Techub专访顾荣辉教授:解密CertiK的安全战略路线

news2024/11/16 21:35:21

当 Web3 安全审计公司还在争抢审计份额时,CertiK 已经开始将目光瞄准即将进军 Web3 的传统商业巨头。CertiK 不仅在传统行业进行白帽行动获得如苹果公司的官方感谢,还是 Web3 行业唯一一家拥有 SOC 2 和 ISO 认证的 Web3 的安全公司。基于此,其已然成为传统行业进入 Web3 领域进行安全咨询的首选公司。

然而,作为 Web3 安全审计领域的龙头,CertiK 的实力不仅限于其精准的商业战略,其技术实力亦非常雄厚。ZK(零知识证明)领域的安全审计一直是行业的难题,但 CertiK 通过其对 zkWasm 进行的完全形式化验证,开创性地完成了行业在ZK形式化验证的首次成功尝试。

2024 年新加坡 Token 2049 活动期间,CertiK 公布其 4500 万美元 CertiK Ventures 的资金规模,同时发布其产品链路。此举在引发行业和媒体广泛关注的同时,也不禁令人好奇,作为 Web3 行业安全赛道的龙头公司,CertiK 依靠何等技术优势或商业逻辑,使其在持续低迷的市场中作出如此积极的战略判断?

为揭示 CertiK 此轮战略调整和业务布局背后的逻辑,Techub News 在 TOKEN2049 活动期间对 CertiK 联合创始人顾荣辉教授进行了专访,探寻 CertiK 如何从单一业务的安全公司发展成为生态中心。

Techub News:CertiK 最近重新调整了产品和服务结构,可以给我们介绍一下目前的新的服务和产品嘛,以及是基于什么样的考虑做出这样的调整? 

顾荣辉教授:CertiK 在近期调整了我们的产品服务框架,我们之前完全专注于 ToB 的服务,主要是提供最高等级的安全审计和安全保护等。CertiK 现在战略和产品的调整主要围绕着 Web3 社区进行,我们会更专注于 Web3 社区,更注重 Web3 社区的安全性。这和之前的区别之处在于我们会更注重对社区的回馈和投入,而不是单纯为行业中企业级客户进行服务。

我们希望更深入地参与到社区之中,参与到整个行业的构建与发展之中。为此,我们为社区提供了能全面覆盖生命周期的产品支持。比如我们刚刚成立的 CertiK Ventures,就是希望能够在企业早期,比如种子轮或者种子前轮阶段,提供资金以及后续一系列投后服务,助力这些企业完成从 0 到 1 的过程。此前,CertiK 更多地是在企业上线或上线部署前介入其发展中,但现在我们希望更早地介入,发现并助力这些未来独角兽完成从 0 到 1 的过程。我们会提供一系列的服务,比如咨询服务与支持,以及提供一些开发者工具和审计中使用的内部工具,来助力这些企业的开发。此外,在部署前和部署后的阶段,我们通过提供审计服务,确保企业在合约安全方面得到保障。

我们还发布了产品 Skynet,这个产品主要是提供安全查阅,把 Web3 企业的数据以一种公开透明的方式呈现给社区。我们还有一些面向社区用户的工具,比如 Smart Calendar、Wallet Scan,还有 Token Scan 等等,这些工具可以帮助 C 端用户在参与 B 端企业的产品与活动时能更好地降低风险。Smart Calendar 记录了 Web3 项目的空投以及升级时间;Wallet Scan 可以帮助用户扫描钱包来检查潜在风险;Token Scan专为分析代币安全设计,帮助用户识别包括「退出骗局」在内的多种潜在风险。

我们还有安全节点服务。CertiK 很早就打入了节点服务这个市场。我们是 BNB Chain(早期的BSC)最早的 21 个节点之一,同时我们也是 Kishu 的安全节点兼唯一的安全合作伙伴。我们希望能够把我们的产品和服务扩展到项目的全周期,从项目开始的最早期直到最后期。

目前,CertiK 的战略重心正在经历一次重要的升级,我们会更加注重回馈社区。我们会把内部的很多工具和框架陆续推出到社区,造福更多的项目方和开发者甚至是其他的 Web3 安全公司,这都是我们很开心可以见到的。

Techub News:可以给我们透露一下 CertiK Ventures 目前的资金规模和重点投资方向吗?

顾荣辉教授:CertiK Ventures 目前第一期的规模有 4500 万美元,这些全部都是我们的自有资金。我们目前计划第一期的资金应该会在 2025 年结束之前全部投出。我们目前的投资主要专注在种子轮和种子前轮阶段的项目,目标是寻找到各个赛道的潜在独角兽,利用 CertiK 的资源以及我们全周期的服务来帮助他们完成从 0 到 1,从 1 到 100 的过程。同时,我们也会进行战略投资,在二级市场我们也会押注一些赛道和项目。

Techub News:相较于其他安全审计公司,CertiK 有什么独特之处?

顾荣辉教授:Messari 在 2022 年的一篇报告中提到,2021 年 CertiK 几乎是以一己之力把 Web3 的安全审计变成了一个赛道,并成为了这个赛道里的独角兽。在那段时间,CertiK 的市场份额就达到了 60% 到 70%,成为当时整个 Web3 行业中第 13 家除了交易所外大家公认有潜力 IPO 的独角兽公司。

​在 2022 年,CertiK 的估值就超过了 20 亿美元。最头部的投资机构比如红杉、高盛也都投了我们,这同时也说明了我们在合规方面做得非常到位,我们完全有能力接受美国商业投资银行的合规调查。

我们不仅局限于数字资产的保护,还会积极参与白帽行动,比如最近我们因为找到了苹果 Vision Pro 里的一些安全漏洞收获了苹果的官方致谢,这已经是CertiK第6次收获苹果的致谢。去年,我们还入选了三星的安全名人堂,此外还得到了阿里巴巴、字节跳动等9家传统互联网行业的认可,这些在整个 Web3 行业里都是非常少见的。而且我们应该是唯一一家拥有 SOC 2 和 ISO 认证的 Web3 的安全公司。这使得 CertiK 成为很多的传统企业进入 Web3 领域寻求安全帮助和安全服务的首选。一些大型银行比如 DBS、UBS 等就会选择我们作为主要的安全提供方。

CertiK 在技术上也有很大不同。首先 CertiK 可以同时服务很多家公司。CertiK 之所以能够做到这一点是因为我们有很多内部开发的工具,比如支撑于形式化验证的工具,以及很多自动化的工具和成体系的安全审计的流程。

并且我们是 Web3 领域唯一一家公开审计报告的公司。我们拥抱透明度,鼓励同行进行监督、分享和学习。另一方面,我们的每一个错误都将置于整个行业的审视之下,所有人都能看得到。这对我们来说其实是一个双重的压力,不过这也是督促我们前进的方式。

Techub News:在过去的一年当中 CertiK 有遇到过哪一些安全挑战吗?CertiK 又是如何应对的?

顾荣辉教授:随着技术栈的前移和 ZK 技术的兴起,Web3安全面临的技术复杂性显著增加。ZK 的复杂程度远超之前区块链的大部分应用,ZK 该如何完成安全审计,这其实是一个非常大的难题,对此行业也进行了很多的探索。像 CertiK 选择了一个比较重大的尝试是和 zkWasm 一起合作,完成了 zkWasm 所有 ZK 电路翻译相关的全面形式化验证,这在行业内尚属首次,也是目前唯一一次成功的尝试。我们也发布了一系列 ZK 电路相关形式化验证的视频,其中多个视频的播放量都超过了 100 万次。

zkWasm 的完全形式化验证其实非常困难,其中包括怎么进行数据上的建模、怎么做形态验证、怎么样一条一条完成 ZK 存储用例的验证工作、如何提高人效,才能将这一技术进一步规模化。目前,我们正在提交相关技术的论文,预计论文发表后,这些技术将对行业产生更深远的影响。

以上就是我们面临的第一个挑战,如何在行业技术快速迭代、复杂性飞速增长的情况下,适应并提供同等级甚至更高等级的安全服务和产品。

我们面临的第二个挑战在于大众对于审计安全的认知缺失。安全审计的必要性已经成为业界的共识,但对于在安全上的投入应该达到何种程度,行业尚未有明确的答案。

在这方面,我们确实遭遇了不少挑战。一些项目方在进行安全审计时,往往只提交部分代码以供审查,他们对于安全的态度仅限于希望对社区有个交代。这种做法实际上埋藏了许多安全隐患。一旦真的发生攻击,作为审计方就会面临很大的压力。因此,在市场教育方面,我们需要付出更多的努力,以提高项目方对全面安全审计重要性的认识。

我们还会遇到一些其他情况,比如项目方的代码其实没有问题,但在配置环节却出现了问题,如私钥的不慎丢失。从这些过程之中,我们可以发现,安全审计其实是一个静态的一个点。

但安全服务需要在整个项目的全周期进行,因为随着项目进展和环境变化,所需的安全产品和服务也会相应变化。然而,目前许多项目方还没能形成这样共识,这种认识的缺失可能引发诸多安全隐患。

Techub News:CertiK 在提升安全性方面有什么创新或趋势?

顾荣辉教授:面对技术栈前移带来的挑战,比如如何完成 ZK 的审计,传统的个人或小型审计团队已经难以提供足够的支持。但 CertiK 将持续推进形式化验证,未来计划提供共识协议的安全形式化验证服务,以适应这一变化。

并且,我们的审计是系统化的,我们不希望审计还只是停留在人工读代码的阶段,而是实现审计工作的规模化。为此,我们内部已经应用了LLM。我们首先对代码进行分类,然后根据不同的分类,采用相应的审计方法进行验证。

我们的服务不仅局限于 B 端用户,同时也为 C 端用户提供了相应的工具和服务。比如钱包安全扫描的服务,该服务能够检测钱包地址是否授权给存在风险的智能合约、是否持有具有安全风险的代币,以及是否与有风险的地址进行过交互。此外,我们还有一款叫做 SkyInsights 的合规产品,为个人和项目方提供合规相关的服务。

Techub News:C 端个人用户所需要的合规服务主要存在于哪里呢?

顾荣辉教授:举个例子,我们最开始帮助 6 万客户进行地址扫描的时候,发现有近 4000 个地址存在风险,这些地址可能曾经从被制裁的相关地址处收到过汇款或有过交互。这种情况意味着该钱包地址被污染了。如果该钱包地址还将代币打给主合规地址的话,就会造成主合规账户也受到污染,进而可能导致整个钱包被封。

Techub News:那这种情况要怎么处理?

顾荣辉教授:许多 C 端用户可能缺乏对这方面风险的认识,在不了解的情况下与风险地址进行交易,例如选择场外交易(OTC),就可能会带来安全隐患。为了预防这种情况,我们会提供一些地址名单供用户在交互前进行核查,以避免和风险地址产生交互。

如果地址已被污染,我们会帮助用户查出具体是哪一笔交易出现了问题,并提供相应的文件帮助用户解封账号。

Techub News:请分享一些 CertiK 在进行智能合约审计时的典型案例或成功故事。

顾荣辉教授:今年7月,福布斯公布了 2024 年上半年市值超过 10 亿美元中表现最佳十大加密货币,我们的五位客户TON、PEPE、FLOKI、CORE DAO 和 Bitget 均榜上有名。这些客户在早期就选择了我们的审计服务,我们很高兴能助力他们的成功之路。以 TON 为例,CertiK 自 2022 年末起便与其展开了合作,一路见证了其发展壮大。我们为能为这些杰出的加密货币项目提供支持而感到自豪,这也是我们选择推出 CertiK Ventures 的原因,目的是发掘、支持像他们一样的明日之星项目。

Techub News:CertiK 如何平衡安全审计的深度和广度问题?

顾荣辉教授:在深度方面,我们持续深化形式化验证技术,以应对不断涌现的新技术栈,从而不断提升我们的安全防护水平。同时,我们也在积极预见并准备应对未来可能出现的风险,确保我们的安全技术能够适应不断变化的环境。

在广度方面,我们通过规模化的审计流程和分类方法,运用多样化的工具来满足各种安全需求。这种方法确保了项目的可审计性(auditable),即每个步骤都是清晰且可验证的,确保我们能够覆盖更广泛的安全领域。

Techub News:还有哪些您认为是非常重要但我们这次问题中没有涉及到的吗?

顾荣辉教授:现在对于Web3来说正处于一个关键的节点。过去几年,整个行业都处于熊市,众多参与者承受了不小的压力。接下来我觉得会迎来一波快速发展的过程,牛市的回归不仅可期,而且有望持续延伸下去。在这样的背景下,CertiK 正积极寻找并支持那些有潜力在新兴赛道中脱颖而出的项目。我们的目标是通过我们的专业知识和资源,帮助这些项目实现与上一轮牛市中一样的显著增长。

原文链接:https://techub.news/newDetails/?id=1bca98990e1640d5a475a8768dc29e8e

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2170820.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

APP集成人脸识别接口-C#人脸识别API接口

人脸识别技术是一种基于生物特征的识别技术,它通过捕捉和分析人脸特征来识别或验证个体身份。这项技术主要依赖于计算机视觉、图像处理和人工智能算法的结合,一般由第三方人工智能接口平台来提供,例如:翔云、阿里云等平台。 人脸识…

MySql在更新操作时引入“两阶段提交”的必要性

日志模块有两个redo log和binlog,redo log 是引擎层的日志(负责存储相关的事),binlog是在Server层,主要做MySQL共嗯那个层面的事情。redo log就像一个缓冲区,可以让当更新操作的时候先放redo log中&#xf…

选择更轻松:山海鲸可视化与PowerBI的深度对比

在数据分析与可视化的时代,选择合适的报表工具显得尤为重要。山海鲸可视化和PowerBI是市场上颇受欢迎的两款免费报表软件,各有特色。接下来,我们将从功能、优缺点等方面进行对比,帮助你找到最适合的工具。 山海鲸可视化 山海鲸可…

台式机通过笔记本上网

概述: ①将wifi共享给网口 ②网口配置成自协商IP和DNS即可 一、背景 由于台式机只有网口,没得wifi网卡,因此想通过笔记本连wifi,再通过网线将笔记本和台式机连接起来,从而实现台式机通过笔记本的wifi上网,即让笔记本当台式机的…

闭环Token的创新机遇:如何通过控制和定制Token使用提升应用价值

闭环token(Closed-Loop Tokens,简称CLTs)允许在Sui上创建具有定义规则和限制的token,从而实现闭环token系统的创建。与Sui的Coin标准不同,后者允许无限制的使用和转移,而CLTs提供了一种更可控和可定制的方法…

梦到去世的亲人、朋友,多半是这三种暗示!

原创 国学君 国学人生 2024年09月27日 06:00 浙江 梦境一直是人类探索自我内心、情感和潜意识的神秘窗口。 尤其是梦到已故的亲人或朋友,这种情景不仅让人感到惊讶,更引发了深刻的思考。 在这些梦中,往往蕴含着重要的暗示。 本文将探讨梦…

傅里叶变换(对称美)

傅里叶变换(对称美) 冲浪时发现的有趣文章,学习自https://zhuanlan.zhihu.com/p/718139299 摘下来的内容: 傅里叶变换之所以“怪美的嘞”,根本在于它有一种内在的对称性,这一点在上面的图并没有表现出来…

UPS电池监控系统,蓄电池监控,提升电力保障的关键@卓振思众

在当今数字化和智能化迅速发展的时代,电力供应的可靠性变得尤为重要。无论是数据中心、金融机构还是医疗设施,稳定的电源保障都是运营的基石。因此,不间断电源(UPS)系统的有效管理显得尤为关键,而UPS电池监…

【樱花——公式推导,约数个数】

题目 思路 条件是一个等式,那么我们可以用一个变量k来表示x,y两个变量 首先,易知 x , y > n ! x, y > n! x,y>n!令 y n ! k , k ∈ Z yn!k, \;k \in Z_{} yn!k,k∈Z​代入原方程,得到参数方程组 { x n ! ( n ! ) 2 k y n…

expressjs集成swagger文档express-swagger-generator注释配置写法,query传参body传参

expressjs集成swagger文档及注释配置写法,query传参body传参 安装swagger依赖包 npm install express-swagger-generator app.js中初始化 const expressSwagger require(express-swagger-generator);let options {swaggerDefinition: {info: {description: Th…

原码反码补码移码

仅对数值位从右到左顺序扫描,右起第一个1及其右边的0保持不变,其余各位取反 [X补]全部位按位取反末位加1[-X补] [X补]符号位相反[X移] 对真值0具有唯一形式的机器数(机器码)是(移码和补码) 8位补码可以表示的最小负数为-128 1…

Jquery的Canvas交互式表格示例

在 <head> 中添加了 CSS 样式定义&#xff0c;包括 #inputbox 的样式。创建了一个 <div id"container"> 来包含 Canvas 和我们将要添加的单元格元素。#inputbox 样式设置为半透明黄色背景和黑色边框 <!DOCTYPE html> <html lang"zh"&…

在IntelliJ IDEA中设置文件自动定位

当然&#xff0c;以下是一个整理成博客格式的内容&#xff0c;关于如何在IntelliJ IDEA中设置文件自动定位功能。 在IntelliJ IDEA中设置文件自动定位 背景 最近由于公司项目开发的需求&#xff0c;我从VSCode转到了IntelliJ IDEA。虽然IDEA提供了许多强大的功能&#xff0c;…

【前端安全】js逆向之微信公众号登录密码

❤️博客主页&#xff1a; iknow181 &#x1f525;系列专栏&#xff1a; 网络安全、 Python、JavaSE、JavaWeb、CCNP &#x1f389;欢迎大家点赞&#x1f44d;收藏⭐评论✍ 随着发展&#xff0c;越来越多的登录页面添加了密码加密的措施&#xff0c;使得暴力破解变得不在简单&a…

低代码移动端开发:颠覆传统开发方式的趋势

在数字化转型的浪潮中&#xff0c;低代码开发平台已渐渐成为企业与开发者的热门选择。尤其在移动端开发领域&#xff0c;低代码工具的应用正在迅速崛起&#xff0c;并带来了一场深刻的变革。本文将探讨低代码移动端开发的优势、应用场景以及未来的发展趋势。 什么是低代码开发&…

DK5V100R20ST1直插TO220F功率12V 3A同步整流芯片

高性能同步整流芯片 产品概述DK5V100R20ST1是一款简单高效率的同步整流芯片&#xff0c;只有A&#xff0c;K两个功能引脚&#xff0c;分别对应肖特基二极管PN管脚。芯片内部集成了100V功率NMOS管&#xff0c;可以大幅降低二极管导通损耗&#xff0c;提高整机效率&#xff0c;取…

如何在iPad上设置Chrome为默认浏览器

将Chrome设置为iPad上的默认浏览器&#xff0c;不仅能够享受到谷歌强大的搜索功能和丰富的扩展生态&#xff0c;还能通过一系列自定义设置来进一步提升浏览体验。本文将详细介绍如何在iPad上完成这一设置&#xff0c;并探讨如何通过优化Chrome浏览器的相关功能&#xff0c;让您…

基于python+flask+mysql的音频信息隐藏系统

博主介绍&#xff1a; 大家好&#xff0c;本人精通Java、Python、C#、C、C编程语言&#xff0c;同时也熟练掌握微信小程序、Php和Android等技术&#xff0c;能够为大家提供全方位的技术支持和交流。 我有丰富的成品Java、Python、C#毕设项目经验&#xff0c;能够为学生提供各类…

开发受用户喜欢有声听书APP:快速满足用户需求的秘诀

随着音频内容的流行&#xff0c;越来越多人选择通过听书和播客获取知识和娱乐。面对激烈的市场竞争&#xff0c;开发一款能满足用户多样需求的音频软件&#xff0c;对创业者来说是个大挑战。那么&#xff0c;如何设计一个既功能全面又受用户喜欢的音频软件呢&#xff1f; 为了降…

leetcode1801. 积压订单中的订单总数

给你一个二维整数数组 orders &#xff0c;其中每个 orders[i] [pricei, amounti, orderTypei] 表示有 amounti 笔类型为 orderTypei 、价格为 pricei 的订单。 订单类型 orderTypei 可以分为两种&#xff1a; 0 表示这是一批采购订单 buy1 表示这是一批销售订单 sell 注意&am…