對話CertiK顧榮輝教授：任何時代，都是從對抗「黑暗」開始的

特邀专栏作者

2023-07-21 03:51

本文約3399字，閱讀全文需要約5分鐘

包括智能合約在內的新型創新，也引入了新的漏洞與攻擊模式。在網絡攻擊力量遠超網絡防禦的時代，對於參與第三代互聯網（Web3.0）的人而言，安全風險不容忽視。

在過去幾年中，Web 3.0 行業發展迅猛且受到廣泛關注。在這個全新的數字世界中，數據不再是由少數人掌控，而是由整個網絡共同維護和管理。這將帶來更加公平、透明、安全的數字經濟生態系統。

然而Web 3.0 技術的發展也帶來了一系列挑戰：儘管其去中心化特性為用戶帶來了更大的控制權和自主權，但這也使得攻擊者有了更多的機會來尋找漏洞並惡意利用。

這些安全問題不僅對用戶的資產和隱私構成了威脅，也對整個行業的可持續發展產生了不可忽視的影響。 2023 年僅第二季度，Web 3.0 行業因黑客及欺詐騙局導致的資產損失高達3.1 億美元，而這個數字相比2022 年同期還略有下降。 212 起記錄在案的事件意味著第二季度平均每天都要發生2 起以上的安全事故。第一季度的Euler Finance 事件更是以一己之力創下了2023 年損失金額的最高記錄： 1.95 億美元。

圖片

Q：您認為，什麼屬性在Web 3.0 時代最為重要？

顧榮輝：我個人認為安全性對於Web 3.0 的可持續發展最為重要。 Web 3.0 被認為是區塊鏈技術、人工智能、大數據等新技術與互聯網的深度融合，它的出現將會帶來更智能化、安全化、去中心化的互聯網。

普華永道預計，Web 3.0 將在未來10 年內將全球GDP 提高超過25 倍。而Web 3.0 的核心理念是用戶可以直接控制和管理自己的數據、數字資產和身份，而不需要依賴中心化的機構。在這個新的模式下，安全性是確保用戶資產和信息不受攻擊、欺詐或濫用的關鍵因素。

而目前的全球監管政策也證實了這一點。

Q: 目前的全球監管政策對Web 3.0 來說是利好嗎？

顧榮輝：以香港為例，它作為國際金融中心之一，有著得天獨厚的優勢來發展Web 3.0 行業，但其一直致力於成為促成監管確定性。自去年開始，香港就在持續頒布一系列監管新規，並採取謹慎和穩健的態度，來尋求市場完整性和用戶的長期保護。而這恰恰是其認可Web 3.0 潛力的表現，也成功促使香港建立規範的Web 3.0 市場秩序，助力其向全球Web 3.0 中心的目標邁進。

就在上月末，我非常榮幸的受邀加入了由香港陳茂波先生領導的香港Web 3.0 發展專責小組，也受邀加盟了新加坡官方國際技術諮詢委員會。這也充分的反映了各國對Web 3.0 安全領域的重視以及體現了全球對Web 3.0 的長期戰略方向。

Q: 監管層面的變化，對CertiK 的業務有任何影響嗎？

顧榮輝：全球各地的監管機構都在加強對Web 3.0 貨幣和行業的監管力度，對於安全領域來說，這無疑是一個利好信息。我們有一個比較具備代表性的產品：KYC 盡調服務，該服務用以應對行業內層出不窮的欺詐騙局，且可在監管層面充分配合相關機構。

Q：本次會議上，您著重提到了智能分析，AI 人工智能的熱度居高不下，智能分析技術也與其有關，請問你是怎麼看待這一類被冠以「毀滅人類」之稱的技術呢？

顧榮輝： 2022 年OpenAI 推出了ChatGPT，我們也對它非常感興趣。隨後就進行了一次嘗試：測試ChatGPT 作為AI「智能合約審計師」的能力。最終結果是ChatGPT 在其審計中遺漏了某些關鍵性的安全問題。當然，這是由於人工智能在充分理解代碼的複雜性和細微差別方面的局限性，以及其缺乏在現實場景中的實踐經驗。但這也證明了至少暫時，AI 技術無法代替人工，而人工卻可以彌補AI 的不足。而我們需要做的是持續探索如何更好地利用這一全球共同發展的領先技術，來服務於Web 3.0 安全的發展。

Q：也就是說無論是AI，還是智能分析，都可以在Web 3.0 安全領域中起到一部分作用，那能深入聊聊它的關鍵之處以及CertiK 在這方面的運用嗎？

顧榮輝：為了保障Web 3.0 應用和區塊鏈項目的安全性，靈活運用智能分析技術將是安全領域前行的下一步，其也可在Web 3.0 安全審計過程中發揮真正的價值。

智能合約是Web 3.0 應用的核心組成部分，也是最容易受到攻擊的目標之一。

智能分析技術可以通過對合約代碼的靜態和動態分析，識別潛在的漏洞和安全風險，並可自動化地檢測合約中的安全問題，提供詳細的報告，幫助審計專家更高效地發現和修復漏洞。

不僅如此，智能分析系統還可對區塊鍊網絡中的交易進行監測和分析，識別異常行為和攻擊行為，幫助發現潛在的安全風險。目前，我們就正在利用最先進的形式化驗證技術、安全智能審計技術以及安全專家人工審計，通過掃描及監控區塊鏈協議和智能合約，保證項目的安全性。

作為「Web 3.0 學術界的代表機構」，我們的研發團隊一直在深耕將智能分析運用於安全的方式，並將其轉化為任何普通用戶都可以使用的工具。

其實我們的Skynet 天網掃描平台在2020 年就已經上線推出了，這也是我們目前智能分析平台Skynet for Community 最早的支撐工具。我們很早之前就有關於這方面的想法，希望可以將前沿學術成果轉化為企業級產品，從而提供一個不僅是專業技術人員才能踏足的平台，這個平台必須可以自行產出可視化的數據，為所有普通用戶進行服務。

這個想法直到今年年初才算是實現的足夠完善，Skynet for Community 可以為用戶提供可操作的鏈上數據和社交數據，最新完成智能合約審計的項目名單，還有最具價值的行業見解和安全最佳實踐，我們實現了流程簡化並將這些數據全部整合於一個平台供用戶查閱。

Q: 您提到的Skynet for Community 平台有什麼功能？

顧榮輝：Skynet for Community 平台是希望為圈內用戶，打開名為「安全」的大門。從前「安全」二字對於普通用戶來說是一個不可觸及的領域，但攻擊和損失卻是確確實實的。未來用戶不僅可以通過這個平台，查看所有他們關注的生態系統和項目的市場狀態，還可以通過CertiK 排行榜查看其安全評分和風險，獲知第一時間的預警和威脅動態。除此之外，用戶還可以查看項目的團隊背景檢測，我們的KYC 版塊會賦予徽章給那些通過KYC 檢測的項目，用戶即可藉此大幅度降低陷入Rug Pull 等欺詐騙局的風險。

Q：這樣聽起來，安全技術其實不止可以應用於Web 3.0 對吧？

顧榮輝：是這樣的，這類安全技術可以運用到非常多領域，例如雲計算。

今年5 月，我們和阿里雲宣布簽署合作夥伴關係正是基於這一點。我們為那些部署在雲服務器上的Web 3.0 項目提供安全服務。現在，Web 3.0 開發人員就可以使用CertiK 的安全解決方案和阿里雲可擴展、高效且安全的基礎設施來加速開發過程並保護應用程序和智能合約。我們的智能合約審計服務和Layer 1 區塊鏈審計服務已全面上線阿里雲，很榮幸可以看到阿里雲致力於同樣的願景並採用全面的安全方法。我們也非常期待可以將安全的區塊鏈開發和部署賦予盡可能廣泛的受眾。

Q: 聽到你也介紹了你們的漏洞賞金計劃，這個計劃主要是在做什麼的？

顧榮輝：我們招募並遴選了一批世界頂級的白帽黑客，收集情報以在惡意行為者利用漏洞之前將其及時發現。不僅可以為用戶篩查和鑑定所有提交材料，還可以協助其進行正確的修復。

一級標題