6 月 11 日,在全球頂級Web3與 AI 峰會 Proof of Talk 期間,CertiK 首席商務官 Jason Jiang 受邀出席“構建Web3協議信任(Building Trust in Web3 Protocols)”主題圓桌論壇,與 Innerworks 的 CEO 兼聯合創始人 Oliver Quie、Hacken 的 CPO Denisvanov 是如何建立一個真正的 Ivan 服務
當「安全審計」逐漸被包裝成行銷話術,Web3專案如何避免“審計洗白(audit-washing)”,建構面向未來的安全信任?
在論壇上,Jason Jiang 直言,目前產業存在顯著的「審計洗白」現象。也就是說,有些項目僅憑發布一份審計報告,就聲稱自身「安全」;無論報告的時效性、範圍或結果如何,就將審計報告當作「安全徽章」。
他指出,即使是高標準的靜態程式碼驗證,也只是安全模型中的一個環節。它是必要的,但遠遠不夠。許多風險其實發生在審計之後:例如,可升級合約在審計後可能引入新的攻擊面,治理機制的偏離,或是由外部帳戶(EOA)控制的管理功能,都可能導致審計時的假設失效。
此外,還有一些超出靜態分析能力的風險:例如預言機、跨鏈橋、流動性變化和可組合性等因素,都會帶來新的動態依賴。
因此,Jason Jiang 強調:「已審計」絕不等於「安全」。
CertiK 的模組化與即時安全模型
為應對這些挑戰,Jason Jiang 詳細闡述了 CertiK 正在積極建構和倡導的「可組合、持續性的驗證與信任機制」。
首先,CertiK 正積極推動鏈上審計證明機制的建立。即審計報告經加密簽署後鏈上存證,並與合約特定字節碼的雜湊綁定。 CertiK 正致力於推動這項機製成為業界標準。
其次,是即時安全監控與風險評分。透過 Skynet 平台,CertiK 可動態監控合約互動行為(如閃電貸、權限提升)、金庫行為、DAO 治理的風險點(如提案注入),以及代幣經濟的異常波動。這些資料可產生即時風險畫像,為使用者持續提供安全狀態回饋。
第三,是建立持續驗證流程。 CertiK 將安全檢查融入開發全生命週期(CI/CD)。包括在程式碼變更時進行差分模糊測試,使用模擬攻擊模型測試(如 MEV 機器人、三明治攻擊),以及在治理或升級事件發生時,觸發新的稽核流程。
第四,是探索 AI 輔助審計與協同驗證。 CertiK 正在探索 AI 模型,用於預審計篩選和大規模識別反模式。這樣可以讓人工審計師專注於協議核心邏輯、邊緣場景以及協議上下文分析,從而實現「人機協同的大規模安全保證」。
協議設計:信任的架構基石
在談到協議設計如何影響用戶信任時,Jason Jiang 進一步指出,許多風險並非來自程式碼漏洞,而是源自於架構假設。他特別提到對權限、控制權和升級機制中未明確的假設,是影響信任的重要因素。
他分析了幾個關鍵設計向量對信任的具體影響:
在可升級性與不變性方面,如果專案需要保留升級能力,應強制使用多簽控制,並結合具有時間延遲的鏈上治理機制。同時,應賦予社區明確的否決權。這樣可以避免關鍵權限由少數外部帳戶(EOA)掌控,從而維護去中心化的承諾。
在模組化與開源方面,核心元件如核心演算法、金庫管理、治理模組等,應進行隔離設計。每個模組應支援獨立測試和驗證,以減少複雜依賴帶來的風險。透明化的失效保護機制(如時間鎖、可暫停合約、熔斷機制),也必須配合清晰的緊急流程,防止隱藏的「緊急權限」架空這些機制。
最後,治理實務應做到完全鏈上化,並具備可審計性。需要清楚揭露:誰擁有何種升級權限、升級流程如何運作、時間限制如何設定。這樣,治理才能真正落地,而不是停留在理論層面。
Web3信任公式:信任=代碼+行為+文化+合規
面對Web3特有的挑戰,一個高度去中心化且缺乏身份背書的環境,Jason Jiang 提出了建構信任的公式:信任=代碼+行為+文化+合規。
他指出,協議贏得信任不僅依賴程式碼質量,還在於專案在壓力下的行為模式。其中,幾個關鍵行動至關重要:
首先,專案應實施並持續維護漏洞賞金計畫。此機制是否資金充足、反應是否及時、支付是否高效,直接反映了專案的營運成熟度和對透明開放的承諾。
其次,在安全事件不可避免時,專案應發布透明、詳實、技術嚴謹的複盤報告。報告應說明事件根本原因、明確承認失誤、評估影響,並提出改善措施。即使在危機中,這樣的處理也能累積制度性信任。
此外,項目也應透過時間證明自身韌性。表現包括:應對市場劇烈波動的承受力、對安全威脅的快速透明反應、以及不斷適應新型攻擊的能力。 Jason Jiang 總結到:“在加密世界,一年相當於傳統行業的八年。一個穩定運行六年的項目,等於贏得了半個世紀的信任。”
這次 Proof of Talk 高峰會的圓桌討論匯集了業界頂尖安全專家。與會者一致認為,要重塑Web3信任的基石,並推動其永續發展,必須在多個維度展開深度合作。這包括底層技術創新、協議設計優化,以及專案行為的長期驗證。在此背景下,CertiK 提出的即時、模組化安全模型,以及對「代碼+行為+文化+合規」信任框架的倡導,為業界指明了重要的發展方向。
身為Web3安全公司,CertiK 始終在推動產業發展,從「審計即安全」邁向「安全即服務」。 CertiK 將繼續憑藉其全生命週期產品、社群協同及 AI 技術,為Web3建構者提供可信賴、安全、透明的基礎保障。
