作者:黎诗韵,极客公园
在Web3跌入熊市遇冷、并被ChatGPT代表的AI浪潮夺走关注后——有一条赛道依旧火热,那就是Web3安全。
由于区块链的合约更公开、透明,因此也更容易被攻击。智能合约一经部署之后,由于它的不可篡改和不可停止,一旦出现漏洞,黑客就能根据源代码实时攻击,致使用户蒙受金钱损失。曾有投资人将Web3安全比作「军队」,没有它的守护,Web3「国将不存」。它是Web3最重要的基础设施之一,被认为会占到Web3价值的5%-10%。
这一赛道不仅未在熊市遇冷,反而更热了。当牛市的「泡沫」套利消散后,黑客攻击的套利会更猖獗。需求带来行业爆发。据极客公园统计,自2022年中旬熊市以来,Web3安全领域涌现了十余家创业公司,融资额达上千万美元。
而作为上一轮Web3熊市中涌现出来的公司——CertiK是目前全球Web3安全赛道的第一名。
你可以将CertiK形容为「明星公司」。它的创始人是两位安全领域的顶尖学者,分别为耶鲁大学计算机系主任、终身教授邵中,及其学生、现哥伦比亚大学计算机系教授顾荣辉。2016年,他们研发出了全球首个「无漏洞、不可攻破」的安全操作系统CertiKOS,并于2017年创立公司、将这一技术应用到了Web3领域。
直至2020年DeFi爆发,带动Web3安全公司的业务水涨船高,2021年CertiK也迅速成为全球第一。据CoinMarketCap数据,在其所有经安全审计的DeFi项目中,CertiK的市占率达70%。远远超过同行。
CertiK拥有称得上「明星」级别的融资待遇。2021年,在不到一年时间内,CertiK拿了五轮融资,高盛、老虎基金、软银愿景、红杉、高瓴等最豪华的资方争相竞投。公司的估值也迅速飙升至20亿美金,成为超级独角兽——这还是它不断「sayno」后的结果。
不久前,我们在北京见到了CertiK的联合创始人顾荣辉——这位「哥大教授」只有33岁,身着一件咖色的西装,热情地跟我们握手。由于日常穿梭于中美之间,这是他少有的媒体见面。他的表达欲很丰沛,又处处透露着技术实用主义的影子,正如他的投资人和高管形容的那样,「少有的将创始人和学者身份合一的人」。
「我们几乎是靠一己之力把区块链安全变成一个赛道,吸引了很多关注。」他骄傲地说。
但这不是一个只关乎「成功」的故事。根据极客公园调研,一些Web3安全行业的同行,对这家公司的看法争议颇多。最核心的指责关乎CertiK的安全审计服务,包括为什么有些项目通过安全审计还会出事、谁来审计CertiK的审计等等。当我们将这些质疑抛向顾荣辉时,他并不意外,并打趣道,CertiK是「誉满天下,谤满天下」。
这位创业者面临的核心困境在于,作为一个中心化的机构,该如何在Web3这个强调去中心化的世界里,获取信任。这和币安面临的困境相似。
对此,CertiK的解决方法也是像币安一样,尽可能地公开透明——目前,CertiK是唯一将安全审计报告全部公开透明的Web3安全公司。
但顾荣辉也承认,CertiK仍有许多需要改进的地方。尤其是在Web3安全的领域,在教育用户方面,这条道路更是漫长的。
以下是经过整理的对话全文:
一、安全攻防之外,
更要防止「公信力」被滥用
极客公园:2月3日,DeFi项目OrionProtocol遭到黑客攻击,损失近300万美元。而这个项目是CertiK审计的,为什么CertiK没有审出它的代码漏洞?
顾荣辉:出问题的代码并不在我们审计的范围以内。比如项目方有两万行代码,出于各种考虑,它只把自认为最核心的代码进行了审计,但剩下的上万行代码没有审计,会有很大概率出问题。如果不在审计范围内,审计方不应该受到指责。这听起来很像「甩锅」,但确实是审计公司最无奈的地方。
极客公园:所以这本质是因为项目方自己的问题?
顾荣辉:因为安全审计是一笔不小的开支,很多项目方只想把最核心的代码做安全审计,其余的代码就不做审计了。或者只给第一版代码做审计,更新的代码就不做审计了。
这也是为什么,尽管Web3安全公司这么多,但还是有项目不断被盗、安全事件还是越来越多。因为项目方对安全的重视程度还是不够。大家虽然在安全上花了钱,但花得还不够,应该做完整的代码审计。
CryptoFed要求与SEC就禁止销售代币令进行对话:1月19日消息,美国证券交易委员会(SEC)于2022年11月禁止CryptoFed DAO LLC注册和销售代币,而CryptoFed在听证会上表示曾寻求与SEC进行对话但并未获得答复。
CryptoFed称,SEC选择直接禁止而不是为其提供机会来处理所提交的文件并解决问题,是对其进行不公平处理。(Theblock)[2023/1/19 11:20:19]
极客公园:为什么在最重要的安全问题上,项目方会舍不得投入?
顾荣辉:因为目前很多项目方做安全审计的目的,并不是真的为了「安全」,而是给投资人、用户、交易所「交差」。「你们看我是愿意花钱的,我是做了安全审计的,我都找了CertiK,最好最贵的审计公司。」那它只做一部分代码审计,也可以有相同的陈述。
极客公园:听起来项目方是让审计公司背了「锅」?
顾荣辉:用一个不恰当的比喻,在CertiK这么大市场占有率的情况下,我们的「锅」都快背不过来了。
这也是我们强烈要把安全审计报告公开透明的原因之一。到目前为止,整个区块链行业除了CertiK之外,没有任何一家安全公司会把所有审计报告完全透明公开。因为我们希望用户在网上清楚地看到,项目方有哪些代码审计了,哪些代码没有审计。我们不希望CertiK变成一个「章」、一个防盗的「证书」,公信力被滥用。
极客公园:你什么时候做出的将审计报告公开透明的决定?
顾荣辉:2020年下半年。那时候DeFi非常火爆,Web3安全公司业务增长很快,我们很快就变成了全球第一。紧接着,很多项目都宣称是找CertiK做的安全审计,但其实并不是。所以我就在想,应该让这个事情变得公开透明,不要让用户被误导。
极客公园:这个决定有效吗?普通用户真的会去看你们的报告吗?
顾荣辉:大部分普通用户不会去看。甚至我们公开之后,反而有很多人骂我们。因为我们公开之后,任何我们的关联项目出事后都是公开的,而用户如果在这个项目上受损失了,他不会去管这是不是在你的审计范围之内,他一定会很生气、要来骂你。所以即使到今天,很多我们公司内部的人、包括投资人,都不赞同我们将报告完全公开。
不过对于专业的机构来说,大家还是会去看审计报告并做出准确的判断。2月,CertiK的市占率第一次超过了70%,我们客户问卷的调查满意程度也在90%以上。很多客户还给我们写了衷心感谢的话。但这些客户不会去社交平台上发言,他们只会一次次和你合作。
Twitter上关于CertiK的讨论?|图片来源:Twitter?
极客公园:如何让普通用户更好地意识到这点?
顾荣辉:我们一直在努力地去完成这个行业的用户教育。2018年,我们刚创业的时候,主要是教用户去看项目方「有没有」安全审计。但到了2020年,我们开始推出安全展示板,就是去教育普通用户,安全审计不是一个「章」,而应该是一个「动态的指标」。
我们会综合各项指标,给项目方打安全分。这个安全评分每15分钟会更新一次,比如你现在代码没有问题,但如果更新了代码,评分就会实时变化。用户还可以在安全展示板上,订阅关于项目方的几项关键安全指标,随时收到变化通知。
我们希望一步一步地帮用户转变对Web3安全的观念。但这是一条很长的路,而且很难很难很难。
CertiK安全展示板|图片来源:CertiK
极客公园:去年,你们安全展示板的官方推特说,「你知道吗?@orion_protocol是CertiK官网上唯一安全评分为100/100的项目。」项目出事后,很多人在推特评论里骂你们。
顾荣辉:是的。因为在那个时间段,这个项目确实是排名最高的安全评分。但这个安全评分是动态的,每15分钟都会发生变化,更不要说横跨一年之久。
极客公园:有Web3同行评价你们是用真正的互联网思维在做产品。你赞同这个评价吗?
顾荣辉:我觉得我们的出发点,还是在思考用户和行业的需求和痛点。
说白了,安全攻防只是第一步,但你不能只做安全攻防。就像大家现在看CertiK,是安全攻防为基础,但更看重的是我们的「公信力」。
AI对话机器人平台GameOn Technology完成3500万美元B轮融资,B3 Capital等领投:12月7日消息,AI对话机器人平台GameOn Technology宣布完成3500万美元B轮融资,本轮融资由Mirae Asset Venture Investment、Mighty Capital和B3 Capital领投,NFL密尔沃基酿酒人队老板Mark Attanasio和明尼苏达维京人队老板Wilf家族参投,截至目前该公司融资总金额达到近5400万美元。
GameOn的现有投资者包括SnoopDogg、NFL传奇人物乔·蒙塔纳、NBA名人堂成员加里·佩顿以及NBA球员安德烈·伊戈达拉和穆罕默德·班巴。2019年,GameOn签署协议,为NBA、NHL和PGA巡回赛运营的联盟账户推出Facebook Messenger聊天机器人。[2022/12/7 21:27:40]
那么如何防止别人利用你的「公信力」来做不好的事?这导致我们不停地思考,到底该怎么往前走。这个行业绝大多数公司还没有「公信力」的困扰,没有用户在推特里骂他们的压力。我觉得我们真的是被逼出来的。
二、监测到有异常的项目,
我们主动曝光出来
极客公园:Web3安全审计不只是技术层面,也包括人性层面。比如有些项目方会「监守自盗」,故意设计代码漏洞,卷走用户的钱。人性是不是比技术更难审计?
顾荣辉:我们永远相信去中心化、代码,但代码也会出现人性的问题。比如这种俗称的「土狗项目」,我们称之为高风险项目,它们可能因为本身的设计问题、或者代码问题实在太多,最后会导致投资者损失惨重。
今天,Web3世界被的钱甚至多过了被盗的钱。
极客公园:这种「土狗项目」该如何识别?
顾荣辉:其实纯靠看代码是非常困难的。尤其是他们给我们的代码,可能和真实部署的代码都不一致。
所以我们推出了KYC服务。我们内部有两个KYC团队,一个是常规的KYC,比如一个项目过来了,我们能不能签约,要做最基础的评估。但这能做到的有限。而另一种是目前行业内最严格的KYC服务,会有很严格的审查流程,我们会为通过的项目方颁发KYC专属徽章并公开展示在官网上,目前从来没有拿到KYC徽章的项目出问题。但我们无法强制项目方申请这种严格的KYC徽章。
CertiK的KYC服务|图片来源:CertiK
这两支KYC团队加起来有20多人,比一些小的安全审计公司人还多,成本很大。我们为什么要这样投入?就是希望尽可能避免这种高风险项目。
极客公园:你们对高风险项目的判别是主观的、还是有根据现实和规律推导出的标准?
顾荣辉:和审计类似,KYC既有主观的判断、也有客观的规律。其实通过KYC服务,我们已经拒绝了30%以上的客户。要不然我们的市场范围会更广。
极客公园:但2022年1月,经你们审计的项目ArbixFinance被标记为「RugPull」,当时是没识别出来吗?
顾荣辉:我们要根据项目方提供的客观信息做判断,这本身的难度就比较大。在项目方刻意隐瞒造假之下,挖掘蛛丝马迹的难度更是直线上升。
但我想强调,ArbixFinance这个事,是我们自己监测到异常之后,主动曝光出来的。这对我们来说是不利的,你不会看到其他服务公司去做这种事情。但我们就公开在自己的官网上,因为这是应该去做的事情。
极客公园:在客户利益和公众利益之间,你会选择后者?
顾荣辉:对。如果你发现一个项目可能有问题,你要不要大声说出来?我觉得要,哪怕是我们自己的客户。
包括我们的审计报告里,会单独写一章项目方的「中心化问题」,核心就是如何让公众了解项目的中心化风险。很多服务公司不会这么做,因为会得罪客户,但我们坚持要这么做。
极客公园:你不怕跟项目方的关系很尴尬吗?
顾荣辉:客户肯定不开心,这肯定对我们的业绩有负面影响。而且你报了这个项目有问题,项目的投资人恨不恨你?参与人恨不恨你?合作伙伴恨不恨你?真的负反馈很大。
在推特上,其实大部分关于CertiK的负面内容和黑客攻击没什么关系,主要是针对我们披露了项目方的负面信息。比如我们曝出这个项目有中心化风险,项目的用户就开始骂我们,甚至组织水军给我们打低分。
火币尖峰对话卡咩:Defi项目的火爆集中在基于Token的金融领域:6月24日下午,在由火币主办的火币尖峰对话“Waiting For ETH2.0”系列AMA活动中,火币矿池与dForce创始人杨民道、Infstones Head of Bussiness Sili、Stafi&Wetez创始人卡咩、真本聪联合创始人索老头就“乘风破浪的以太坊DeFi ”展开主题讨论,深度解读ETH2.0将给行业带来的重大影响。
在Stafi&Wetez创始人卡咩看来,目前Defi项目的火爆集中在基于Token的金融领域,无论是交易、稳定币、借贷还是衍生品。他表示,任何基于Token的创新金融业务都有可能是新的引爆点,也会在引爆点后形成更宽的赛道。基于Token的业务将会发展的越来越快,种类会越来越多。在这种情况下,进行组合、重组或者整合的机会就开始变多,而边缘一些为这些服务提供工具的机会也会出现。[2020/6/24]
但还是那句话,如果这是对行业有利的事情,我们就应该去做。
极客公园:你会去社交平台上看那些负面评论吗?
顾荣辉:我是真的都会看。外界觉得,CertiK好厉害,这么好的数字、这么多的融资。但实际上,外界对我们也有很多负面评价和报道,我们赚的是压力很大的钱。
我之前听到一句话叫「誉满天下、谤满天下」,很多事情都是有两面性的。誉满天下指的是他在用你的产品,谤满天下指的是他边用边骂。我觉得是好事,这样才知道哪里不足、怎么提高。
极客公园:关于KYC,我看到有传言说,你们某个项目方跑路之后,用户联系CertiK,CertiK说联系不上项目方。这是真的吗?
顾荣辉:这是有的。因为常规的KYC太容易造假了,你要了一套KYC的东西,但出了事谁都找不到。如果项目方通过的是我们最严苛的KYC,有KYC徽章的就不同了,这种情况下我们一定能和执法机构配合。
极客公园:当用户的钱被卷走后,追回的可能性大吗?
顾荣辉:我们和很多监管部门聊过,得出的结论是,追回资金最大的问题是必须要有执法力。但很多时候我们没有执法力。
三、从学术圈到Web3世界,
技术实用主义与去中心化信仰
极客公园:你最早接触区块链是什么时候?
顾荣辉:大概是2012、2013年。当时我刚从清华本科毕业,进入耶鲁大学计算机系「高可信软件联合研究中心」,跟着邵中教授读博。
当时跟我在同一个办公室的师兄叫蒋信予,他的化名叫「Friedcat烤猫」。我第一次对区块链产生兴趣,就是从他那知道的。
极客公园:烤猫在区块链世界非常有名,是国内比特币最早的布道者。
顾荣辉:他是比较早一批开始用ASIC机器去挖矿的,做矿机做的很成功,对整个区块链世界影响很大。最后他博士辍学,回国做了这个。
回过头来,为什么烤猫在区块链世界做的很成功,我觉得可能是一种科研的思维方式。我们会从一个更基础的层面考虑这些问题,所以大家会做出很多创新性的东西。
极客公园:当时你自己买币吗?
顾荣辉:当时没有买过。
极客公园:像烤猫这样一个偏原教旨主义的人,他对你有什么影响吗?
顾荣辉:我觉得他对我学术上影响大一点。因为他是我的师兄,在科研上他帮助我很多,包括形式化验证的很多知识。我们甚至在同一个项目CertiKOS,但是他后来离开了。
极客公园:CertiKOS也是你后来创业的重要技术基础。
顾荣辉:对。我们研究的形式化验证技术,简而言之就是通过数学方法,证明你的代码和你的设计是等价的,没有漏洞。
这项技术在软件上的应用一直是学术痛点。它过去一直被应用在硬件上,因为硬件是固定的,证明空间有限。但软件是可编程的,证明空间可以到无穷大。我在读博的时候,就想解决这个问题。
2016年,我们终于完成了这个技术突破,做出了CertiKOS。这是目前世界上第一个、也是唯一一个完全经过形式化验证的多核操作系统内核。当时我们把它用在了无人车Landshark上面,被评价为「无懈可击」。2018年我们创立了CertiK,希望把这项技术用于实际生产中。
火币尖峰对话杨民道:DeFi是底层开放金融的底层基础设施:6月24日下午,在由火币主办的火币尖峰对话“Waiting For ETH2.0”系列AMA活动中,火币矿池与dForce创始人杨民道、Infstones Head of Bussiness Sili、Stafi&Wetez创始人卡咩、真本聪联合创始人索老头就“乘风破浪的以太坊DeFi ”展开主题讨论,深度解读ETH2.0将给行业带来的重大影响。
dForce创始人杨民道在发言时表示,DeFi是底层开放金融的底层基础设施,DeFi项目的热度被引爆,主要是DeFi的基础设施(稳定币、交易协议、借贷协议)已经有基础铺设,各个协议之间通过可组合性建立了极强的协议网络互联。随后,杨民道从DeFi协议的锁仓价值、以太坊DeFi宇宙的繁荣程度角度做了进一步讲解,他认为DeFi作为加密货币和区块链落地的应用,真正验证了自己的逻辑,而且通过透明的链上增长数据,展现出增长潜力。[2020/6/24]
极客公园:这项技术可以应用的领域有很多,为什么最终你选择应用到区块链或Web3领域?
顾荣辉:因为当年Web3发生了几起很大的安全事件。2016年,TheDAOattack,被认为几乎是人类历史上最大的一起攻击事件,超过几百万枚以太币被盗,换算到现在就是几十亿美金的损失。那时候区块链才刚刚开始火,这些攻击事件让大家意识到,Web3安全非常非常重要。大家希望能改变区块链的安全状况。
当时以太坊基金会也好,包括V神本人,都做了很多调研。然后他们发现同一时期有一个技术突破,就是CertiKOS。当时很多人找我们聊了很多轮,探索把这个技术用到区块链领域、智能合约领域的可能性。后来我们成立了CertiK,还拿到了以太网基金会的拨款。
极客公园:感觉CertiK的诞生是新技术成果和市场需求的碰撞。
顾荣辉:因为区块链面对的安全挑战是前所未有的,区块链的合约公开、透明,导致它更容易被攻击。
传统的安全平台看到漏洞后,可以打补丁、升级系统。但区块链是一个世界计算机,没有人可以停掉它,智能合约一旦部署之后,就很难改了——就像打开潘多拉的魔盒。
这个场景就像什么?假设我是黑客,我可以看着你的源代码找漏洞,实时攻击。而你甚至没有办法打补丁阻止攻击,只能眼睁睁看着我把钱取走。传统安全损失的只是一些用户数据,但区块链直接损失的是钱。由于这些原因,我们的形式化验证技术就很适合用于区块链世界的防御。
极客公园:但很多Web3安全公司都宣称有形式化验证技术。
顾荣辉:我们、尤其是邵中教授是形式化验证技术的世界级权威专家,CertiK也是最先把形式化验证技术应用到Web3领域的。系统形式化验证过去十年很多里程碑式的科研成果,都是邵中教授实验室和我在哥大的实验室做出来的。现在很多安全公司都会宣称有形式化验证技术,但是大部分都是宣传目的,技术储备并不充足。
极客公园:我听你的投资人说,这项技术成果也可以用于很多别的安全领域?
顾荣辉:没错,我们已经应用到了芯片、云、操作系统等领域。比如ARMV9处理器上隐私计算架构的安全验证、蚂蚁云原生的HyperEnclave的安全验证都是我们做的。因为这些也都是底层的构建,需要在部署之前就做到尽可能安全,安全率要达到99%以上。
但我们现在的主营业务还是在Web3领域,我认为能把一件事情干好,就已经非常难了。我没有办法眼睁睁地看着这么大的痛点,还去做别的事。
极客公园:从研究技术的学者,到开公司的创业者,这种身份跨越有难度吗?
顾荣辉:在创业之前,我还在谷歌呆了一年。当时我刚从耶鲁博士毕业,推迟了一年哥大给我的助理教授offer。我当时觉得,如果我以后去创业,会有很大的gap,因为我一直在学术圈呆着、没有工作经验。所以我决定去谷歌这家顶级互联网公司体验一下。
这段经历对我创办CertiK的帮助很大。它让我思考,「当你在做一件别人没做过的事情时,你应该怎么做?」谷歌是第一家做搜索引擎的公司,这个东西到底是什么、应该做成什么样子,都需要它自己回答。这跟我创立CertiK的感受是一样的。
CertiK的审计报告|?图片来源:CertiK
极客公园:学者和创业者都是不容易做的工作,你怎么能兼顾两者?
声音 | 澳本聪:此前提及的保税信使是一位辩护律师 因此不能共享相关对话:Kleiman v Wright一案的最新文件显示,澳本聪试图要求律师客户从他以前参与的十几家公司中获得超过11,000个文档的特权。其还声称,此前提及的“保税信使”(Bonded Courier)是一位辩护律师,因此相关对话是保密的。(bitcoinist)[2020/2/4]
顾荣辉:教授和创业者几乎是大家认为最忙的两个职业。但我认为,这两重身份有一样的底色,就是找到有挑战性的问题,再将自己全身心的精力投入进去、将问题攻克。对我来说,这两者的目标几乎是统一的。这也是我能够坚持下来的原因。
当然,这两个身份的不同之处在于,学者不太用考虑什么时候商业化落地的问题,但创业者需要在一定时间内、至少给出一个商业上可以接受的答案。这也是很多学者企业的挑战。但很多投资机构都说,我们算是它们见到的比较成功的学者企业。
极客公园:作为Web3创业者,你有去中心化信仰吗?
顾荣辉:Web3的去中心化是「incodewetrust」,但是如果这个code本身并不trustworthy怎么办?也就是codebug,这是CertiK要去解决的问题。你要说信仰,我们的信仰就是这个。
极客公园:你的同行说,做Web3安全也离不开「正义感」。你有这个东西吗?
顾荣辉:我理解的正义感就是关于所做的事情到底是不是正确的,对这个世界产生了什么价值?
我可以很自豪的说,我们通过ARM的V9处理器的CCA架构的安全验证,未来可以为上千万台设备保障隐私安全。我们在Web3的智能合约和区块链系统里找到了6万个bug,为项目降低了风险。这些是正确的,也是我们创造的价值。而且这不是别人通过我的论文帮我实现的,而是我自己实现的。
这些贡献,不管是把学术往前推进了一点点,还是让用户损失减少了一点点,都可以说是由正义感驱动的。
四、吃下七成市场,
靠的是机审提高效率
极客公园:和CertiK同批成立的Web3安全公司有很多,为什么最后CertiK成了行业第一、吃下了70%的市场份额?
顾荣辉:我们对Web3安全行业的看法非常不同。
其他所有的公司,它们想做的是比较「手工式」的小团队模式,比如组建「白帽」团队,参加攻防大赛,找代码漏洞、拿赏金等等。
但我们最开始想的是,希望从根本上去改善整个行业的安全现状。我们希望服务大量有安全需求的公司,提供规模化的技术服务。所以我们从一开始就很注重工具和安全引擎的开发。
极客公园:规模化的愿景是怎么诞生的?
顾荣辉:因为我们看到整个Web3或者区块链行业的创新,大部分都是来自很小的团队。从中本聪开始,没有哪个创新是来自大的公司。因此我们希望通过规模化,降低审计成本,服务好大量的中小团队。
比如Sandbox,算是元宇宙的发起项目之一了。但2019年他们找我们做安全的时候,这个公司的估值只有600万美金,钱非常少。如果我们不能服务这样的小公司,那这样的项目可能经历一次安全事件就「死」了,很多Web3的创新就不会有了。
所以我们认为,如果Web3行业要发展,就必须让中小型的机构也能享受到这种最高级的安全服务。而且也只有这样,CertiK才有可能做成一个非常大的企业。
极客公园:通过规模化,CertiK把审计成本降低了多少?
顾荣辉:2019年,美国传统的安全企业做一次Web3安全审计,只是部署非常简单的智能合约,报价都是几十万美金。而现在,对普通客户,我们的报价可以到压到几万甚至几千美金一次。我们把Web3安全审计的费用降低了90%以上,并且我们还在继续降低。
极客公园:规模化不仅是一种意愿,更需要能力。你们是怎么规模化获客的?
顾荣辉:其实获客更多是项目方来找我们。很有意思,2021年11月,CertiK刚刚完成独角兽那轮融资、估值达到10亿美金的时候,我和McAfee的前CEO吃饭。他问我说,你们有多少个SalesBD?我说我们大概有6个,我说你们有多少?他说他们有4000个。
极客公园:你们如何有能力承接大规模订单?
顾荣辉:我们是创造了一套安全引擎,尽量减少安全专家的工作,从而提高审计效率。但是所有的报告、所有的条目都会通过安全专家的审核。我们只是不让安全专家简简单单的直接读源代码。
极客公园:所以你们的核心优势是这套安全引擎?
顾荣辉:对。这个安全引擎类似于ChatGPT。它会自动检查源代码的问题、甚至模拟攻击,接着安全工程师会对它提出的问题进行反馈,是对的还是错的、为什么,你可以理解为这是一种标注后的数据。而这些数据会回到引擎、不断地训练引擎。
也就是说,即使我们的技术不发展,但只要我们能见到更多的代码、有更多的人对它进行标注,我们的引擎就会变得越来越好。然后我们的安全程度会越来越高,并有越来越多的客户,而这又会让引擎越来越好。就是这样一个正循环。
极客公园:有人说,Web3行业大部分代码都是copy的、没有什么创新,所以可以大规模去做审计。
顾荣辉:目前整个区块链的buildingblock确实没有那么多,这也是为什么我们认为这个行业可以实现自动化。如果不存在这个特性,这条路最开始是很难走的。
但这并不代表我们的审计工作轻松。因为往往被攻击的都是仿盘项目,它就改了10行代码,这10行代码就改出问题来了。
而且我们也做了很多极具创新性、极难的项目。比如2022年区块链安全事件就围绕两个字,跨链。跨N条链,就是N*N的复杂度,它的技术难度远远超过我们以前见过的所有项目。但很多小团队没有同时覆盖多条链的能力,反而是CertiK,因为在所有链上都有很多客户,积累了比较全的跨链数据,才能去做。现在很多跨链项目的安全保障都是CertiK在做。
CertiK的市场占有率|数据来源:CMC
极客公园:大量的自动化审计,如何保证审计质量?
顾荣辉:这是一个好问题。为什么传统安全公司一直是小团队模式?因为规模化之后,很难保证安全率、安全质量。因为你一个月接500个订单,就算你的安全率达到99%,平均每个月也会有5个项目爆雷。公司一下就不行了。
CertiK是有一套监控系统,去监控我们的自动化审计+人工核对的工作是不是合格。每一份报告,我们都会根据安全专家的行为、报告结果、跟同类项目的比较,评出一个「自信分」。一旦这份报告的自信分低于某个阈值,我们会启动相应流程处理。
极客公园:那为什么2020年「LIENFINANCE」这个项目的漏洞,还是有人在网上帮你们找到的?
顾荣辉:理论上没有一种技术可以确保软件100%的安全。
我们从来不强调「CertiK就是万无一失的」。这也是我们把所有审计报告公开的原因。公开的审计结果,给了所有人都可以来检查的机会,让更多人可以找到代码问题,让项目更安全,这比CertiK的品牌声誉重要得多的多。
极客公园:有项目方说,它找了好几家审计公司,CertiK审出来的漏洞是最少的。
顾荣辉:我相信绝大部分情况不是这样的,目前市面上公开的报告可以佐证我们的观点。
不过确实有一些情况,比如有的项目方在和小团队合作时,小团队会把所有人都扑在一个项目上,会有非常频繁的沟通,很多小的问题也都会和项目方反复确认,有非常多的反馈和交互。但是CertiK是规模化的,是一次性的直接出报告,自动化程度高,会忽略我们认为不重要的问题,也缺少和项目方反复确认的过程。体验确实不同。
目前我们在针对这个问题进行改进,比如利用ChatGPT,在实现规模化的同时带给客户更好的服务体验。
极客公园:因为CertiK审核过的代码出现漏洞,导致项目方损失,你们会承担什么责任吗?你们会跟项目方道歉吗?
顾荣辉:首先,这样的情况并不多。其次,如果出现损失,我们第一时间是帮用户减少损失、追回被盗资金。之后我们会出具很详细的报告,说明为什么会发生这个情况。责任的话,就像我们一直强调的,审计报告不是一枚章,不是「防弹证书」,而是一个动态的安全评估。
极客公园:你的同行表示,CertiK审计了近6000个项目,暴雷了好几个。但它们审计了2000多个项目,却没有一个出问题。你怎么回应这个观点?
顾荣辉:我不太清楚这里提到的2000多个项目的报告是否公开。没有公开的话,我们很难进行分析和回应。这也是我们一直提倡大家公开审计报告的原因。
Rekt是一个第三方的权威统计网站,它会看攻击漏洞是否在审计范围。在Rekt统计的一百多起Web3安全爆雷事件中,在CertiK审计范围内的一共就三起。而从我们的市占率来看,我们的事故率要远远低于行业水平,安全系数应该是最高的。
极客公园:你们作为审计机构,其实并没有来自监管的压力。这很难让人相信你们会有动力把审计做好。
顾荣辉:2022年,我被邀请去达沃斯经济论坛。当时Circle的CEO、Ripple的CEO,Coinbase的COO、Animoca的CEO,几个人和我开玩笑说,「CertiK的市占率这么高,会不会变成去中心化世界里的一个新中心呢?」
这和大家对中心化机构的担忧是一样的,就是当你做大之后,别人怎么相信你?怎么保证你们每一单的审计都是好好做的?就像大家怎么才能相信中心化交易所不挪用用户资金呢?
对于交易所来说,它们可以使用「merkle-tree」来公开储备证明、透明公示平台的资产状况。类似的,我们认为对安全审计的监管,最好的解决方案就是公开透明,这样才能引入外界的监督。
极客公园:公开透明能够替代监管的压力吗?
顾荣辉:这可能比监管的压力更大。CertiK公开了所有报告,如果我们的报告出了一个漏洞,任何人都能发现,所有不好的东西都永远留在互联网的记忆里。
回到那个问题,CertiK到底好在哪、为什么以这么快的速度变成行业第一?抛开所有技术不谈,CertiK坚持公开透明,在巨大压力下倒逼自己,这不就是一个很直观的「好」的地方吗?
五、不缺钱,
但反而要拿很多很多钱
极客公园:从2021年开始,CertiK在不到一年的时间内拿了五次融资,囊括了高盛、老虎、软银、红杉、高瓴等最豪华的资方,成为Web3安全领域的超级独角兽。为什么当时融资这么「猛」?
顾荣辉:因为从2020年开始,DeFi迎来大爆发,很多资本希望进入Web3行业,但它们认为上层应用的不确定性比较高,所以更看好基础设施。而安全是非常重要的基础设施,我们又是公认的龙头企业,所以引入了很多国际、国内的大型投资机构。
Web3安全领域的投资?|?数据来源:Crunchbase)
极客公园:为什么其它Web3安全公司的融资额和估值远远不及你们?
顾荣辉:套句俗话,「资本永不眠」,它会不断追逐有价值的企业。
一方面我们有超强的财务数据和市占率,另一方面可能还是信任问题,基于我们坚持的公开透明的准则。举个例子,高盛是全球最成功的投行,高盛投资部门的审查非常严格,很多Web3公司都未能通过审核。CertiK是为数不多通过高盛投资审核的Web3公司,这对我们是很大的认可。
极客公园:其实在2021年市场非常好的时候,Web3安全公司并不缺钱,所以你的同行决定不拿钱。但你们想的反而是不仅要拿钱,还要拿很多很多钱。你是怎么考虑的?
顾荣辉:这是非常好的问题。CertiK从最开始就是正向现金流,并不缺钱,融资的决策也和很多Web3公司不同。
首先,因为我们是学者创业,都没有创业经验,而CertiK和行业面临的未知太多太多了。我们需要很专业的、最好的投资机构来帮助我们。
其次,虽然CertiK的安全产品得到了广泛认可,但还远远不够。因为我们的黑客对手非常强,甚至有背靠国家的黑客组织。我们希望开发出下一代的安全产品,比如链上主动防御技术。这需要大量的投入,这也是我们融资的最重要原因。
极客公园:所以外界觉得你们拿的钱多,但你觉得跟对手相比,这个钱并没有很多?
顾荣辉:对。我们融资了2.4亿美金,但这跟我们的黑客对手、和面临的挑战相比并不算多。
事实上,我们在融资上已经非常克制了。2021年到2022年,一直在对潜在投资机构sayno、sayno、sayno。有很多的offer非常有吸引力,但我们都没有接。
极客公园:资本扭曲公司发展的事例不算少,引入这么多豪华投资方,你不会有这样担忧吗?
顾荣辉:我们的投资方都是专业、顶级的大型投资机构。到目前为止,他们从来没有干涉过我们,而是很尊重我们的想法。我记得有位投资人和我开玩笑说,「他如果要指手画脚,还不如自己去创立公司呢」。
极客公园:关于上市,你有自己的时间表吗?
顾荣辉:上市肯定是CertiK非常重要的发展节点,我们的很多投资机构比如高盛都很专业,我们会听取它们的建议。
极客公园:你们赚了这么多钱,又拿了这么多钱,准备怎么花?
顾荣辉:首先,最重要的还是开发下一代Web3安全产品,更好的解决用户痛点。比如基于CertiK的安全引擎,我们会大规模投入数据能力,包括区块链数据的处理、分析、响应能力等。比如在合约上链后发现漏洞,该怎么跟黑客抢跑资金等等,目前还是比较早期的构想。
其次,我们也在看比较好的潜在收购标的。比如跟我们形成技术互补的、生态呼应的公司,能拓展我们在Web3安全赛道的布局。
最后是开拓市场。CertiK现在全球各个市场的份额应该都是最大的。但因为安全需要24小时响应,靠一个纯美国团队来支撑这点很累,同事经常加班到夜里两三点钟。所以接下来我们要组建当地团队,去解决时区问题。
极客公园:CertiK的全球化做得很好。有国内同行说,你们团队的海外背景天然有更大优势?
顾荣辉:CertiK的国际化背景可能给我们加分,但应该不是决定性因素。
极客公园:很多国内同行做全球化市场遇阻,你觉得可能原因是什么?
顾荣辉:国内公司出海确实挺难的。首先是语言问题。比如我去韩国,那边的客户就问我能不能出韩文版报告?所以很多时候,你觉得英文已经可以全球化了,但其实不是。语言问题会带来很多限制。
其次是观念的冲突。国内的安全团队主要是小团队模式,员工层级分明、管理严格,这带来的好处是效率比较高。但欧美市场主张管理扁平化。出海时会有管理观念冲突。
极客公园:安全方面的人才很稀缺,你们怎么吸纳人才?
顾荣辉:通过一种使命感去凝聚。比如黑客的获利更大,但绝大部分安全人才都还是选择做白帽,因为他们是有追求的。
比如我们的李康教授,他是世界闻名的白帽,放弃了收入更高的工作来到CertiK。所以我们只有做对行业有利的事情、树立使命感,才能够凝聚他们。
极客公园:回过头看,上波熊市跟你们同期创立的Web3安全公司,活到现在的不多了。这种大浪淘沙可以学到什么?
顾荣辉:我觉得跟风是很危险的。
包括因为我们的融资很好,这轮熊市又出现很多新的Web3安全公司。但我觉得目前这个赛道已经非常拥挤了,也很难再有规模化的机会。因为这需要大量的代码数据、做大量的标注,它们很难超过现有公司的技术积累。
还有些初创Web3安全公司,它们提出了新的审计模式。比如让项目方在平台上公开代码,通过赏金吸引白帽等来审计。但这只对低风险漏洞有效,而那些高风险漏洞,会因为利益诱惑巨大而很难通过赏金找出来。所以这些模式我们都不太认同。
极客公园:听起来你并不看好这批新成立的Web3安全创业公司?
顾荣辉:我们还是坚持认为技术创新比模式创新更加可靠。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。