在加密行业中,安全性是每个项目和平台的基石。随着区块链技术的发展和数字资产的广泛应用,安全问题也日益成为关注的焦点。
在 2024 年新加坡金融科技节(SFF)上,CertiK 联合创始人、哥伦比亚大学计算机科学教授顾荣辉发表了题为《超越代码,引领信任》的主旨演讲。顾教授在演讲中回顾了自己的学术之旅,以及从学术研究到创办 Web3 安全公司 CertiK 的跨越,强调了“安全不仅是竞争优势,更是共同责任”的核心理念。
顾荣辉教授在演讲中提到,2023 年 4 月 DeFi 协议 Merlin 遭遇的 200 万美元黑客攻击,给整个区块链行业带来了深刻的警示。
新加坡金融科技节(SFF)作为全球金融科技的顶级年度活动,由新加坡金融管理局(MAS)和 Elevandi 联合主办。借着这个契机,BlockBeats 和 CertiK 联合创始人顾荣辉聊了聊。
学术起始与 CertiK 的诞生
2010 年代的清华园里,计算机科学逐渐成为精英学子的热选。然而,与众多追逐热点研究的学生不同,顾荣辉选择了一条冷门但极具深度的方向——形式化验证。这一领域专注于通过数学证明确保软件系统的正确性,是编译器、操作系统等基础设施的核心保障。尽管在国内起步较晚,形式化验证一直有着高需求,尤其是在保障系统安全和稳定方面。
在清华时,顾荣辉师从董渊教授,初次接触形式化验证技术。他参与的研究项目 RA(Region-based Allocation)为他奠定了理论基础。清华的四年时光,让他对学术研究产生了浓厚兴趣,也促使他追寻更高层次的学术突破。2012 年在清华毕业后,顾荣辉选择前往耶鲁大学,跟随著名学者邵中教授继续深造。
耶鲁的实验室不仅是顾荣辉的学术发源地,也是他与区块链行业初次接触的地方。在邵中教授实验室中,顾荣辉遇到了加密行业的传奇人物——烤猫。在 2013 年消失前,烤猫就已经创造了一个比特币矿机帝国,而顾荣辉正是那段时期的早期历史见证者。
具体地说,烤猫是 CertiK 联合创始人邵中教授的博士生、耶鲁中科大联合实验室的学生,同时也是顾荣辉的学长与耶鲁计算机系 301 办公室的 office mate。“当时我在学习 XCAP framework(CertiK CTO 倪兆中博士的工作成果),很多 Coq 代码都读不懂,有问题的时候都会去问烤猫。那个时候在耶鲁,烤猫就在布道比特币了。”顾荣辉回忆道。
不过对于烤猫传奇的消失经历,顾荣辉也并没有什么内幕,“2013 年回国在苏州(耶鲁中科大实验室所在地),烤猫还请我单独吃了一顿火锅。那也是我最后一次见到他。消失后没有过联系。”
学术创新的商业化:从 CertiKOS 到 CertiK
在耶鲁的研究经历让顾荣辉敏锐地察觉到形式化验证的潜力。2016 年,他与团队成功研发了 CertiKOS,这是全球首个完全形式化验证的多核操作系统内核。
此外,顾荣辉的团队还研发出了首个被完全验证的商用云 hypervisor 系统 SeKVM;与 Arm 合作完成了 Confidential Computing Architecture (CCA) 的验证工作,此成果将会应用到下一代 Arm V9 芯片上;与蚂蚁集团合作完成了 HyperEnclave 系统的验证工作。
这些成果不仅引起了学术界的瞩目,也让顾荣辉看到了形式化验证技术在现实世界的广泛应用可能性。“CertiKOS 的成功让我意识到,形式化验证不应该只停留在实验室里,它完全可以为区块链和 Web3 领域提供强有力的安全保障。”顾荣辉说道。
因此顾荣辉与邵中教授于 2018 年 1 月联合创立了 CertiK。公司名称来源于“CertiKOS”,寓意“可证明的安全”,这也成为了公司核心理念的象征。CertiK 的目标,是将形式化验证的严谨性带入区块链领域,为数字资产提供顶级安全保障。
在邵中教授和多位清华、耶鲁校友的支持下,CertiK 组建了一支堪称“豪华”的初创团队。团队成员不仅学术背景突出,更有着丰富的行业经验。联合创始人邵中教授,中科大少年班,不仅是耶鲁大学计算机系主任,更是普林斯顿大学博士、世界级学术权威;CTO 倪兆中博士则是顾荣辉清华和耶鲁的学长,曾担任全球信息学奥赛总教练,并多次指导学生获得金牌。团队中的多位高管和技术骨干同样出身于清华,并在信息学竞赛、计算机领域中屡获殊荣。这种深厚的学术积淀与技术实力,使得 CertiK 从成立之初便在行业内备受瞩目。
创立后的短短两个月,CertiK 便获得了 350 万美元种子轮融资,由 Lightspeed Venture Partner 领投。公司发展迅猛,不断获得资本青睐:2020 年 6 月,IDG Capital 领投了 700 万美元的 A 轮融资;2021 年至 2022 年间,CertiK 连续完成四轮融资,总估值一跃达到 20 亿美元。据公开信息显示,截至 2021 年 12 月,CertiK 完成了 20 倍的收入增长,员工人数增加了 4 倍。
尽管发展迅猛、融资节奏快、金额大,CertiK 却始终保持克制。“2021 和 2022 年期间,确实有很多投资机构找到我们希望投钱,我们也确实拒绝了很大一部分。因为 CertiK 的现金流一直很健康,我们更希望获得战略投资,能够在业务上助力我们,而不仅仅是为了引入财务投资,因此我们是有选择地接纳投资。”顾荣辉回忆道。
从产品创新到行业影响:CertiK 的崛起之路
能成为行业独角兽,肯定不只有豪华的团队,还得有过硬的产品创新。
在发展过程中,CertiK 不断推出创新产品,以应对区块链行业不断变化的需求。其中,2022 年上线的 CertiK Skynet for Community,是为 Web3 用户打造的项目安全信息搜索引擎。该平台为普通用户提供安全评分,帮助他们更好地评估项目风险,为行业普及安全意识奠定了基础。
2023 年,CertiK 进一步推出了 SkyInsights,一个为项目方量身定制的实时监控工具。SkyInsights 不仅高效,还具备成本优势,它能够协助项目方在快速变化的市场中保持安全性和合规性。这一工具迅速成为项目团队在复杂的 Web3 环境中确保安全运营的利器。
2024 年,CertiK 再度升级产品矩阵,推出了两个颇具影响力的新项目。CertiK Quest 以问答和知识卡的形式,向用户科普 Web3 相关的安全知识,为行业培养了更广泛的安全意识;与此同时,CertiK Ventures 宣布了 4500 万美元的投资计划,旨在通过资金、技术和人才支持,助力 Web3 领域的潜在明星项目成长。这一战略性布局,不仅提升了 CertiK 在行业内的影响力,也巩固了其作为安全领域领导者的地位。
此外,CertiK 还升级了产品线,提出了“全生命周期安全解决方案”的理念。这一解决方案覆盖项目从初创到成功的每一个成长阶段,将安全深度嵌入到 Web3 生态系统的每一个环节,并辅以新的 Slogan:“Elevating Your Entire Web3 Journey”。CertiK 将安全服务聚焦到更为具体的对象,如项目方、交易平台、钱包以及终端用户,通过定制化解决方案确保全方位的安全保障。
“很多项目会觉得安全是上线之前一次性的安全审计,会把它当成一个时间点的服务,但安全需要伴随整个项目的生命周期,我们希望可以陪伴用户从早期一直到上线、上链、上币,再到成熟期的运营。”
CertiK 的安全引擎,是其技术竞争力的核心体现。这一引擎依托先进的形式化验证、自动化扫描和深度规范分析等技术,帮助安全专家高效地发现代码中的潜在问题。顾荣辉教授形容它为“安全专家的智能助手”,类似于 ChatGPT 在文本处理领域的角色。
该引擎的模型数据来源于 CertiK 多年来积累的审计经验和知识库,涵盖了 4700 家客户的代码样本、15 万个安全漏洞以及超过 40 个大型漏洞的详细报告。这些数据为引擎提供了强大的分析能力,使其能够快速识别智能合约和区块链应用中的隐患。
以 TON 公链为例,CertiK 不仅为其提供了代码审计和形式化验证,还在上线后帮助进行了性能测试和社区建设。这种全流程的支持已超越传统安全领域,进一步为项目方提供了多维度的增值服务。这也反映出 CertiK 从单一服务提供者向“安全合作伙伴”角色的转型。
此外,随着区块链行业的普及,CertiK 逐步将目光从 2B(面向企业)扩展到 2C(面向消费者)领域。2024 年,CertiK 推出了免费的社区安全工具 Token Scan 和 Wallet Scan,为普通用户提供了简单易用的安全检测服务。这些工具的推出,不仅降低了安全技术的使用门槛,也让更多人能够参与到 Web3 安全生态的建设中。
CertiK 希望通过这些工具,让 C 端用户具备更强的安全意识和防范能力。顾荣辉坦言:“CertiK 服务了 4700 家客户,找到了 15 万个安全漏洞,汇报了超过 40 个大型漏洞,可以说我们对社区做了非常大的贡献,但是我们对于 C 端以及开发者社区还是不够的。”未来,CertiK 计划推出更多的免费安全工具,以回馈社区支持并推动行业健康发展。
澄清与回应:“盖章式审计”的误解
在一个技术快速迭代且安全需求复杂多变的领域里,争议在所难免。从“盖章式”审计的批评,到部分项目出现问题后的舆论质疑,CertiK 经历了公众和行业的多重考验。如何正视这些问题,解释背后的原因,同时为行业发展做出更大贡献,成为 CertiK 不可回避的使命。
安全审计,从本质上来说,是对特定时间点代码安全性的专业评估,而非对整个项目生命周期的全面保护。CertiK 作为审计服务的提供者,面临着几大现实挑战:
1、代码范围的限制:很多项目方在提交审计时,只提供了部分代码或测试版本的代码。这意味着,审计只能基于这些内容进行风险评估,而无法覆盖整个项目的代码库。项目上线后,如果代码有改动但未经审计,就可能导致安全隐患。
2、审计后的改动:一些项目方在审计后为了快速上线,会对代码进行修改或新增功能,但这些改动未经过安全审计。这种“后续变动”往往是安全事件的主要原因,而非初期审计的疏漏。
3、成本与资源:全面深入的安全审计成本高昂,并非每个项目都能负担得起。即使是知名项目,有时也会因预算问题选择局部审计而非全代码覆盖,这进一步加大了潜在风险。
4、审计与执行的断层:即使 CertiK 提供了详尽的风险建议和优化方案,最终的实施仍由项目方负责。然而,有些项目方并未完全执行审计建议或整改方案,这也成为安全问题发生的另一重要原因。
面对质疑,CertiK 也给出了自己的回应。例如,自 2020 年以来,CertiK 将所有审计报告公开,供用户和社区监督。公开审计报告的决定在当时遭到广泛反对,无论是公司内部、合作伙伴,甚至投资机构都非常抵触。
“因为一旦公开,任何安全事故发生时,大家都会将其与 CertiK 联系起来。目前还没有其他安全公司敢于公开所有审计信息,因为这意味着面对问题将无所遁形。对于 CertiK 而言,公开透明的信息是一把双刃剑,但对于行业而言却是积极的推动。”顾荣辉解释道。
“我们坚持即使这种选择对 CertiK 带来挑战,但只要对行业有益,CertiK 也会坚定执行。从 2020 年至今,CertiK 始终保持初心,即便有项目方出现问题,CertiK 也承担了随之而来的负面影响。直到今天,我们都会将报告公开发布在网站上。”顾荣辉表示。
此外,为了解决这些问题,CertiK 推出了 CertiK Skynet 排行榜和安全评分系统,以增强审计报告的透明度和真实性。通过排行榜和项目信息页面来确保审计报告的可访问性和真实性,避免了被篡改或伪造的风险。CertiK 的安全评级系统综合考虑了链上数据、GitHub 代码库、审计信息和社群状况等多个维度,为用户提供了更全面的项目安全信息。
另一方面,CertiK 还推出了 Quest 功能,这是一种问答奖励机制,旨在向社区展示更多技术细节、安全知识。通过这种方式帮助用户更深入地了解项目的安全相关信息,理解安全的作用。
Web3 安全领域从来都不是“完美安全”的保障,而是技术与风险博弈的动态平衡。CertiK 在这个过程中,既要直面技术局限与项目方执行问题,也要承担公众质疑的压力。
危机中的责任
在 Web3 的世界里,黑客行为的界限比传统互联网更加模糊。传统意义上的“黑帽子”与“白帽子”之间,在 Web3 中存在大量灰色地带。例如,部分黑客声称为了“公共利益”而曝光漏洞,但他们的行为未必符合现有法律法规。这种复杂性为安全公司带来了更多挑战。
自 2020 年以来,CertiK 已进行 70 多次白帽行动,通过严格遵守白帽守则,并在不损害用户或公众利益的前提下,发现并修复了数万起安全漏洞。例如,CertiK 因发现关键漏洞获得了 Sui 项目的最高漏洞赏金,CertiK 具有行业领先的链上实时攻击监测和预警能力,并重点追踪拉撒路集团相关案件的资金流转,为行业提供了宝贵的安全防护经验。
然而,CertiK 也深知,仅靠技术手段不足以全面解决问题,Web3 的安全问题不仅存在于技术层面,更涉及到人性与信任的复杂交互。
例如,在 Merlin 事件中,幕后黑手并非代码漏洞,而是项目内部人员的恶意行为。CertiK 通过严格的背景调查与实时监控,进一步完善了防范内部威胁的机制。
此外,CertiK 曾向另一个交易平台报告了任意指定兑换价格的漏洞,而这次预警几乎是无偿提供的服务。如果这一漏洞未被发现,交易平台可能会面临生存危机。顾荣辉教授在一次访谈中表示:“很多时候,我们的工作并不被外界看到,但正是这些看不见的努力,防止了许多潜在的重大损失。”
在 Web3 的安全战场上,黑客组织的攻击手段日益复杂,Lazarus 集团就是其中的典型代表。这个组织以其高超的社会工程攻击、供应链攻击,以及假扮开发者植入漏洞等手法,在全球范围内制造了大量安全事件。
CertiK 不仅在技术上与 Lazarus 集团展开对抗,还通过资金追踪和反洗钱工具,持续监控其涉案资金的流转。2022 年,Merlin 事件中幕后黑手被联合国确认与 Lazarus 集团有关,而 CertiK 在这一事件中的调查工作被视为与黑客“0 距离交锋”的典范。这也促使 CertiK 在资金追踪、漏洞扫描和 KYC(身份认证)等领域进行了全面升级。
“Web3 安全行业是一个需要 7×24 高度警备,随时和黑客短兵相接,随时斗智斗勇捍卫客户和社区利益。虽然这场战争可能永远没有办法一劳永逸地止息,但也正是这个特征让 CertiK 有了强烈的使命感,我们会秉承初心,贯穿始终地守护 Web3 安全。”CertiK 表示。
初心未改,CertiK 将引领区块链安全与合规,共建 Web3 生态新未来
在之后的道路上,致力于推动区块链行业向善并坚守白帽精神的 CertiK,不仅将继续其作为区块链行业独角兽的地位,也将积极承担起新的责任与角色。目前,CertiK 已与五个国家和地区的监管机构建立了合作关系,在政策制定和合规支持上发挥了重要作用。
顾荣辉教授作为新加坡金融管理局(MAS)国际技术咨询委员会的成员,参与了多个重要框架的讨论。他还受邀成为香港 Web3 发展专责小组的成员,协助推动数字资产管理规则的形成。
在新加坡金融科技节上,顾荣辉教授以主讲嘉宾身份分享了他的观点。他表示:“监管的核心在于‘管得住、看得见、能执行’。在链上交易愈发复杂的今天,安全问题已成为监管的关键支柱之一。”
CertiK 的政府合作范围广泛且深入。例如,CertiK 为香港金管局和财库局联合发布的稳定币监管制度建议提供了专业意见;参与了日本金融厅(FSA)关于日元稳定币合规政策的起草工作;与马来西亚数字经济发展局合作,共同制定 Metaverse 和 Web3 的政策文件;还与韩国首尔和釜山市政府签署了合作备忘录,提供区块链安全和风险防控的技术支持。这些努力不仅巩固了 CertiK 在行业内的领导地位,也彰显了其对行业发展的深刻责任感。
与此同时,CertiK 宣布推出旗下风投部门 CertiK Ventures,并设立了 4500 万美元的投资计划,旨在支持 Web3 生态中具有高潜力的新兴项目。该计划不仅是对行业未来的承诺,也是 CertiK 从技术提供者向生态推动者转型的重要一步。
CertiK Ventures 的投资重点放在安全和基础设施相关的项目,尤其是那些具有可持续和可扩展商业模式的企业。CertiK 希望通过资金和技术支持,帮助这些项目在快速发展的赛道中脱颖而出,并为其构建长期的技术合作关系。CertiK Ventures 预计从 2024 年第四季度起开始分配资金,计划持续至 2025 年底,为更多项目提供全方位的成长助力。
除了政府合作与 VC 部门的建设,CertiK 还透露了 CertiK 的最新计划——“21 计划”,目标是在 21 个月内达到上市标准,并将客户体验管理(Client Insights First)作为核心战略。通过深入挖掘客户需求,CertiK 致力于打造以客户反馈为导向的产品优化和服务提升体系。
在这一计划的指导下,CertiK 推出了全生命周期安全解决方案。这套方案覆盖了项目从概念阶段到上线后的整个成长过程,从最初的设计审查到代码审计,再到上线后的社区管理与性能优化。CertiK 已经将安全服务从防御扩展到支持,让 Web3 项目方能够在安全的基础上实现持续的创新。
CertiK 对未来的展望也超出了传统的安全领域。在 Web3 逐步成为主流的背景下,CertiK 计划将服务范围拓展到更多的传统企业,帮助它们顺利进入区块链生态。在面对行业牛市和熊市交替的环境下,CertiK 通过优化团队结构、强化技术能力,为持续增长奠定了基础。