เมื่อวันที่ 11 มิถุนายน ในระหว่างการ Proof of Talk ซึ่งเป็นการประชุมสุดยอด Web3 และ AI ที่ยิ่งใหญ่ที่สุดของโลก Jason Jiang ประธานเจ้าหน้าที่ฝ่ายธุรกิจของ CertiK ได้รับเชิญให้เข้าร่วมการอภิปรายโต๊ะกลมในหัวข้อ "การสร้างความไว้วางใจในโปรโตคอล Web3" ร่วมกับ Oliver Quie ประธานเจ้าหน้าที่บริหารและผู้ร่วมก่อตั้งของ Innerworks และ Denis Ivanov ประธานเจ้าหน้าที่ฝ่ายธุรกิจของ Hacken เพื่อหารือเกี่ยวกับ "วิธีสร้างความไว้วางใจที่แท้จริงและยั่งยืนสำหรับโครงการ Web3"

เนื่องจาก "การตรวจสอบความปลอดภัย" ถูกนำไปใช้อย่างค่อยเป็นค่อยไปในภาษาการตลาด โปรเจกต์ Web3 จะหลีกเลี่ยง "การตรวจสอบซ้ำ" และสร้างความน่าเชื่อถือด้านความปลอดภัยสำหรับอนาคตได้อย่างไร

ที่การประชุม เจสัน เจียง กล่าวอย่างตรงไปตรงมาว่ามีปรากฏการณ์ "การฟอกเงินการตรวจสอบ" ที่สำคัญในอุตสาหกรรมปัจจุบัน นั่นคือ โครงการบางโครงการอ้างว่า "ปลอดภัย" เพียงเผยแพร่รายงานการตรวจสอบ ไม่ว่ารายงานจะตรงเวลา ขอบเขต หรือผลลัพธ์จะเป็นอย่างไร รายงานการตรวจสอบก็จะใช้เป็น "ป้ายความปลอดภัย"

เขาชี้ให้เห็นว่าการตรวจสอบรหัสคงที่ที่มีมาตรฐานสูงนั้นเป็นเพียงส่วนหนึ่งของโมเดลความปลอดภัยเท่านั้น การตรวจสอบนั้นมีความจำเป็น แต่ยังไม่เพียงพอ ความเสี่ยงหลายประการเกิดขึ้นจริงหลังการตรวจสอบ ตัวอย่างเช่น สัญญาที่อัปเกรดได้อาจนำไปสู่การโจมตีรูปแบบใหม่หลังการตรวจสอบ การเบี่ยงเบนจากกลไกการกำกับดูแล หรือฟังก์ชันการจัดการที่ควบคุมโดยบัญชีภายนอก (EOA) ซึ่งอาจทำให้ข้อสันนิษฐานในระหว่างการตรวจสอบล้มเหลว

นอกจากนี้ ยังมีความเสี่ยงที่เกินขีดความสามารถของการวิเคราะห์แบบคงที่ ปัจจัยต่างๆ เช่น โอราเคิล บริดจ์แบบครอสเชน การเปลี่ยนแปลงสภาพคล่อง และความสามารถในการประกอบ ล้วนแต่ก่อให้เกิดการอ้างอิงแบบไดนามิกใหม่ๆ

ดังนั้น เจสัน เจียง จึงเน้นย้ำว่า “ผ่านการตรวจสอบแล้ว” ไม่ได้หมายความว่า “ปลอดภัย”

โมเดลความปลอดภัยแบบโมดูลาร์และแบบเรียลไทม์ของ CertiK

เพื่อรับมือกับความท้าทายเหล่านี้ Jason Jiang ได้อธิบายเพิ่มเติมเกี่ยวกับ “กลไกการตรวจสอบและความเชื่อถือแบบต่อเนื่องและประกอบได้” ที่ CertiK กำลังสร้างและสนับสนุนอย่างจริงจัง

ประการแรก CertiK กำลังส่งเสริมการจัดตั้งกลไกป้องกันการตรวจสอบแบบออนเชนอย่างแข็งขัน นั่นคือ รายงานการตรวจสอบจะได้รับการลงนามแบบเข้ารหัสและจัดเก็บบนเชน และผูกเข้ากับแฮชของไบต์โค้ดเฉพาะสัญญา CertiK มุ่งมั่นที่จะส่งเสริมกลไกนี้เพื่อให้กลายมาเป็นมาตรฐานอุตสาหกรรม

ประการที่สอง คือ การตรวจสอบความปลอดภัยแบบเรียลไทม์และการให้คะแนนความเสี่ยง ผ่านแพลตฟอร์ม Skynet CertiK สามารถตรวจสอบพฤติกรรมการโต้ตอบสัญญา (เช่น การกู้ยืมแบบด่วน การเพิ่มสิทธิ์) พฤติกรรมของห้องนิรภัย จุดเสี่ยงในการกำกับดูแล DAO (เช่น การใส่ข้อเสนอ) และความผันผวนที่ผิดปกติในระบบเศรษฐกิจโทเค็นได้อย่างไดนามิก ข้อมูลเหล่านี้สามารถสร้างโปรไฟล์ความเสี่ยงแบบเรียลไทม์และให้ข้อเสนอแนะสถานะความปลอดภัยอย่างต่อเนื่องแก่ผู้ใช้

ประการที่สามคือการสร้างกระบวนการตรวจสอบอย่างต่อเนื่อง CertiK จะบูรณาการการตรวจสอบความปลอดภัยเข้ากับวงจรชีวิตการพัฒนาทั้งหมด (CI/CD) ซึ่งรวมถึงการทดสอบฟัซซ์แบบแยกส่วนเมื่อโค้ดมีการเปลี่ยนแปลง การใช้การทดสอบแบบจำลองการโจมตี (เช่น หุ่นยนต์ MEV การโจมตีแบบแซนด์วิช) และการเรียกใช้กระบวนการตรวจสอบใหม่เมื่อเกิดเหตุการณ์การกำกับดูแลหรือการอัปเกรด

ประการที่สี่ เรากำลังสำรวจการตรวจสอบด้วยความช่วยเหลือของ AI และการตรวจสอบร่วมกัน CertiK กำลังสำรวจโมเดล AI สำหรับการคัดกรองก่อนการตรวจสอบและการระบุรูปแบบต่อต้านในวงกว้าง ซึ่งจะช่วยให้ผู้ตรวจสอบที่เป็นมนุษย์สามารถมุ่งเน้นไปที่ตรรกะหลักของโปรโตคอล สถานการณ์ขอบ และการวิเคราะห์บริบทของโปรโตคอล จึงบรรลุ "การรับรองความปลอดภัยในวงกว้างผ่านความร่วมมือระหว่างมนุษย์และเครื่องจักร"

การออกแบบโปรโตคอล: รากฐานทางสถาปัตยกรรมของความไว้วางใจ

เมื่อพูดถึงวิธีที่การออกแบบโปรโตคอลส่งผลต่อความไว้วางใจของผู้ใช้ Jason Jiang ยังได้ชี้ให้เห็นเพิ่มเติมว่าความเสี่ยงหลายประการไม่ได้มาจากช่องโหว่ของโค้ด แต่มาจากสมมติฐานทางสถาปัตยกรรม เขาพูดโดยเฉพาะว่าสมมติฐานที่ไม่ชัดเจนเกี่ยวกับสิทธิ์ สิทธิ์ในการควบคุม และกลไกการอัปเกรดเป็นปัจจัยสำคัญที่ส่งผลต่อความไว้วางใจ

เขาได้วิเคราะห์ผลกระทบเฉพาะเจาะจงของเวกเตอร์การออกแบบหลักหลายประการที่มีต่อความไว้วางใจ:

ในแง่ของความสามารถในการอัปเกรดและความไม่เปลี่ยนแปลง หากโครงการจำเป็นต้องรักษาความสามารถในการอัปเกรด การควบคุมลายเซ็นหลายรายการควรเป็นสิ่งที่บังคับใช้ ร่วมกับกลไกการกำกับดูแลแบบออนเชนที่มีการหน่วงเวลา ในเวลาเดียวกัน ชุมชนควรได้รับอำนาจยับยั้งที่ชัดเจน ซึ่งสามารถป้องกันไม่ให้สิทธิ์คีย์ถูกควบคุมโดยบัญชีภายนอก (EOA) จำนวนเล็กน้อย จึงรักษาคำมั่นสัญญาของการกระจายอำนาจไว้ได้

ในแง่ของการแบ่งโมดูลและโอเพ่นซอร์ส ส่วนประกอบหลัก เช่น อัลกอริทึมหลัก การจัดการคลัง และโมดูลการกำกับดูแล ควรแยกและออกแบบให้แยกจากกัน แต่ละโมดูลควรรองรับการทดสอบและการตรวจสอบแบบอิสระเพื่อลดความเสี่ยงที่เกิดจากการอ้างอิงที่ซับซ้อน กลไกการป้องกันความล้มเหลวที่โปร่งใส (เช่น การล็อกเวลา สัญญาที่ระงับได้ และกลไกการรวม) จะต้องมาพร้อมกับกระบวนการฉุกเฉินที่ชัดเจน เพื่อป้องกันไม่ให้ "สิทธิ์ฉุกเฉิน" ที่ซ่อนอยู่มาแทนที่กลไกเหล่านี้

ในที่สุด แนวทางการกำกับดูแลควรเป็นแบบออนเชนและสามารถตรวจสอบได้อย่างสมบูรณ์ จำเป็นต้องเปิดเผยอย่างชัดเจนว่าใครมีสิทธิ์อัปเกรดใดบ้าง กระบวนการอัปเกรดทำงานอย่างไร และกำหนดระยะเวลาอย่างไร ด้วยวิธีนี้เท่านั้นจึงจะสามารถดำเนินการกำกับดูแลได้อย่างแท้จริง แทนที่จะคงอยู่ที่ระดับทฤษฎี

สูตรความน่าเชื่อถือของ Web3: ความน่าเชื่อถือ = รหัส + พฤติกรรม + วัฒนธรรม + การปฏิบัติตาม

เมื่อเผชิญกับความท้าทายที่ไม่เหมือนใครของ Web3 ซึ่งเป็นสภาพแวดล้อมแบบกระจายอำนาจอย่างมากที่ขาดการรับรองตัวตน Jason Jiang เสนอสูตรสำหรับสร้างความไว้วางใจ: ความไว้วางใจ = รหัส + พฤติกรรม + วัฒนธรรม + การปฏิบัติตาม

เขาชี้ให้เห็นว่าความไว้วางใจที่โปรโตคอลได้รับนั้นไม่ได้ขึ้นอยู่กับคุณภาพของโค้ดเพียงอย่างเดียวเท่านั้น แต่ยังขึ้นอยู่กับรูปแบบพฤติกรรมของโครงการภายใต้แรงกดดันด้วย โดยหนึ่งในนั้น มีการดำเนินการสำคัญหลายประการที่มีความสำคัญอย่างยิ่ง:

ประการแรก โครงการควรดำเนินการและบำรุงรักษาโปรแกรม Bug Bounty ไม่ว่ากลไกนี้จะได้รับการจัดสรรเงินทุนเพียงพอ ตอบสนองความต้องการ และมีประสิทธิภาพในการจ่ายเงินหรือไม่ สะท้อนถึงความพร้อมในการดำเนินงานของโครงการและความมุ่งมั่นต่อความโปร่งใสและเปิดเผยโดยตรง

ประการที่สอง เมื่อเหตุการณ์ด้านความปลอดภัยไม่สามารถหลีกเลี่ยงได้ โปรเจ็กต์ต่างๆ ควรเผยแพร่รายงานการรีเพลย์ที่โปร่งใส มีรายละเอียด และเข้มงวดทางเทคนิค รายงานควรอธิบายสาเหตุหลักของเหตุการณ์ ยอมรับข้อผิดพลาดอย่างชัดเจน ประเมินผลกระทบ และเสนอมาตรการปรับปรุง การจัดการดังกล่าวสามารถสร้างความไว้วางใจของสถาบันได้ แม้ในช่วงวิกฤต

นอกจากนี้ โครงการต่างๆ ควรพิสูจน์ถึงความยืดหยุ่นในระยะยาวด้วย ซึ่งรวมถึงความสามารถในการต้านทานความผันผวนของตลาดที่รุนแรง ตอบสนองต่อภัยคุกคามด้านความปลอดภัยได้อย่างรวดเร็วและโปร่งใส และปรับตัวให้เข้ากับการโจมตีใหม่ๆ อย่างต่อเนื่อง Jason Jiang สรุปว่า “ในโลกของคริปโต หนึ่งปีเทียบเท่ากับแปดปีในอุตสาหกรรมแบบดั้งเดิม โครงการที่ดำเนินการอย่างมั่นคงมาเป็นเวลาหกปีเทียบเท่ากับการสร้างความไว้วางใจมาครึ่งศตวรรษ”

การอภิปรายโต๊ะกลมที่ Proof of Talk Summit ได้นำผู้เชี่ยวชาญด้านความปลอดภัยระดับสูงของอุตสาหกรรมมารวมกัน ผู้เข้าร่วมเห็นพ้องกันว่าเพื่อปรับเปลี่ยนรากฐานของความไว้วางใจของ Web3 และส่งเสริมการพัฒนาอย่างยั่งยืน จำเป็นต้องมีการร่วมมือเชิงลึกในหลายมิติ ซึ่งรวมถึงนวัตกรรมเทคโนโลยีพื้นฐาน การเพิ่มประสิทธิภาพการออกแบบโปรโตคอล และการตรวจสอบพฤติกรรมของโครงการในระยะยาว ในบริบทนี้ โมเดลความปลอดภัยแบบโมดูลาร์แบบเรียลไทม์ของ CertiK และการสนับสนุนกรอบความไว้วางใจ "โค้ด + พฤติกรรม + วัฒนธรรม + การปฏิบัติตาม" ได้ชี้ให้เห็นทิศทางการพัฒนาที่สำคัญสำหรับอุตสาหกรรม

ในฐานะบริษัทด้านความปลอดภัยของ Web3 บริษัท CertiK ได้ขับเคลื่อนอุตสาหกรรมให้ก้าวหน้า โดยเปลี่ยนจาก "การตรวจสอบความปลอดภัย" ไปเป็น "ความปลอดภัยในรูปแบบบริการ" บริษัท CertiK จะยังคงมอบรากฐานที่เชื่อถือได้ ปลอดภัย และโปร่งใสแก่ผู้สร้าง Web3 ด้วยผลิตภัณฑ์ตลอดวงจรชีวิต การทำงานร่วมกันของชุมชน และเทคโนโลยี AI