作者:黎诗韵,极客公园
在 Web3 跌入熊市遇冷、并被 ChatGPT 代表的 AI 浪潮夺走关注后——有一条赛道依旧火热,那就是 Web3 安全。
这一赛道不仅未在熊市遇冷,反而更热了。当牛市的「泡沫」套利消散后,黑客攻击的套利会更猖獗。需求带来行业爆发。据极客公园统计,自 2022 年中旬熊市以来,Web3 安全领域涌现了十余家创业公司,融资额达上千万美元。
你可以将 CertiK 形容为「明星公司」。它的创始人是两位安全领域的顶尖学者,分别为耶鲁大学计算机系主任、终身教授邵中,及其学生、 现哥伦比亚大学计算机系教授顾荣辉。2016 年,他们研发出了全球首个「无漏洞、不可攻破」的安全操作系统 CertiKOS,并于 2017 年创立公司、将这一技术应用到了 Web3 领域。
CertiK 拥有称得上「明星」级别的融资待遇。2021 年,在不到一年时间内,CertiK 拿了五轮融资,高盛、老虎基金、软银愿景、红杉、高瓴等最豪华的资方争相竞投。公司的估值也迅速飙升至 20 亿美金,成为超级独角兽——这还是它不断「say no」后的结果。
「我们(CertiK)几乎是靠一己之力把区块链安全变成一个赛道,吸引了很多关注。」他骄傲地说。
这位创业者面临的核心困境在于,作为一个中心化的机构(安全是传统行业、无法实现数据的公开透明,且 CertiK 又是行业巨头),该如何在 Web3 这个强调去中心化的世界里,获取信任。这和币安(目前最大的中心化交易所)面临的困境相似。
但顾荣辉也承认,CertiK 仍有许多需要改进的地方。尤其是在 Web3 安全的领域,在教育用户方面,这条道路更是漫长的。
极客公园:2 月 3 日,DeFi 项目 Orion Protocol遭到黑客攻击,损失近 300 万美元。而这个项目是 CertiK 审计的,为什么 CertiK 没有审出它的代码漏洞?
极客公园:所以这本质是因为项目方自己的问题?
这也是为什么,尽管 Web3 安全公司这么多,但还是有项目不断被盗、安全事件还是越来越多。因为项目方对安全的重视程度还是不够。大家虽然在安全上花了钱,但花得还不够,应该做完整的代码审计。
顾荣辉:因为目前很多项目方做安全审计的目的,并不是真的为了「安全」,而是给投资人、用户、交易所「交差」。「你们看我是愿意花钱的,我是做了安全审计的,我都找了 CertiK,最好最贵的审计公司。」那它只做一部分代码审计,也可以有相同的陈述。
顾荣辉:用一个不恰当的比喻,在 CertiK 这么大市场占有率的情况下,我们的「锅」都快背不过来了。
极客公园:你什么时候做出的将审计报告公开透明的决定?
极客公园:这个决定有效吗?普通用户真的会去看你们的报告吗?
不过对于专业的机构来说,大家还是会去看审计报告并做出准确的判断。2 月,CertiK 的市占率第一次超过了 70%,我们客户问卷的调查满意程度也在 90% 以上。很多客户还给我们写了衷心感谢的话。但这些客户不会去社交平台上发言,他们只会一次次和你合作。
Twitter 上关于 CertiK 的讨论| 图片来源:Twitter
顾荣辉:我们一直在努力地去完成这个行业的用户教育。2018 年,我们刚创业的时候,主要是教用户去看项目方「有没有」安全审计。但到了 2020 年,我们开始推出安全展示板(CertiK Security Board),就是去教育普通用户,安全审计不是一个「章」,而应该是一个「动态的指标」。
我们希望一步一步地帮用户转变对 Web3 安全的观念。但这是一条很长的路,而且很难很难很难。
CertiK 安全展示板 | 图片来源:CertiK
极客公园:去年,你们安全展示板的官方推特说,「你知道吗?@orion_protocol是CertiK 官网上唯一安全评分为 100/100 的项目。」项目出事后,很多人在推特评论里骂你们。
顾荣辉:是的。因为在那个时间段,这个项目确实是排名最高的安全评分。但这个安全评分是动态的,每 15 分钟都会发生变化,更不要说横跨一年之久。
顾荣辉:我觉得我们的出发点,还是在思考用户和行业的需求和痛点。
那么如何防止别人利用你的「公信力」来做不好的事?这导致我们不停地思考,到底该怎么往前走。这个行业绝大多数公司还没有「公信力」的困扰,没有用户在推特里骂他们的压力。我觉得我们真的是被逼出来的。
极客公园:Web3 安全审计不只是技术层面,也包括人性层面。比如有些项目方会「监守自盗」,故意设计代码漏洞,卷走用户的钱。人性是不是比技术更难审计?
今天,Web3 世界被(项目方)诈骗的钱甚至多过了被(黑客)盗的钱。
顾荣辉:其实纯靠看代码是非常困难的。尤其是他们给我们的代码,可能和真实部署的代码都不一致。
CertiK 的 KYC 服务 | 图片来源:CertiK
极客公园:你们对高风险项目的判别是主观的、还是有根据现实和规律推导出的标准?
极客公园:但 2022 年 1 月,经你们审计的项目 Arbix Finance 被标记为「Rug Pull」(诈骗跑路),当时是没识别出来吗?
但我想强调,Arbix Finance 这个事,是我们自己监测到异常之后,主动曝光出来的。这对我们来说是不利的,你不会看到其他服务公司去做这种事情。但我们就公开在自己的官网上,因为这是应该去做的事情。
顾荣辉:对。如果你发现一个项目可能有问题,你要不要大声说出来?我觉得要,哪怕是我们自己的客户。
极客公园:你不怕跟项目方的关系很尴尬吗?
在推特上,其实大部分关于 CertiK 的负面内容和黑客攻击没什么关系,主要是针对我们披露了项目方的负面信息。比如我们曝出这个项目有中心化风险,项目的用户就开始骂我们,甚至组织水军给我们打低分。
极客公园:你会去社交平台上看那些负面评论吗?
我之前听到一句话叫「誉满天下、谤满天下」,很多事情都是有两面性的。誉满天下指的是他在用你的产品,谤满天下指的是他边用边骂。我觉得是好事,这样才知道哪里不足、怎么提高。
顾荣辉:这是有的。因为常规的 KYC 太容易造假了,你要了一套 KYC 的东西,但出了事谁都找不到。如果项目方通过的是我们最严苛的 KYC,有 KYC 徽章的就不同了,这种情况下我们一定能和执法机构配合。
顾荣辉:我们和很多监管部门聊过,得出的结论是,追回资金最大的问题是必须要有执法力。但很多时候我们没有执法力。
极客公园:你最早接触区块链是什么时候?
当时跟我在同一个办公室的师兄叫蒋信予,他的化名叫「Friedcat 烤猫」(注:烤猫被称为「国内币圈第一人」)。我第一次对区块链产生兴趣,就是从他那知道的。
顾荣辉:他是比较早一批开始用 ASIC 机器去**的,做矿机做的很成功,对整个区块链世界影响很大。最后他博士辍学,回国做了这个。
极客公园:当时你自己买币吗?
极客公园:像烤猫这样一个偏原教旨主义的人,他对你有什么影响吗?
极客公园:CertiKOS 也是你后来创业的重要技术基础。
这项技术在软件(操作系统)上的应用一直是学术痛点。它过去一直被应用在硬件上,因为硬件是固定的,证明空间有限。但软件是可编程的,证明空间可以到无穷大。我在读博的时候,就想解决这个问题。
极客公园:这项技术可以应用的领域有很多,为什么最终你选择应用到区块链或 Web3 领域?
当时以太坊基金会也好,包括 V 神(以太坊创始人)本人,都做了很多调研。然后他们发现同一时期有一个技术突破,就是 CertiKOS。当时很多人找我们聊了很多轮,探索把这个技术用到区块链领域、智能合约领域的可能性。后来我们成立了 CertiK,还拿到了以太网基金会的拨款。
顾荣辉:因为区块链面对的安全挑战是前所未有的,区块链的合约公开、透明,导致它更容易被攻击。
这个场景就像什么?假设我是黑客,我可以看着你的源代码找漏洞,实时攻击。而你甚至没有办法打补丁阻止攻击,只能眼睁睁看着我把钱取走。传统安全损失的只是一些用户数据,但区块链直接损失的是钱。由于这些原因,我们的形式化验证技术就很适合用于区块链世界的防御。
顾荣辉:我们、尤其是邵中教授是形式化验证技术的世界级权威专家,CertiK 也是最先把形式化验证技术应用到 Web3 领域的。系统形式化验证过去十年很多里程碑式的科研成果,都是邵中教授实验室和我在哥大的实验室做出来的。现在很多安全公司都会宣称有形式化验证技术,但是大部分都是宣传目的,技术储备并不充足。
顾荣辉:没错,我们已经应用到了芯片、云、操作系统等领域。比如 ARM(全球领先的芯片公司)V9 处理器上隐私计算架构(CCA)的安全验证、蚂蚁云原生的 HyperEnclave(蚂蚁隐私计算一体机的核心技术)的安全验证都是我们做的。因为这些也都是底层的构建,需要在部署之前就做到尽可能安全,安全率要达到 99% 以上。
极客公园:从研究技术的学者,到开公司的创业者,这种身份跨越有难度吗?
这段经历对我创办 CertiK 的帮助很大。它让我思考,「当你在做一件别人没做过的事情时,你应该怎么做?」谷歌是第一家做搜索引擎的公司,这个东西到底是什么、应该做成什么样子,都需要它自己回答。这跟我创立 CertiK 的感受是一样的。
CertiK 的审计报告 |图片来源:CertiK
顾荣辉:教授和创业者几乎是大家认为最忙的两个职业。但我认为,这两重身份有一样的底色,就是找到有挑战性的问题,再将自己全身心的精力投入进去、将问题攻克。对我来说,这两者的目标几乎是统一的。这也是我能够坚持下来的原因。
极客公园:作为 Web3 创业者,你有去中心化信仰吗?
极客公园:你的同行说,做 Web3 安全也离不开「正义感」。你有这个东西吗?
我可以很自豪的说,我们通过 ARM 的 V9 处理器的 CCA 架构的安全验证,未来可以为上千万台设备保障隐私安全。我们在 Web3 的智能合约和区块链系统里找到了 6 万个 bug,为项目降低了风险。这些是正确的,也是我们创造的价值。而且这不是别人通过我的论文帮我实现的,而是我自己实现的。
极客公园:和 CertiK 同批成立的 Web3 安全公司有很多,为什么最后 CertiK 成了行业第一、吃下了 70% 的市场份额?
其他所有的公司,它们想做的是比较「手工式」的小团队模式,比如组建「白帽」(注:指从事安全防御的技术人员)团队,参加攻防大赛,找代码漏洞、拿赏金等等。
极客公园:规模化的愿景是怎么诞生的?
比如 Sandbox(注:区块链游戏服务商),算是元宇宙的发起项目之一了。但 2019 年他们找我们做安全的时候,这个公司的估值只有 600 万美金,钱非常少。如果我们不能服务这样的小公司,那这样的项目可能经历一次安全事件就「死」了,很多 Web3 的创新就不会有了。
极客公园:通过规模化,CertiK把审计成本降低了多少?
极客公园:规模化不仅是一种意愿,更需要能力。你们是怎么规模化获客的?
极客公园:你们如何有能力承接大规模订单?
极客公园:所以你们的核心优势是这套安全引擎?
也就是说,即使我们的技术不发展,但只要我们能见到更多的代码、有更多的人对它进行标注,我们的引擎就会变得越来越好。然后我们的安全程度会越来越高,并有越来越多的客户,而这又会让引擎越来越好。就是这样一个正循环。
顾荣辉:目前整个区块链的 building block(真正有建设性的区块)确实没有那么多,这也是为什么我们认为这个行业可以实现自动化。如果不存在这个特性,这条路最开始是很难走的。
而且我们也做了很多极具创新性、极难的项目。比如 2022 年区块链安全事件就围绕两个字,跨链。跨 N 条链,就是 N*N 的复杂度,它的技术难度远远超过我们以前见过的所有项目。但很多小团队没有同时覆盖多条链的能力,反而是 CertiK,因为在所有链上都有很多客户,积累了比较全的跨链数据,才能去做。现在很多跨链项目的安全保障都是 CertiK 在做。
CertiK 的市场占有率 | 数据来源:CMC
顾荣辉:这是一个好问题。为什么传统安全公司一直是小团队模式?因为规模化之后,很难保证安全率、安全质量。因为你一个月接 500 个订单,就算你的安全率达到 99%,平均每个月也会有 5 个项目爆雷。公司一下就不行了。
极客公园:那为什么 2020 年「LIEN FINANCE」这个项目的漏洞,还是有人在网上帮你们找到的?
我们从来不强调「CertiK 就是万无一失的」。这也是我们把所有审计报告公开的原因。公开的审计结果,给了所有人都可以来检查的机会,让更多人可以找到代码问题,让项目更安全,这比 CertiK 的品牌声誉重要得多的多。
顾荣辉:我相信绝大部分情况不是这样的,目前市面上公开的报告可以佐证我们的观点。
目前我们在针对这个问题进行改进,比如利用 ChatGPT,在实现规模化的同时带给客户更好的服务体验。
顾荣辉:首先,这样的情况并不多。其次,如果出现损失,我们第一时间是帮用户减少损失、追回被盗资金。之后我们会出具很详细的报告,说明为什么会发生这个情况。责任的话,就像我们一直强调的,审计报告不是一枚章,不是「防弹证书」,而是一个动态的安全评估。
顾荣辉:我不太清楚这里提到的 2000 多个项目的报告是否公开。没有公开的话,我们很难进行分析和回应。这也是我们一直提倡大家公开审计报告的原因。
极客公园:你们作为审计机构,其实并没有来自监管的压力。这很难让人相信你们会有动力把审计做好。
这和大家对中心化机构的担忧是一样的,就是当你做大之后,别人怎么相信你?怎么保证你们每一单的审计都是好好做的?就像大家怎么才能相信中心化交易所不挪用用户资金呢?
极客公园:公开透明能够替代监管的压力吗?
回到那个问题,CertiK 到底好在哪、为什么以这么快的速度变成行业第一?抛开所有技术不谈,CertiK 坚持公开透明,在巨大压力下倒逼自己,这不就是一个很直观的「好」的地方吗?
极客公园:从 2021 年开始,CertiK 在不到一年的时间内拿了五次融资,囊括了高盛、老虎、软银、红杉、高瓴等最豪华的资方,成为 Web3 安全领域的超级独角兽。为什么当时融资这么「猛」?
Web3安全领域的投资|数据来源:Crunchbase)
顾荣辉:套句俗话,「资本永不眠」,它会不断追逐有价值的企业。
极客公园:其实在 2021 年市场非常好的时候,Web3 安全公司并不缺钱,所以你的同行决定不拿钱。但你们想的反而是不仅要拿钱,还要拿很多很多钱。你是怎么考虑的?
首先,因为我们是学者创业,都没有创业经验,而 CertiK 和行业面临的未知太多太多了。我们需要很专业的、最好的投资机构来帮助我们。
极客公园:所以外界觉得你们拿的钱多,但你觉得跟对手相比,这个钱并没有很多?
事实上,我们在融资上已经非常克制了。2021 年到 2022 年,一直在对潜在投资机构 say no、say no、say no。有很多的(投资)offer 非常有吸引力,但我们都没有接。
顾荣辉:我们的投资方都是专业、顶级的大型投资机构。到目前为止,他们从来没有干涉过我们,而是很尊重我们的想法。我记得有位投资人和我开玩笑说,「他如果要指手画脚,还不如自己去创立公司呢」。
顾荣辉:上市肯定是 CertiK 非常重要的发展节点,我们的很多投资机构比如高盛都很专业,我们会听取它们的建议。
顾荣辉:首先,最重要的还是开发下一代 Web3 安全产品,更好的解决用户痛点。比如基于 CertiK 的安全引擎,我们会大规模投入数据能力,包括区块链数据的处理、分析、响应能力等。比如在合约上链后发现漏洞,该怎么跟黑客抢跑资金等等,目前还是比较早期的构想。
最后是开拓市场。CertiK 现在全球各个市场的份额应该都是最大的。但因为安全需要 24 小时响应,靠一个纯美国团队来支撑这点很累(时差),同事经常加班到夜里两三点钟。所以接下来我们要组建当地团队,去解决时区问题。
顾荣辉:CertiK 的国际化背景可能给我们加分,但应该不是决定性因素。
顾荣辉:国内公司出海确实挺难的。首先是语言问题。比如我去韩国,那边的客户就问我能不能出韩文版报告?所以很多时候,你觉得英文已经可以全球化了,但其实不是。语言问题会带来很多限制。
极客公园:安全方面的人才很稀缺,你们怎么吸纳人才?
比如我们的李康教授(CertiK 首席安全官),他是世界闻名的白帽,放弃了收入更高的工作来到 CertiK。所以我们只有做对行业有利的事情、树立使命感,才能够凝聚他们。
顾荣辉:我觉得跟风是很危险的。
还有些初创 Web3 安全公司,它们提出了新的审计模式。比如让项目方在平台上公开代码,通过赏金吸引白帽等来审计。但这只对低风险漏洞有效,而那些高风险漏洞,会因为利益诱惑巨大而很难通过赏金找出来。所以这些模式我们都不太认同。
顾荣辉:我们还是坚持认为技术创新比模式创新更加可靠。
本文内容部分来自网络,仅供参考。如有侵权,请联系删除。