太認同。
極客公園:聽起來你并不看好這批新成立的Web3安全創業公司?
顧榮輝:我們還是堅持認為技術創新比模式創新更加可靠。
撰文:Frank,ForesightNews穩定幣作為加密世界苦苦尋覓的「圣杯」之一,一直是行業中最具想象空間的賽道,但2022年以來,無論是UST算穩崩塌,還是USDC儲備風波.
1900/1/1 0:00:00據歐科云鏈OKLink安全團隊監測,2023年4月安全事件共造約6000萬美金的損失,與上個月相比,損失金額有所回落,但安全事件數量依舊不減.
1900/1/1 0:00:00幣安公告稱,已完成OpenCampus認購Launchpad,最終代幣分配結果已顯示在OpenCampusLaunchpad頁面上.
1900/1/1 0:00:00作者:Xiaona&Bee?(Twitter:@llamabee1)編輯:Ashley&Sarah“GainsNetwork是在以太坊上創立的,初時未受熱捧.
1900/1/1 0:00:00來源:最高檢察院 編者按 乘“數”而上,智領未來。隨著“區塊鏈”“元宇宙”等數字經濟相關技術、概念在全球范圍的大熱,NFT等新興應用場景成為市場關注的焦點.
1900/1/1 0:00:00整理:餅干,ChainCatcher“過去24小時都發生了哪些重要事件”1、加密交易所Bittrex申請破產,美國以外業務不受影響據CoinDesk報道.
1900/1/1 0:00:00