作者:黎詩韻,極客公園
在Web3跌入熊市遇冷、并被ChatGPT代表的AI浪潮奪走關注后——有一條賽道依舊火熱,那就是Web3安全。
由于區塊鏈的合約更公開、透明,因此也更容易被攻擊。智能合約一經部署之后,由于它的不可篡改和不可停止,一旦出現漏洞,黑客就能根據源代碼實時攻擊,致使用戶蒙受金錢損失。曾有投資人將Web3安全比作「軍隊」,沒有它的守護,Web3「國將不存」。它是Web3最重要的基礎設施之一,被認為會占到Web3價值的5%-10%。
這一賽道不僅未在熊市遇冷,反而更熱了。當牛市的「泡沫」套利消散后,黑客攻擊的套利會更猖獗。需求帶來行業爆發。據極客公園統計,自2022年中旬熊市以來,Web3安全領域涌現了十余家創業公司,融資額達上千萬美元。
而作為上一輪Web3熊市中涌現出來的公司——CertiK是目前全球Web3安全賽道的第一名。
你可以將CertiK形容為「明星公司」。它的創始人是兩位安全領域的頂尖學者,分別為耶魯大學計算機系主任、終身教授邵中,及其學生、現哥倫比亞大學計算機系教授顧榮輝。2016年,他們研發出了全球首個「無漏洞、不可攻破」的安全操作系統CertiKOS,并于2017年創立公司、將這一技術應用到了Web3領域。
直至2020年DeFi爆發,帶動Web3安全公司的業務水漲船高,2021年CertiK也迅速成為全球第一。據CoinMarketCap數據,在其所有經安全審計的DeFi項目中,CertiK的市占率達70%。遠遠超過同行。
CertiK擁有稱得上「明星」級別的融資待遇。2021年,在不到一年時間內,CertiK拿了五輪融資,高盛、老虎基金、軟銀愿景、紅杉、高瓴等最豪華的資方爭相競投。公司的估值也迅速飆升至20億美金,成為超級獨角獸——這還是它不斷「sayno」后的結果。
不久前,我們在北京見到了CertiK的聯合創始人顧榮輝——這位「哥大教授」只有33歲,身著一件咖色的西裝,熱情地跟我們握手。由于日常穿梭于中美之間,這是他少有的媒體見面。他的表達欲很豐沛,又處處透露著技術實用主義的影子,正如他的投資人和高管形容的那樣,「少有的將創始人和學者身份合一的人」。
「我們幾乎是靠一己之力把區塊鏈安全變成一個賽道,吸引了很多關注。」他驕傲地說。
但這不是一個只關乎「成功」的故事。根據極客公園調研,一些Web3安全行業的同行,對這家公司的看法爭議頗多。最核心的指責關乎CertiK的安全審計服務,包括為什么有些項目通過安全審計還會出事、誰來審計CertiK的審計等等。當我們將這些質疑拋向顧榮輝時,他并不意外,并打趣道,CertiK是「譽滿天下,謗滿天下」。
這位創業者面臨的核心困境在于,作為一個中心化的機構,該如何在Web3這個強調去中心化的世界里,獲取信任。這和幣安面臨的困境相似。
對此,CertiK的解決方法也是像幣安一樣,盡可能地公開透明——目前,CertiK是唯一將安全審計報告全部公開透明的Web3安全公司。
但顧榮輝也承認,CertiK仍有許多需要改進的地方。尤其是在Web3安全的領域,在教育用戶方面,這條道路更是漫長的。
以下是經過整理的對話全文:
一、安全攻防之外,
更要防止「公信力」被濫用
極客公園:2月3日,DeFi項目OrionProtocol遭到黑客攻擊,損失近300萬美元。而這個項目是CertiK審計的,為什么CertiK沒有審出它的代碼漏洞?
顧榮輝:出問題的代碼并不在我們審計的范圍以內。比如項目方有兩萬行代碼,出于各種考慮,它只把自認為最核心的代碼進行了審計,但剩下的上萬行代碼沒有審計,會有很大概率出問題。如果不在審計范圍內,審計方不應該受到指責。這聽起來很像「甩鍋」,但確實是審計公司最無奈的地方。
極客公園:所以這本質是因為項目方自己的問題?
顧榮輝:因為安全審計是一筆不小的開支,很多項目方只想把最核心的代碼做安全審計,其余的代碼就不做審計了。或者只給第一版代碼做審計,更新的代碼就不做審計了。
這也是為什么,盡管Web3安全公司這么多,但還是有項目不斷被盜、安全事件還是越來越多。因為項目方對安全的重視程度還是不夠。大家雖然在安全上花了錢,但花得還不夠,應該做完整的代碼審計。
印度正與全球多家央行就CBDC跨境支付進行對話:7月5日消息,印度儲備銀行(RBI)目前正與至少18個其他國家的央行就“數字盧比”跨境支付的可能性進行對話。根據印度《經濟時報》6月27日的報道,印度央行行長Shaktikanta Das于6月份在倫敦的演講中,強調了外貿基礎設施對“數字盧比”的重要性,該數字盧比將于7月初在當地達到100萬用戶。Das表示,“但跨境支付也將變得更快、更無縫、更具成本效益。這是另一個需要給予大量關注的領域。我們一直在與其他已經推出或正在推出CBDC的央行進行對話。”
報道稱,自2022年7月以來,已有18個國家的銀行開設盧比Vostro賬戶。Das解釋稱,印度希望提供其CBDC作為各國進口印度商品的支付方式,以幫助那些因美元供應而苦苦掙扎的國家。[2023/7/5 22:19:21]
極客公園:為什么在最重要的安全問題上,項目方會舍不得投入?
顧榮輝:因為目前很多項目方做安全審計的目的,并不是真的為了「安全」,而是給投資人、用戶、交易所「交差」。「你們看我是愿意花錢的,我是做了安全審計的,我都找了CertiK,最好最貴的審計公司。」那它只做一部分代碼審計,也可以有相同的陳述。
極客公園:聽起來項目方是讓審計公司背了「鍋」?
顧榮輝:用一個不恰當的比喻,在CertiK這么大市場占有率的情況下,我們的「鍋」都快背不過來了。
這也是我們強烈要把安全審計報告公開透明的原因之一。到目前為止,整個區塊鏈行業除了CertiK之外,沒有任何一家安全公司會把所有審計報告完全透明公開。因為我們希望用戶在網上清楚地看到,項目方有哪些代碼審計了,哪些代碼沒有審計。我們不希望CertiK變成一個「章」、一個防盜的「證書」,公信力被濫用。
極客公園:你什么時候做出的將審計報告公開透明的決定?
顧榮輝:2020年下半年。那時候DeFi非常火爆,Web3安全公司業務增長很快,我們很快就變成了全球第一。緊接著,很多項目都宣稱是找CertiK做的安全審計,但其實并不是。所以我就在想,應該讓這個事情變得公開透明,不要讓用戶被誤導。
極客公園:這個決定有效嗎?普通用戶真的會去看你們的報告嗎?
顧榮輝:大部分普通用戶不會去看。甚至我們公開之后,反而有很多人罵我們。因為我們公開之后,任何我們的關聯項目出事后都是公開的,而用戶如果在這個項目上受損失了,他不會去管這是不是在你的審計范圍之內,他一定會很生氣、要來罵你。所以即使到今天,很多我們公司內部的人、包括投資人,都不贊同我們將報告完全公開。
不過對于專業的機構來說,大家還是會去看審計報告并做出準確的判斷。2月,CertiK的市占率第一次超過了70%,我們客戶問卷的調查滿意程度也在90%以上。很多客戶還給我們寫了衷心感謝的話。但這些客戶不會去社交平臺上發言,他們只會一次次和你合作。
Twitter上關于CertiK的討論?|圖片來源:Twitter?
極客公園:如何讓普通用戶更好地意識到這點?
顧榮輝:我們一直在努力地去完成這個行業的用戶教育。2018年,我們剛創業的時候,主要是教用戶去看項目方「有沒有」安全審計。但到了2020年,我們開始推出安全展示板,就是去教育普通用戶,安全審計不是一個「章」,而應該是一個「動態的指標」。
我們會綜合各項指標,給項目方打安全分。這個安全評分每15分鐘會更新一次,比如你現在代碼沒有問題,但如果更新了代碼,評分就會實時變化。用戶還可以在安全展示板上,訂閱關于項目方的幾項關鍵安全指標,隨時收到變化通知。
我們希望一步一步地幫用戶轉變對Web3安全的觀念。但這是一條很長的路,而且很難很難很難。
CertiK安全展示板|圖片來源:CertiK
極客公園:去年,你們安全展示板的官方推特說,「你知道嗎?@orion_protocol是CertiK官網上唯一安全評分為100/100的項目。」項目出事后,很多人在推特評論里罵你們。
顧榮輝:是的。因為在那個時間段,這個項目確實是排名最高的安全評分。但這個安全評分是動態的,每15分鐘都會發生變化,更不要說橫跨一年之久。
極客公園:有Web3同行評價你們是用真正的互聯網思維在做產品。你贊同這個評價嗎?
CryptoFed要求與SEC就禁止銷售代幣令進行對話:1月19日消息,美國證券交易委員會(SEC)于2022年11月禁止CryptoFed DAO LLC注冊和銷售代幣,而CryptoFed在聽證會上表示曾尋求與SEC進行對話但并未獲得答復。
CryptoFed稱,SEC選擇直接禁止而不是為其提供機會來處理所提交的文件并解決問題,是對其進行不公平處理。(Theblock)[2023/1/19 11:20:19]
顧榮輝:我覺得我們的出發點,還是在思考用戶和行業的需求和痛點。
說白了,安全攻防只是第一步,但你不能只做安全攻防。就像大家現在看CertiK,是安全攻防為基礎,但更看重的是我們的「公信力」。
那么如何防止別人利用你的「公信力」來做不好的事?這導致我們不停地思考,到底該怎么往前走。這個行業絕大多數公司還沒有「公信力」的困擾,沒有用戶在推特里罵他們的壓力。我覺得我們真的是被逼出來的。
二、監測到有異常的項目,
我們主動曝光出來
極客公園:Web3安全審計不只是技術層面,也包括人性層面。比如有些項目方會「監守自盜」,故意設計代碼漏洞,卷走用戶的錢。人性是不是比技術更難審計?
顧榮輝:我們永遠相信去中心化、代碼,但代碼也會出現人性的問題。比如這種俗稱的「土狗項目」,我們稱之為高風險項目,它們可能因為本身的設計問題、或者代碼問題實在太多,最后會導致投資者損失慘重。
今天,Web3世界被詐騙的錢甚至多過了被盜的錢。
極客公園:這種「土狗項目」該如何識別?
顧榮輝:其實純靠看代碼是非常困難的。尤其是他們給我們的代碼,可能和真實部署的代碼都不一致。
所以我們推出了KYC服務。我們內部有兩個KYC團隊,一個是常規的KYC,比如一個項目過來了,我們能不能簽約,要做最基礎的評估。但這能做到的有限。而另一種是目前行業內最嚴格的KYC服務,會有很嚴格的審查流程,我們會為通過的項目方頒發KYC專屬徽章并公開展示在官網上,目前從來沒有拿到KYC徽章的項目出問題。但我們無法強制項目方申請這種嚴格的KYC徽章。
CertiK的KYC服務|圖片來源:CertiK
這兩支KYC團隊加起來有20多人,比一些小的安全審計公司人還多,成本很大。我們為什么要這樣投入?就是希望盡可能避免這種高風險項目。
極客公園:你們對高風險項目的判別是主觀的、還是有根據現實和規律推導出的標準?
顧榮輝:和審計類似,KYC既有主觀的判斷、也有客觀的規律。其實通過KYC服務,我們已經拒絕了30%以上的客戶。要不然我們的市場范圍會更廣。
極客公園:但2022年1月,經你們審計的項目ArbixFinance被標記為「RugPull」,當時是沒識別出來嗎?
顧榮輝:我們要根據項目方提供的客觀信息做判斷,這本身的難度就比較大。在項目方刻意隱瞞造假之下,挖掘蛛絲馬跡的難度更是直線上升。
但我想強調,ArbixFinance這個事,是我們自己監測到異常之后,主動曝光出來的。這對我們來說是不利的,你不會看到其他服務公司去做這種事情。但我們就公開在自己的官網上,因為這是應該去做的事情。
極客公園:在客戶利益和公眾利益之間,你會選擇后者?
顧榮輝:對。如果你發現一個項目可能有問題,你要不要大聲說出來?我覺得要,哪怕是我們自己的客戶。
包括我們的審計報告里,會單獨寫一章項目方的「中心化問題」,核心就是如何讓公眾了解項目的中心化風險。很多服務公司不會這么做,因為會得罪客戶,但我們堅持要這么做。
極客公園:你不怕跟項目方的關系很尷尬嗎?
顧榮輝:客戶肯定不開心,這肯定對我們的業績有負面影響。而且你報了這個項目有問題,項目的投資人恨不恨你?參與人恨不恨你?合作伙伴恨不恨你?真的負反饋很大。
在推特上,其實大部分關于CertiK的負面內容和黑客攻擊沒什么關系,主要是針對我們披露了項目方的負面信息。比如我們曝出這個項目有中心化風險,項目的用戶就開始罵我們,甚至組織水軍給我們打低分。
但還是那句話,如果這是對行業有利的事情,我們就應該去做。
幣信對話Nic Carter:區塊鏈更像是批發網絡 而不是零售網絡:幣信全球商務拓展總監在幣信直播間對話Coin Metrics創始人Nic Carter,探討早期互聯網發展和比特幣發展。Nic Carter表示:我認為主要區別在于這是一場貨幣革命,而互聯網是一場通信革命。在全球范圍內,資本第一次真正變得無摩擦。這是一個巨大的變化。我認為這最終將殺死最弱的主權貨幣,因為它們會選擇更堅挺的貨幣(例如美元)并拒絕本國貨幣,就像厄瓜多爾那樣。比特幣是一種非國家貨幣商品,如果人們選擇它,它有可能成為中立的全球儲備資產。互聯網在其歷史的大部分時間內還是一場面向消費者的革命,而我想說的是,公共區塊鏈更像是批發網絡,而不是零售網絡。從根本上講,普通用戶很難存儲私鑰并且安全地進行交易。因此,我們看到了行業中出現大量中間媒介。我認為大多數用戶最終都將通過銀行、交易所或托管人與公共區塊鏈進行交互。但是無論如何,他們將從這些資產中獲得全部價值。[2020/7/3]
極客公園:你會去社交平臺上看那些負面評論嗎?
顧榮輝:我是真的都會看。外界覺得,CertiK好厲害,這么好的數字、這么多的融資。但實際上,外界對我們也有很多負面評價和報道,我們賺的是壓力很大的錢。
我之前聽到一句話叫「譽滿天下、謗滿天下」,很多事情都是有兩面性的。譽滿天下指的是他在用你的產品,謗滿天下指的是他邊用邊罵。我覺得是好事,這樣才知道哪里不足、怎么提高。
極客公園:關于KYC,我看到有傳言說,你們某個項目方跑路之后,用戶聯系CertiK,CertiK說聯系不上項目方。這是真的嗎?
顧榮輝:這是有的。因為常規的KYC太容易造假了,你要了一套KYC的東西,但出了事誰都找不到。如果項目方通過的是我們最嚴苛的KYC,有KYC徽章的就不同了,這種情況下我們一定能和執法機構配合。
極客公園:當用戶的錢被卷走后,追回的可能性大嗎?
顧榮輝:我們和很多監管部門聊過,得出的結論是,追回資金最大的問題是必須要有執法力。但很多時候我們沒有執法力。
三、從學術圈到Web3世界,
技術實用主義與去中心化信仰
極客公園:你最早接觸區塊鏈是什么時候?
顧榮輝:大概是2012、2013年。當時我剛從清華本科畢業,進入耶魯大學計算機系「高可信軟件聯合研究中心」,跟著邵中教授讀博。
當時跟我在同一個辦公室的師兄叫蔣信予,他的化名叫「Friedcat烤貓」。我第一次對區塊鏈產生興趣,就是從他那知道的。
極客公園:烤貓在區塊鏈世界非常有名,是國內比特幣最早的布道者。
顧榮輝:他是比較早一批開始用ASIC機器去挖礦的,做礦機做的很成功,對整個區塊鏈世界影響很大。最后他博士輟學,回國做了這個。
回過頭來,為什么烤貓在區塊鏈世界做的很成功,我覺得可能是一種科研的思維方式。我們會從一個更基礎的層面考慮這些問題,所以大家會做出很多創新性的東西。
極客公園:當時你自己買幣嗎?
顧榮輝:當時沒有買過。
極客公園:像烤貓這樣一個偏原教旨主義的人,他對你有什么影響嗎?
顧榮輝:我覺得他對我學術上影響大一點。因為他是我的師兄,在科研上他幫助我很多,包括形式化驗證的很多知識。我們甚至在同一個項目CertiKOS,但是他后來離開了。
極客公園:CertiKOS也是你后來創業的重要技術基礎。
顧榮輝:對。我們研究的形式化驗證技術,簡而言之就是通過數學方法,證明你的代碼和你的設計是等價的,沒有漏洞。
這項技術在軟件上的應用一直是學術痛點。它過去一直被應用在硬件上,因為硬件是固定的,證明空間有限。但軟件是可編程的,證明空間可以到無窮大。我在讀博的時候,就想解決這個問題。
2016年,我們終于完成了這個技術突破,做出了CertiKOS。這是目前世界上第一個、也是唯一一個完全經過形式化驗證的多核操作系統內核。當時我們把它用在了無人車Landshark上面,被評價為「無懈可擊」。2018年我們創立了CertiK,希望把這項技術用于實際生產中。
極客公園:這項技術可以應用的領域有很多,為什么最終你選擇應用到區塊鏈或Web3領域?
火幣尖峰對話索老頭:以太坊DeFi生態崛起 未來還是公鏈老大:6月24日下午,在由火幣主辦的火幣尖峰對話“Waiting For ETH2.0”系列AMA活動中,火幣礦池與dForce創始人楊民道、Infstones Head of Bussiness Sili、Stafi&Wetez創始人卡咩、真本聰聯合創始人索老頭就“乘風破浪的以太坊DeFi ”展開主題討論,深度解讀ETH2.0將給行業帶來的重大影響。
真本聰聯合創始人索老頭對ETH2.0的到來表示歡迎,在他看來,隨著以太坊DeFi生態的崛起,以太坊作為公鏈老大的地位將繼續得到鞏固,新公鏈和以太坊殺手殺出重圍的可能性又減少了很多。他進一步表示,以太坊發展至今,仍然在不斷進行自我迭代,生態也在不斷發展。而新公鏈發展至今,收效甚微,令人倍感失望。因此總體來說,以太坊2.0雖然會很曲折,但是它將繼續擴大以太坊DeFi生態。[2020/6/24]
顧榮輝:因為當年Web3發生了幾起很大的安全事件。2016年,TheDAOattack,被認為幾乎是人類歷史上最大的一起攻擊事件,超過幾百萬枚以太幣被盜,換算到現在就是幾十億美金的損失。那時候區塊鏈才剛剛開始火,這些攻擊事件讓大家意識到,Web3安全非常非常重要。大家希望能改變區塊鏈的安全狀況。
當時以太坊基金會也好,包括V神本人,都做了很多調研。然后他們發現同一時期有一個技術突破,就是CertiKOS。當時很多人找我們聊了很多輪,探索把這個技術用到區塊鏈領域、智能合約領域的可能性。后來我們成立了CertiK,還拿到了以太網基金會的撥款。
極客公園:感覺CertiK的誕生是新技術成果和市場需求的碰撞。
顧榮輝:因為區塊鏈面對的安全挑戰是前所未有的,區塊鏈的合約公開、透明,導致它更容易被攻擊。
傳統的安全平臺看到漏洞后,可以打補丁、升級系統。但區塊鏈是一個世界計算機,沒有人可以停掉它,智能合約一旦部署之后,就很難改了——就像打開潘多拉的魔盒。
這個場景就像什么?假設我是黑客,我可以看著你的源代碼找漏洞,實時攻擊。而你甚至沒有辦法打補丁阻止攻擊,只能眼睜睜看著我把錢取走。傳統安全損失的只是一些用戶數據,但區塊鏈直接損失的是錢。由于這些原因,我們的形式化驗證技術就很適合用于區塊鏈世界的防御。
極客公園:但很多Web3安全公司都宣稱有形式化驗證技術。
顧榮輝:我們、尤其是邵中教授是形式化驗證技術的世界級權威專家,CertiK也是最先把形式化驗證技術應用到Web3領域的。系統形式化驗證過去十年很多里程碑式的科研成果,都是邵中教授實驗室和我在哥大的實驗室做出來的。現在很多安全公司都會宣稱有形式化驗證技術,但是大部分都是宣傳目的,技術儲備并不充足。
極客公園:我聽你的投資人說,這項技術成果也可以用于很多別的安全領域?
顧榮輝:沒錯,我們已經應用到了芯片、云、操作系統等領域。比如ARMV9處理器上隱私計算架構的安全驗證、螞蟻云原生的HyperEnclave的安全驗證都是我們做的。因為這些也都是底層的構建,需要在部署之前就做到盡可能安全,安全率要達到99%以上。
但我們現在的主營業務還是在Web3領域,我認為能把一件事情干好,就已經非常難了。我沒有辦法眼睜睜地看著這么大的痛點,還去做別的事。
極客公園:從研究技術的學者,到開公司的創業者,這種身份跨越有難度嗎?
顧榮輝:在創業之前,我還在谷歌呆了一年。當時我剛從耶魯博士畢業,推遲了一年哥大給我的助理教授offer。我當時覺得,如果我以后去創業,會有很大的gap,因為我一直在學術圈呆著、沒有工作經驗。所以我決定去谷歌這家頂級互聯網公司體驗一下。
這段經歷對我創辦CertiK的幫助很大。它讓我思考,「當你在做一件別人沒做過的事情時,你應該怎么做?」谷歌是第一家做搜索引擎的公司,這個東西到底是什么、應該做成什么樣子,都需要它自己回答。這跟我創立CertiK的感受是一樣的。
CertiK的審計報告|?圖片來源:CertiK
極客公園:學者和創業者都是不容易做的工作,你怎么能兼顧兩者?
顧榮輝:教授和創業者幾乎是大家認為最忙的兩個職業。但我認為,這兩重身份有一樣的底色,就是找到有挑戰性的問題,再將自己全身心的精力投入進去、將問題攻克。對我來說,這兩者的目標幾乎是統一的。這也是我能夠堅持下來的原因。
對話以太坊聯合創始人:2018年將拉開區塊鏈時代序幕:在昨日舉行的SXSW閉門會議中,以太坊聯合創始人Joseph Lubin表示:“2018年將是區塊鏈的應用落地年。今年是區塊鏈大規模應用落地年,其中音樂、新聞、科學研究、自主ID等領域會是區塊鏈應用發展的重點方向。“創大資本創始人、董事長許洪波教授也認為2018年會出現區塊鏈領域的獨角獸,包括中國在內也會出現很多優秀的區塊鏈項目和區塊鏈團隊,創大將從基礎層和應用層兩個方面尋找到區塊鏈獨角獸的機會。[2018/3/11]
當然,這兩個身份的不同之處在于,學者不太用考慮什么時候商業化落地的問題,但創業者需要在一定時間內、至少給出一個商業上可以接受的答案。這也是很多學者企業的挑戰。但很多投資機構都說,我們算是它們見到的比較成功的學者企業。
極客公園:作為Web3創業者,你有去中心化信仰嗎?
顧榮輝:Web3的去中心化是「incodewetrust」,但是如果這個code本身并不trustworthy怎么辦?也就是codebug,這是CertiK要去解決的問題。你要說信仰,我們的信仰就是這個。
極客公園:你的同行說,做Web3安全也離不開「正義感」。你有這個東西嗎?
顧榮輝:我理解的正義感就是關于所做的事情到底是不是正確的,對這個世界產生了什么價值?
我可以很自豪的說,我們通過ARM的V9處理器的CCA架構的安全驗證,未來可以為上千萬臺設備保障隱私安全。我們在Web3的智能合約和區塊鏈系統里找到了6萬個bug,為項目降低了風險。這些是正確的,也是我們創造的價值。而且這不是別人通過我的論文幫我實現的,而是我自己實現的。
這些貢獻,不管是把學術往前推進了一點點,還是讓用戶損失減少了一點點,都可以說是由正義感驅動的。
四、吃下七成市場,
靠的是機審提高效率
極客公園:和CertiK同批成立的Web3安全公司有很多,為什么最后CertiK成了行業第一、吃下了70%的市場份額?
顧榮輝:我們對Web3安全行業的看法非常不同。
其他所有的公司,它們想做的是比較「手工式」的小團隊模式,比如組建「白帽」團隊,參加攻防大賽,找代碼漏洞、拿賞金等等。
但我們最開始想的是,希望從根本上去改善整個行業的安全現狀。我們希望服務大量有安全需求的公司,提供規模化的技術服務。所以我們從一開始就很注重工具和安全引擎的開發。
極客公園:規模化的愿景是怎么誕生的?
顧榮輝:因為我們看到整個Web3或者區塊鏈行業的創新,大部分都是來自很小的團隊。從中本聰開始,沒有哪個創新是來自大的公司。因此我們希望通過規模化,降低審計成本,服務好大量的中小團隊。
比如Sandbox,算是元宇宙的發起項目之一了。但2019年他們找我們做安全的時候,這個公司的估值只有600萬美金,錢非常少。如果我們不能服務這樣的小公司,那這樣的項目可能經歷一次安全事件就「死」了,很多Web3的創新就不會有了。
所以我們認為,如果Web3行業要發展,就必須讓中小型的機構也能享受到這種最高級的安全服務。而且也只有這樣,CertiK才有可能做成一個非常大的企業。
極客公園:通過規模化,CertiK把審計成本降低了多少?
顧榮輝:2019年,美國傳統的安全企業做一次Web3安全審計,只是部署非常簡單的智能合約,報價都是幾十萬美金。而現在,對普通客戶,我們的報價可以到壓到幾萬甚至幾千美金一次。我們把Web3安全審計的費用降低了90%以上,并且我們還在繼續降低。
極客公園:規模化不僅是一種意愿,更需要能力。你們是怎么規模化獲客的?
顧榮輝:其實獲客更多是項目方來找我們。很有意思,2021年11月,CertiK剛剛完成獨角獸那輪融資、估值達到10億美金的時候,我和McAfee的前CEO吃飯。他問我說,你們有多少個SalesBD?我說我們大概有6個,我說你們有多少?他說他們有4000個。
極客公園:你們如何有能力承接大規模訂單?
顧榮輝:我們是創造了一套安全引擎,盡量減少安全專家的工作,從而提高審計效率。但是所有的報告、所有的條目都會通過安全專家的審核。我們只是不讓安全專家簡簡單單的直接讀源代碼。
極客公園:所以你們的核心優勢是這套安全引擎?
顧榮輝:對。這個安全引擎類似于ChatGPT。它會自動檢查源代碼的問題、甚至模擬攻擊,接著安全工程師會對它提出的問題進行反饋,是對的還是錯的、為什么,你可以理解為這是一種標注后的數據。而這些數據會回到引擎、不斷地訓練引擎。
也就是說,即使我們的技術不發展,但只要我們能見到更多的代碼、有更多的人對它進行標注,我們的引擎就會變得越來越好。然后我們的安全程度會越來越高,并有越來越多的客戶,而這又會讓引擎越來越好。就是這樣一個正循環。
極客公園:有人說,Web3行業大部分代碼都是copy的、沒有什么創新,所以可以大規模去做審計。
顧榮輝:目前整個區塊鏈的buildingblock確實沒有那么多,這也是為什么我們認為這個行業可以實現自動化。如果不存在這個特性,這條路最開始是很難走的。
但這并不代表我們的審計工作輕松。因為往往被攻擊的都是仿盤項目,它就改了10行代碼,這10行代碼就改出問題來了。
而且我們也做了很多極具創新性、極難的項目。比如2022年區塊鏈安全事件就圍繞兩個字,跨鏈。跨N條鏈,就是N*N的復雜度,它的技術難度遠遠超過我們以前見過的所有項目。但很多小團隊沒有同時覆蓋多條鏈的能力,反而是CertiK,因為在所有鏈上都有很多客戶,積累了比較全的跨鏈數據,才能去做。現在很多跨鏈項目的安全保障都是CertiK在做。
CertiK的市場占有率|數據來源:CMC
極客公園:大量的自動化審計,如何保證審計質量?
顧榮輝:這是一個好問題。為什么傳統安全公司一直是小團隊模式?因為規模化之后,很難保證安全率、安全質量。因為你一個月接500個訂單,就算你的安全率達到99%,平均每個月也會有5個項目爆雷。公司一下就不行了。
CertiK是有一套監控系統,去監控我們的自動化審計+人工核對的工作是不是合格。每一份報告,我們都會根據安全專家的行為、報告結果、跟同類項目的比較,評出一個「自信分」。一旦這份報告的自信分低于某個閾值,我們會啟動相應流程處理。
極客公園:那為什么2020年「LIENFINANCE」這個項目的漏洞,還是有人在網上幫你們找到的?
顧榮輝:理論上沒有一種技術可以確保軟件100%的安全。
我們從來不強調「CertiK就是萬無一失的」。這也是我們把所有審計報告公開的原因。公開的審計結果,給了所有人都可以來檢查的機會,讓更多人可以找到代碼問題,讓項目更安全,這比CertiK的品牌聲譽重要得多的多。
極客公園:有項目方說,它找了好幾家審計公司,CertiK審出來的漏洞是最少的。
顧榮輝:我相信絕大部分情況不是這樣的,目前市面上公開的報告可以佐證我們的觀點。
不過確實有一些情況,比如有的項目方在和小團隊合作時,小團隊會把所有人都撲在一個項目上,會有非常頻繁的溝通,很多小的問題也都會和項目方反復確認,有非常多的反饋和交互。但是CertiK是規模化的,是一次性的直接出報告,自動化程度高,會忽略我們認為不重要的問題,也缺少和項目方反復確認的過程。體驗確實不同。
目前我們在針對這個問題進行改進,比如利用ChatGPT,在實現規模化的同時帶給客戶更好的服務體驗。
極客公園:因為CertiK審核過的代碼出現漏洞,導致項目方損失,你們會承擔什么責任嗎?你們會跟項目方道歉嗎?
顧榮輝:首先,這樣的情況并不多。其次,如果出現損失,我們第一時間是幫用戶減少損失、追回被盜資金。之后我們會出具很詳細的報告,說明為什么會發生這個情況。責任的話,就像我們一直強調的,審計報告不是一枚章,不是「防彈證書」,而是一個動態的安全評估。
極客公園:你的同行表示,CertiK審計了近6000個項目,暴雷了好幾個。但它們審計了2000多個項目,卻沒有一個出問題。你怎么回應這個觀點?
顧榮輝:我不太清楚這里提到的2000多個項目的報告是否公開。沒有公開的話,我們很難進行分析和回應。這也是我們一直提倡大家公開審計報告的原因。
Rekt是一個第三方的權威統計網站,它會看攻擊漏洞是否在審計范圍。在Rekt統計的一百多起Web3安全爆雷事件中,在CertiK審計范圍內的一共就三起。而從我們的市占率來看,我們的事故率要遠遠低于行業水平,安全系數應該是最高的。
極客公園:你們作為審計機構,其實并沒有來自監管的壓力。這很難讓人相信你們會有動力把審計做好。
顧榮輝:2022年,我被邀請去達沃斯經濟論壇。當時Circle的CEO、Ripple的CEO,Coinbase的COO、Animoca的CEO,幾個人和我開玩笑說,「CertiK的市占率這么高,會不會變成去中心化世界里的一個新中心呢?」
這和大家對中心化機構的擔憂是一樣的,就是當你做大之后,別人怎么相信你?怎么保證你們每一單的審計都是好好做的?就像大家怎么才能相信中心化交易所不挪用用戶資金呢?
對于交易所來說,它們可以使用「merkle-tree」來公開儲備證明、透明公示平臺的資產狀況。類似的,我們認為對安全審計的監管,最好的解決方案就是公開透明,這樣才能引入外界的監督。
極客公園:公開透明能夠替代監管的壓力嗎?
顧榮輝:這可能比監管的壓力更大。CertiK公開了所有報告,如果我們的報告出了一個漏洞,任何人都能發現,所有不好的東西都永遠留在互聯網的記憶里。
回到那個問題,CertiK到底好在哪、為什么以這么快的速度變成行業第一?拋開所有技術不談,CertiK堅持公開透明,在巨大壓力下倒逼自己,這不就是一個很直觀的「好」的地方嗎?
五、不缺錢,
但反而要拿很多很多錢
極客公園:從2021年開始,CertiK在不到一年的時間內拿了五次融資,囊括了高盛、老虎、軟銀、紅杉、高瓴等最豪華的資方,成為Web3安全領域的超級獨角獸。為什么當時融資這么「猛」?
顧榮輝:因為從2020年開始,DeFi迎來大爆發,很多資本希望進入Web3行業,但它們認為上層應用的不確定性比較高,所以更看好基礎設施。而安全是非常重要的基礎設施,我們又是公認的龍頭企業,所以引入了很多國際、國內的大型投資機構。
Web3安全領域的投資?|?數據來源:Crunchbase)
極客公園:為什么其它Web3安全公司的融資額和估值遠遠不及你們?
顧榮輝:套句俗話,「資本永不眠」,它會不斷追逐有價值的企業。
一方面我們有超強的財務數據和市占率,另一方面可能還是信任問題,基于我們堅持的公開透明的準則。舉個例子,高盛是全球最成功的投行,高盛投資部門的審查非常嚴格,很多Web3公司都未能通過審核。CertiK是為數不多通過高盛投資審核的Web3公司,這對我們是很大的認可。
極客公園:其實在2021年市場非常好的時候,Web3安全公司并不缺錢,所以你的同行決定不拿錢。但你們想的反而是不僅要拿錢,還要拿很多很多錢。你是怎么考慮的?
顧榮輝:這是非常好的問題。CertiK從最開始就是正向現金流,并不缺錢,融資的決策也和很多Web3公司不同。
首先,因為我們是學者創業,都沒有創業經驗,而CertiK和行業面臨的未知太多太多了。我們需要很專業的、最好的投資機構來幫助我們。
其次,雖然CertiK的安全產品得到了廣泛認可,但還遠遠不夠。因為我們的黑客對手非常強,甚至有背靠國家的黑客組織。我們希望開發出下一代的安全產品,比如鏈上主動防御技術。這需要大量的投入,這也是我們融資的最重要原因。
極客公園:所以外界覺得你們拿的錢多,但你覺得跟對手相比,這個錢并沒有很多?
顧榮輝:對。我們融資了2.4億美金,但這跟我們的黑客對手、和面臨的挑戰相比并不算多。
事實上,我們在融資上已經非常克制了。2021年到2022年,一直在對潛在投資機構sayno、sayno、sayno。有很多的offer非常有吸引力,但我們都沒有接。
極客公園:資本扭曲公司發展的事例不算少,引入這么多豪華投資方,你不會有這樣擔憂嗎?
顧榮輝:我們的投資方都是專業、頂級的大型投資機構。到目前為止,他們從來沒有干涉過我們,而是很尊重我們的想法。我記得有位投資人和我開玩笑說,「他如果要指手畫腳,還不如自己去創立公司呢」。
極客公園:關于上市,你有自己的時間表嗎?
顧榮輝:上市肯定是CertiK非常重要的發展節點,我們的很多投資機構比如高盛都很專業,我們會聽取它們的建議。
極客公園:你們賺了這么多錢,又拿了這么多錢,準備怎么花?
顧榮輝:首先,最重要的還是開發下一代Web3安全產品,更好的解決用戶痛點。比如基于CertiK的安全引擎,我們會大規模投入數據能力,包括區塊鏈數據的處理、分析、響應能力等。比如在合約上鏈后發現漏洞,該怎么跟黑客搶跑資金等等,目前還是比較早期的構想。
其次,我們也在看比較好的潛在收購標的。比如跟我們形成技術互補的、生態呼應的公司,能拓展我們在Web3安全賽道的布局。
最后是開拓市場。CertiK現在全球各個市場的份額應該都是最大的。但因為安全需要24小時響應,靠一個純美國團隊來支撐這點很累,同事經常加班到夜里兩三點鐘。所以接下來我們要組建當地團隊,去解決時區問題。
極客公園:CertiK的全球化做得很好。有國內同行說,你們團隊的海外背景天然有更大優勢?
顧榮輝:CertiK的國際化背景可能給我們加分,但應該不是決定性因素。
極客公園:很多國內同行做全球化市場遇阻,你覺得可能原因是什么?
顧榮輝:國內公司出海確實挺難的。首先是語言問題。比如我去韓國,那邊的客戶就問我能不能出韓文版報告?所以很多時候,你覺得英文已經可以全球化了,但其實不是。語言問題會帶來很多限制。
其次是觀念的沖突。國內的安全團隊主要是小團隊模式,員工層級分明、管理嚴格,這帶來的好處是效率比較高。但歐美市場主張管理扁平化。出海時會有管理觀念沖突。
極客公園:安全方面的人才很稀缺,你們怎么吸納人才?
顧榮輝:通過一種使命感去凝聚。比如黑客的獲利更大,但絕大部分安全人才都還是選擇做白帽,因為他們是有追求的。
比如我們的李康教授,他是世界聞名的白帽,放棄了收入更高的工作來到CertiK。所以我們只有做對行業有利的事情、樹立使命感,才能夠凝聚他們。
極客公園:回過頭看,上波熊市跟你們同期創立的Web3安全公司,活到現在的不多了。這種大浪淘沙可以學到什么?
顧榮輝:我覺得跟風是很危險的。
包括因為我們的融資很好,這輪熊市又出現很多新的Web3安全公司。但我覺得目前這個賽道已經非常擁擠了,也很難再有規模化的機會。因為這需要大量的代碼數據、做大量的標注,它們很難超過現有公司的技術積累。
還有些初創Web3安全公司,它們提出了新的審計模式。比如讓項目方在平臺上公開代碼,通過賞金吸引白帽等來審計。但這只對低風險漏洞有效,而那些高風險漏洞,會因為利益誘惑巨大而很難通過賞金找出來。所以這些模式我們都不太認同。
極客公園:聽起來你并不看好這批新成立的Web3安全創業公司?
顧榮輝:我們還是堅持認為技術創新比模式創新更加可靠。
原文標題:BuildingMagi:AnewrollupclientforOptimism 作者:a16z? 編譯:Moni.
1900/1/1 0:00:00作者:0x1987,LKVenture 摘要 BTC已在$27,000-$30,000區間內震蕩多日,我們認為短期內利好出盡,沒有新的驅動因素促使市場上漲,BTC可能在120日均線$25.
1900/1/1 0:00:00HALO官方消息稱,將于今日北京時間20:00在其官網舉行OriginesCitizenNFT公售。本次NFT發售共計2000枚,單價1.6BNB.
1900/1/1 0:00:004月16日,由ChainCatcher和RootData主辦的“Zhen”系列活動第二期在香港舉行,本期活動主題為“新周期與新敘事”.
1900/1/1 0:00:00Ripple表示,美國SEC最近在其對該支付公司提起的訴訟中遭遇挫折,此前SEC指控XRP是一種未注冊證券.
1900/1/1 0:00:00香港金融管理局在其今日發布的《2022年年報》中表示,2023年的重點將會包括虛擬資產等,金管局在有關過程中會參考市場最新發展及國際標準的修訂.
1900/1/1 0:00:00