大的成功和巨大的爭議,都若隱若現指向了一個問題,Web3 的精神是什么。
在 Web3 跌入熊市遇冷、并被 ChatGPT 代表的 AI 浪潮奪走關注后——有一條賽道依舊火熱,那就是 Web3 安全。
由于區塊鏈的合約更公開、透明,因此也更容易被攻擊。智能合約一經部署之后,由于它的不可篡改和不可停止,一旦出現漏洞,黑客就能根據源代碼實時攻擊,致使用戶蒙受金錢損失。曾有投資人將 Web3 安全比作「軍隊」,沒有它的守護,Web3「國將不存」。它是 Web3 最重要的基礎設施之一,被認為會占到 Web3 價值的 5%-10%。
這一賽道不僅未在熊市遇冷,反而更熱了。當牛市的「泡沫」套利消散后,黑客攻擊的套利會更猖獗。需求帶來行業爆發。據極客公園統計,自 2022 年中旬熊市以來,Web3 安全領域涌現了十余家創業公司,融資額達上千萬美元。
而作為上一輪 Web3 熊市中涌現出來的公司——CertiK 是目前全球 Web3 安全賽道的第一名。
你可以將 CertiK 形容為「明星公司」。它的創始人是兩位安全領域的頂尖學者,分別為耶魯大學計算機系主任、終身教授邵中,及其學生、 現哥倫比亞大學計算機系教授顧榮輝。2016 年,他們研發出了全球首個「無漏洞、不可攻破」的安全操作系統 CertiKOS,并于 2017 年創立公司、將這一技術應用到了 Web3 領域。
直至 2020 年 DeFi(去中心化金融)爆發,帶動 Web3 安全公司的業務水漲船高,2021 年 CertiK 也迅速成為全球第一。據 CoinMarketCap(知名的加密貨幣價格跟蹤網站)數據,在其所有經安全審計的 DeFi 項目中,CertiK 的市占率達 70%。遠遠超過同行。
CertiK 擁有稱得上「明星」級別的融資待遇。2021 年,在不到一年時間內,CertiK 拿了五輪融資,高盛、老虎基金、軟銀愿景、紅杉、高瓴等最豪華的資方爭相競投。公司的估值也迅速飆升至 20 億美金,成為超級獨角獸——這還是它不斷「say no」后的結果。
不久前,我們在北京見到了 CertiK 的聯合創始人顧榮輝——這位「哥大教授」只有 33 歲,身著一件咖色的西裝,熱情地跟我們握手。由于日常穿梭于中美之間,這是他少有的媒體見面。他的表達欲很豐沛,又處處透露著技術實用主義的影子,正如他的投資人和高管形容的那樣,「少有的將創始人和學者身份合一的人」。
「我們(CertiK)幾乎是靠一己之力把區塊鏈安全變成一個賽道,吸引了很多關注。」他驕傲地說。
但這不是一個只關乎「成功」的故事。根據極客公園調研,一些 Web3 安全行業的同行,對這家公司的看法爭議頗多。最核心的指責關乎 CertiK 的安全審計服務,包括為什么有些項目通過安全審計還會出事、誰來審計 CertiK 的審計等等。當我們將這些質疑拋向顧榮輝時,他并不意外,并打趣道,CertiK 是「譽滿天下,謗滿天下」。
這位創業者面臨的核心困境在于,作為一個中心化的機構(安全是傳統行業、無法實現數據的公開透明,且 CertiK 又是行業巨頭),該如何在 Web3 這個強調去中心化的世界里,獲取信任。這和幣安(目前最大的中心化交易所)面臨的困境相似。
對此,CertiK 的解決方法也是像幣安一樣,盡可能地公開透明——目前,CertiK 是唯一將安全審計報告全部公開透明的 Web3 安全公司。
但顧榮輝也承認,CertiK 仍有許多需要改進的地方。尤其是在 Web3 安全的領域,在教育用戶方面,這條道路更是漫長的。
以下是經過整理的對話全文:
01 安全攻防之外,更要防止「公信力」被濫用
極客公園:2 月 3 日,DeFi 項目 Orion Protocol遭到黑客攻擊,損失近 300 萬美元。而這個項目是 CertiK 審計的,為什么 CertiK 沒有審出它的代碼漏洞?
顧榮輝:出問題的代碼并不在我們審計的范圍以內。比如項目方有兩萬行代碼,出于各種考慮,它只把自認為最核心的代碼進行了審計,但剩下的上萬行代碼沒有審計,會有很大概率出問題。如果(代碼)不在審計范圍內,審計方不應該受到指責。這聽起來很像「甩鍋」,但確實是審計公司最無奈的地方。
極客公園:所以這本質是因為項目方自己的問題?
顧榮輝:因為安全審計是一筆不小的開支,很多項目方只想把最核心的代碼做安全審計,其余的代碼就不做審計了。或者只給第一版代碼做審計,更新的代碼就不做審計了(注:智能合約上鏈后無法更改,但可以加新模塊)。
這也是為什么,盡管 Web3 安全公司這么多,但還是有項目不斷被盜、安全事件還是越來越多。因為項目方對安全的重視程度還是不夠。大家雖然在安全上花了錢,但花得還不夠,應該做完整的代碼審計。
極客公園:為什么在最重要的安全問題上,項目方會舍不得投入?
顧榮輝:因為目前很多項目方做安全審計的目的,并不是真的為了「安全」,而是給投資人、用戶、交易所「交差」。「你們看我是愿意花錢的,我是做了安全審計的,我都找了 CertiK,最好最貴的審計公司。」那它只做一部分代碼審計,也可以有相同的陳述。
極客公園:聽起來項目方是讓審計公司背了「鍋」?
顧榮輝:用一個不恰當的比喻,在 CertiK 這么大市場占有率的情況下,我們的「鍋」都快背不過來了。
這也是我們強烈要把安全審計報告公開透明的原因之一。到目前為止,整個區塊鏈行業除了 CertiK 之外,沒有任何一家安全公司會把所有審計報告完全透明公開。因為我們希望用戶在網上清楚地看到,項目方有哪些代碼審計了,哪些代碼沒有審計。我們不希望 CertiK 變成一個「章」、一個防盜的「證書」,公信力被濫用。
極客公園:你什么時候做出的將審計報告公開透明的決定?
顧榮輝:2020 年下半年。那時候 DeFi 非常火爆,Web3 安全公司業務增長很快,我們很快就變成了全球第一。緊接著,很多項目都宣稱是找 CertiK 做的安全審計,但其實并不是(不在審計范圍內)。所以我就在想,應該讓這個事情變得公開透明,不要讓用戶被誤導。
極客公園:這個決定有效嗎?普通用戶真的會去看你們的報告嗎?
顧榮輝:大部分普通用戶不會去看。甚至我們公開之后,反而有很多人罵我們。因為我們公開之后,任何我們的關聯項目出事后都是公開的,而用戶如果在這個項目上受損失了,他不會去管這是不是在你的審計范圍之內,他一定會很生氣、要來罵你。所以即使到今天,很多我們公司內部的人、包括投資人,都不贊同我們將報告完全公開。
不過對于專業的機構來說,大家還是會去看審計報告并做出準確的判斷。2 月,CertiK 的市占率第一次超過了 70%,我們客戶問卷的調查滿意程度也在 90% 以上。很多客戶還給我們寫了衷心感謝的話。但這些客戶不會去社交平臺上發言,他們只會一次次和你合作。
Twitter 上關于 CertiK 的討論 | 圖片來源:Twitter
極客公園:如何讓普通用戶更好地意識到這點?
顧榮輝:我們一直在努力地去完成這個行業的用戶教育。2018 年,我們剛創業的時候,主要是教用戶去看項目方「有沒有」安全審計。但到了 2020 年,我們開始推出安全展示板(CertiK Security Board),就是去教育普通用戶,安全審計不是一個「章」,而應該是一個「動態的指標」。
我們會綜合各項指標,給項目方打安全分(Security Score)。這個安全評分每 15 分鐘會更新一次,比如你現在代碼沒有問題,但如果更新了代碼,評分就會實時變化。用戶還可以在安全展示板上,訂閱關于項目方的幾項關鍵安全指標,隨時收到變化通知。
我們希望一步一步地幫用戶轉變對 Web3 安全的觀念。但這是一條很長的路,而且很難很難很難。
CertiK 安全展示板 | 圖片來源:CertiK
極客公園:去年,你們安全展示板的官方推特說,「你知道嗎?@orion_protocol是CertiK 官網上唯一安全評分為 100/100 的項目。」項目出事后,很多人在推特評論里罵你們。
顧榮輝:是的。因為在那個時間段,這個項目確實是排名最高的安全評分。但這個安全評分是動態的,每 15 分鐘都會發生變化,更不要說橫跨一年之久。
極客公園:有Web3同行評價你們是用真正的互聯網思維在做產品。你贊同這個評價嗎?
顧榮輝:我覺得我們的出發點,還是在思考用戶和行業的需求和痛點。
說白了,安全攻防只是第一步,但你不能只做安全攻防。就像大家現在看 CertiK,是安全攻防為基礎,但更看重的是我們的「公信力」。
那么如何防止別人利用你的「公信力」來做不好的事?這導致我們不停地思考,到底該怎么往前走。這個行業絕大多數公司還沒有「公信力」的困擾,沒有用戶在推特里罵他們的壓力。我覺得我們真的是被逼出來的。
02 監測到有異常的項目,我們主動曝光出來
極客公園:Web3 安全審計不只是技術層面,也包括人性層面。比如有些項目方會「監守自盜」,故意設計代碼漏洞,卷走用戶的錢。人性是不是比技術更難審計?
顧榮輝:我們永遠相信去中心化、代碼,但代碼也會出現人性的問題。比如這種俗稱的「土狗項目」,我們稱之為高風險項目,它們可能因為本身的設計問題、或者代碼問題實在太多,最后會導致投資者損失慘重。
今天,Web3 世界被(項目方)詐騙的錢甚至多過了被(黑客)盜的錢。
極客公園:這種「土狗項目」該如何識別?
顧榮輝:其實純靠看代碼是非常困難的。尤其是他們給我們的代碼,可能和真實部署的代碼都不一致。
所以我們推出了 KYC(Know Your Client,客戶背景調查)服務。我們內部有兩個 KYC 團隊,一個是常規的 KYC,比如一個項目過來了,我們能不能簽約,要做最基礎的評估。但這能做到的有限。而另一種是目前行業內最嚴格的 KYC 服務,會有很嚴格的審查流程,我們會為通過的項目方頒發 KYC 專屬徽章并公開展示在官網上,目前從來沒有拿到 KYC 徽章的項目出問題。但我們無法強制項目方申請這種嚴格的 KYC 徽章。
CertiK 的 KYC 服務 | 圖片來源:CertiK
這兩支 KYC 團隊加起來有 20 多人,比一些小的安全審計公司人還多,成本很大。我們為什么要這樣投入?就是希望盡可能避免這種高風險項目。
極客公園:你們對高風險項目的判別是主觀的、還是有根據現實和規律推導出的標準?
顧榮輝:和審計類似,KYC 既有主觀的判斷、也有客觀的規律。其實通過 KYC 服務,我們已經拒絕了 30% 以上的客戶。要不然我們的市場范圍會更廣。
極客公園:但 2022 年 1 月,經你們審計的項目 Arbix Finance 被標記為「Rug Pull」(詐騙跑路),當時是沒識別出來嗎?
顧榮輝:我們要根據項目方提供的客觀信息做判斷,這本身的難度就比較大。在項目方刻意隱瞞造假之下,挖掘蛛絲馬跡的難度更是直線上升。
但我想強調,Arbix Finance 這個事,是我們自己監測到異常之后,主動曝光出來的。這對我們來說是不利的,你不會看到其他服務公司去做這種事情。但我們就公開在自己的官網上,因為這是應該去做的事情。
極客公園:在客戶利益和公眾利益之間,你會選擇后者?
顧榮輝:對。如果你發現一個項目可能有問題,你要不要大聲說出來?我覺得要,哪怕是我們自己的客戶。
包括我們的審計報告里,會單獨寫一章項目方的「中心化問題」,核心就是如何讓公眾了解項目的中心化風險。很多服務公司不會這么做,因為會得罪客戶,但我們堅持要這么做。
極客公園:你不怕跟項目方的關系很尷尬嗎?
顧榮輝:客戶肯定不開心,這肯定對我們的業績有負面影響。而且你報了這個項目有問題,項目的投資人恨不恨你?參與人恨不恨你?合作伙伴恨不恨你?真的負反饋很大。
在推特上,其實大部分關于 CertiK 的負面內容和黑客攻擊沒什么關系,主要是針對我們披露了項目方的負面信息。比如我們曝出這個項目有中心化風險,項目的用戶就開始罵我們,甚至組織水軍給我們打低分。
但還是那句話,如果這是對行業有利的事情,我們就應該去做。
極客公園:你會去社交平臺上看那些負面評論嗎?
顧榮輝:我是真的都會看。外界覺得,CertiK 好厲害,這么好的數字、這么多的融資。但實際上,外界對我們也有很多負面評價和報道,我們賺的是壓力很大的錢。
我之前聽到一句話叫「譽滿天下、謗滿天下」,很多事情都是有兩面性的。譽滿天下指的是他在用你的產品,謗滿天下指的是他邊用邊罵。我覺得是好事,這樣才知道哪里不足、怎么提高。
極客公園:關于 KYC,我看到有傳言說,你們某個項目方跑路之后,用戶聯系 CertiK,CertiK 說聯系不上項目方。這是真的嗎?
顧榮輝:這是有的。因為常規的 KYC 太容易造假了,你要了一套 KYC 的東西,但出了事誰都找不到。如果項目方通過的是我們最嚴苛的 KYC,有 KYC 徽章的就不同了,這種情況下我們一定能和執法機構配合。
極客公園:當用戶的錢被卷走后,追回的可能性大嗎?
顧榮輝:我們和很多監管部門聊過,得出的結論是,追回資金最大的問題是必須要有執法力。但很多時候我們沒有執法力。
03 從學術圈到 Web3 世界,技術實用主義與去中心化信仰
極客公園:你最早接觸區塊鏈是什么時候?
顧榮輝:大概是 2012、2013 年。當時我剛從清華本科畢業,進入耶魯大學計算機系「高可信軟件聯合研究中心」,跟著邵中教授(注:邵中為中科大-耶魯高可信軟件聯合研究中心主任)讀博。
當時跟我在同一個辦公室的師兄叫蔣信予,他的化名叫「Friedcat 烤貓」(注:烤貓被稱為「國內幣圈第一人」)。我第一次對區塊鏈產生興趣,就是從他那知道的。
極客公園:烤貓在區塊鏈世界非常有名,是國內比特幣最早的布道者。
顧榮輝:他是比較早一批開始用 ASIC 機器去挖礦的,做礦機做的很成功,對整個區塊鏈世界影響很大。最后他博士輟學,回國做了這個。
回過頭來,為什么烤貓在區塊鏈世界做的很成功,我覺得可能是一種科研的思維方式。我們會從一個更基礎的層面考慮這些問題,所以大家會做出很多創新性的東西。
極客公園:當時你自己買幣嗎?
顧榮輝:當時沒有買過。
極客公園:像烤貓這樣一個偏原教旨主義的人,他對你有什么影響嗎?
顧榮輝:我覺得他對我學術上影響大一點。因為他是我的師兄,在科研上他幫助我很多,包括形式化驗證(formal verification)的很多知識。我們甚至在同一個項目 CertiKOS,但是他后來離開了。
極客公園:CertiKOS 也是你后來創業的重要技術基礎。
顧榮輝:對。我們研究的形式化驗證技術,簡而言之就是通過數學方法,證明你的代碼和你的設計是等價的,沒有漏洞(bug)。
這項技術在軟件(操作系統)上的應用一直是學術痛點。它過去一直被應用在硬件上,因為硬件是固定的,證明空間有限。但軟件是可編程的,證明空間可以到無窮大。我在讀博的時候,就想解決這個問題。
2016 年,我們終于完成了這個技術突破,做出了 CertiKOS。這是目前世界上第一個、也是唯一一個完全經過形式化驗證的多核操作系統內核。當時我們把它用在了無人車 Landshark 上面,被評價為「無懈可擊」。2018 年我們創立了 CertiK,希望把這項技術用于實際生產中。
極客公園:這項技術可以應用的領域有很多,為什么最終你選擇應用到區塊鏈或 Web3 領域?
顧榮輝:因為當年 Web3 發生了幾起很大的安全事件。2016 年,The DAO attack,被認為幾乎是人類歷史上最大的一起攻擊事件,超過幾百萬枚以太幣被盜,換算到現在就是幾十億美金的損失。那時候區塊鏈才剛剛開始火,這些攻擊事件讓大家意識到,Web3 安全非常非常重要。大家希望能改變區塊鏈的安全狀況。
當時以太坊基金會也好,包括 V 神(以太坊創始人)本人,都做了很多調研。然后他們發現同一時期有一個技術突破,就是 CertiKOS。當時很多人找我們聊了很多輪,探索把這個技術用到區塊鏈領域、智能合約領域的可能性。后來我們成立了 CertiK,還拿到了以太網基金會的撥款。
極客公園:感覺 CertiK 的誕生是新技術成果和市場需求的碰撞。
顧榮輝:因為區塊鏈面對的安全挑戰是前所未有的,區塊鏈的合約公開、透明,導致它更容易被攻擊。
傳統的安全平臺看到漏洞后,可以打補丁、升級系統。但區塊鏈是一個世界計算機(world computer),沒有人可以停掉它,智能合約一旦部署之后,就很難改了——就像打開潘多拉的魔盒。
這個場景就像什么?假設我是黑客,我可以看著你的源代碼找漏洞,實時攻擊。而你甚至沒有辦法打補丁阻止攻擊,只能眼睜睜看著我把錢取走。傳統安全損失的只是一些用戶數據,但區塊鏈直接損失的是錢。由于這些原因,我們的形式化驗證技術就很適合用于區塊鏈世界的防御。
極客公園:但很多 Web3 安全公司都宣稱有形式化驗證技術。
顧榮輝:我們、尤其是邵中教授是形式化驗證技術的世界級權威專家,CertiK 也是最先把形式化驗證技術應用到 Web3 領域的。系統形式化驗證過去十年很多里程碑式的科研成果,都是邵中教授實驗室和我在哥大的實驗室做出來的。現在很多安全公司都會宣稱有形式化驗證技術,但是大部分都是宣傳目的,技術儲備并不充足。
極客公園:我聽你的投資人說,這項技術成果也可以用于很多別的安全領域?
顧榮輝:沒錯,我們已經應用到了芯片、云、操作系統等領域。比如 ARM(全球領先的芯片公司)V9 處理器上隱私計算架構(CCA)的安全驗證、螞蟻云原生的 HyperEnclave(螞蟻隱私計算一體機的核心技術)的安全驗證都是我們做的。因為這些也都是底層的構建,需要在部署之前就做到盡可能安全,安全率要達到 99% 以上。
但我們現在的主營業務還是在 Web3 領域,我認為能把一件事情干好,就已經非常難了。我沒有辦法眼睜睜地看著這么大的痛點,還去做別的事。
極客公園:從研究技術的學者,到開公司的創業者,這種身份跨越有難度嗎?
顧榮輝:在創業之前,我還在谷歌呆了一年。當時我剛從耶魯博士畢業(2016 年),推遲了一年哥大給我的助理教授 offer。我當時覺得,如果我以后去創業,會有很大的 gap(差距),因為我一直在學術圈呆著、沒有工作經驗。所以我決定去谷歌這家頂級互聯網公司體驗一下。
這段經歷對我創辦 CertiK 的幫助很大。它讓我思考,「當你在做一件別人沒做過的事情時,你應該怎么做?」谷歌是第一家做搜索引擎的公司,這個東西到底是什么、應該做成什么樣子,都需要它自己回答。這跟我創立 CertiK 的感受是一樣的。
CertiK 的審計報告 | 圖片來源:CertiK
極客公園:學者和創業者都是不容易做的工作,你怎么能兼顧兩者?
顧榮輝:教授和創業者幾乎是大家認為最忙的兩個職業。但我認為,這兩重身份有一樣的底色,就是找到有挑戰性的問題,再將自己全身心的精力投入進去、將問題攻克。對我來說,這兩者的目標幾乎是統一的。這也是我能夠堅持下來的原因。
當然,這兩個身份的不同之處在于,學者不太用考慮什么時候商業化落地的問題,但創業者需要在一定時間內、至少給出一個商業上可以接受的答案。這也是很多學者企業的挑戰。但很多投資機構都說,我們算是它們見到的比較成功的學者企業。
極客公園:作為 Web3 創業者,你有去中心化信仰嗎?
顧榮輝:Web3 的去中心化是「in code we trust」(信任代碼),但是如果這個 code(代碼)本身并不 trustworthy(值得信任)怎么辦?也就是 code bug(代碼漏洞),這是 CertiK 要去解決的問題。你要說信仰,我們的信仰就是這個。
極客公園:你的同行說,做 Web3 安全也離不開「正義感」。你有這個東西嗎?
顧榮輝:我理解的正義感就是關于所做的事情到底是不是正確的,對這個世界產生了什么價值?
我可以很自豪的說,我們通過 ARM 的 V9 處理器的 CCA 架構的安全驗證,未來可以為上千萬臺設備保障隱私安全。我們在 Web3 的智能合約和區塊鏈系統里找到了 6 萬個 bug,為項目降低了風險。這些是正確的,也是我們創造的價值。而且這不是別人通過我的論文幫我實現的,而是我自己實現的。
這些貢獻,不管是把學術往前推進了一點點,還是讓用戶損失減少了一點點,都可以說是由正義感驅動的。
04 吃下七成市場,靠的是機審提高效率
極客公園:和 CertiK 同批成立的 Web3 安全公司有很多,為什么最后 CertiK 成了行業第一、吃下了 70% 的市場份額?
顧榮輝:我們對 Web3 安全行業的看法非常不同。
其他所有的公司,它們想做的是比較「手工式」的小團隊模式,比如組建「白帽」(注:指從事安全防御的技術人員)團隊,參加攻防大賽,找代碼漏洞、拿賞金等等。
但我們最開始想的是,希望從根本上去改善整個行業的安全現狀。我們希望服務大量有安全需求的公司,提供規模化的技術服務。所以我們從一開始就很注重工具和安全引擎的開發。
極客公園:規模化的愿景是怎么誕生的?
顧榮輝:因為我們看到整個 Web3 或者區塊鏈行業的創新,大部分都是來自很小的團隊。從中本聰(注:比特幣創造者)開始,沒有哪個創新是來自大的公司。因此我們希望通過規模化,降低審計成本,服務好大量的中小團隊。
比如 Sandbox(注:區塊鏈游戲服務商),算是元宇宙的發起項目之一了。但 2019 年他們找我們做安全的時候,這個公司的估值只有 600 萬美金,錢非常少。如果我們不能服務這樣的小公司,那這樣的項目可能經歷一次安全事件就「死」了,很多 Web3 的創新就不會有了。
所以我們認為,如果 Web3 行業要發展,就必須讓中小型的機構也能享受到這種最高級的安全服務。而且也只有這樣,CertiK 才有可能做成一個非常大的企業。
極客公園:通過規模化,CertiK把審計成本降低了多少?
顧榮輝:2019 年,美國傳統的安全企業做一次 Web3 安全審計,只是部署非常簡單的智能合約,報價都是幾十萬美金。而現在,對普通客戶,我們的報價可以到壓到幾萬甚至幾千美金(對于簡單合約)一次。我們把 Web3 安全審計的費用降低了 90% 以上,并且我們還在繼續降低。
極客公園:規模化不僅是一種意愿,更需要能力。你們是怎么規模化獲客的?
顧榮輝:其實獲客更多是項目方來找我們。很有意思,2021 年 11 月,CertiK 剛剛完成獨角獸那輪融資、估值達到 10 億美金的時候,我和 McAfee(注:全球最大的專業安全技術公司)的前 CEO 吃飯。他問我說,你們有多少個 Sales BD(商務拓展人員)?我說我們大概有 6 個,我說你們有多少?他說他們有 4000 個。
極客公園:你們如何有能力承接大規模訂單?
顧榮輝:我們是創造了一套安全引擎(機器),盡量減少安全專家(人工)的工作,從而提高審計效率。但是所有的報告、所有的條目都會通過安全專家的審核。我們只是不讓安全專家簡簡單單的直接讀源代碼。
極客公園:所以你們的核心優勢是這套安全引擎?
顧榮輝:對。這個安全引擎類似于ChatGPT(注:風靡全球的大型語言模型)。它會自動檢查源代碼的問題、甚至模擬攻擊,接著安全工程師會對它提出的問題進行反饋,是對的還是錯的、為什么,你可以理解為這是一種標注后的數據。而這些數據會回到引擎、不斷地訓練引擎。
也就是說,即使我們的技術不發展,但只要我們能見到更多的代碼、有更多的人對它進行標注,我們的引擎就會變得越來越好。然后我們的安全程度會越來越高,并有越來越多的客戶,而這又會讓引擎越來越好。就是這樣一個正循環。
極客公園:有人說,Web3 行業大部分代碼都是 copy 的、沒有什么創新,所以可以大規模去做審計。
顧榮輝:目前整個區塊鏈的 building block(真正有建設性的區塊)確實沒有那么多,這也是為什么我們認為這個行業可以實現自動化。如果不存在這個特性,這條路最開始是很難走的。
但這并不代表我們的審計工作輕松。因為往往被攻擊的都是仿盤項目,它就改了 10 行代碼,這 10 行代碼就改出問題來了。
而且我們也做了很多極具創新性、極難的項目。比如 2022 年區塊鏈安全事件就圍繞兩個字,跨鏈。跨 N 條鏈,就是 N*N 的復雜度,它的技術難度遠遠超過我們以前見過的所有項目。但很多小團隊沒有同時覆蓋多條鏈的能力,反而是 CertiK,因為在所有鏈上都有很多客戶,積累了比較全的跨鏈數據,才能去做。現在很多跨鏈項目的安全保障都是 CertiK 在做。
CertiK 的市場占有率 | 數據來源:CMC
極客公園:大量的自動化審計,如何保證審計質量?
顧榮輝:這是一個好問題。為什么傳統安全公司一直是小團隊模式?因為規模化之后,很難保證安全率、安全質量。因為你一個月接 500 個訂單,就算你的安全率達到 99%,平均每個月也會有 5 個項目爆雷。公司一下就不行了。
CertiK 是有一套監控系統(monitoring system),去監控我們的自動化審計+人工核對的工作是不是合格。每一份報告,我們都會根據安全專家的行為、報告結果、跟同類項目的比較,評出一個「自信分」(confident score)。一旦這份報告的自信分低于某個閾值,我們會啟動相應流程處理。
極客公園:那為什么 2020 年「LIEN FINANCE」這個項目的漏洞,還是有人在網上幫你們找到的?
顧榮輝:理論上沒有一種技術可以確保軟件 100% 的安全。
我們從來不強調「CertiK 就是萬無一失的」。這也是我們把所有審計報告公開的原因。公開的審計結果,給了所有人都可以來檢查的機會,讓更多人可以找到代碼問題,讓項目更安全,這比 CertiK 的品牌聲譽重要得多的多。
極客公園:有項目方說,它找了好幾家審計公司,CertiK 審出來的漏洞是最少的。
顧榮輝:我相信絕大部分情況不是這樣的,目前市面上公開的報告可以佐證我們的觀點。
不過確實有一些情況,比如有的項目方在和小團隊合作時,小團隊會把所有人都撲在一個項目上,會有非常頻繁的溝通,很多小的問題也都會和項目方反復確認,有非常多的反饋和交互。但是 CertiK 是規模化的,是一次性的直接出報告,自動化程度高,會忽略我們認為不重要的問題,也缺少和項目方反復確認的過程。體驗確實不同。
目前我們在針對這個問題進行改進,比如利用 ChatGPT,在實現規模化的同時帶給客戶更好的服務體驗。
極客公園:因為 CertiK 審核過的代碼出現漏洞,導致項目方損失,你們會承擔什么責任嗎?你們會跟項目方道歉嗎?
顧榮輝:首先,這樣的情況并不多。其次,如果出現損失,我們第一時間是幫用戶減少損失、追回被盜資金。之后我們會出具很詳細的報告,說明為什么會發生這個情況。責任的話,就像我們一直強調的,審計報告不是一枚章,不是「防彈證書」,而是一個動態的安全評估。
極客公園:你的同行表示,CertiK 審計了近 6000 個項目,暴雷了好幾個。但它們審計了 2000 多個項目,卻沒有一個出問題。你怎么回應這個觀點?
顧榮輝:我不太清楚這里提到的 2000 多個項目的報告是否公開。沒有公開的話,我們很難進行分析和回應。這也是我們一直提倡大家公開審計報告的原因。
Rekt(Web3 安全攻擊事件統計網站)是一個第三方的權威統計網站,它會看攻擊漏洞是否在審計范圍。在 Rekt 統計的一百多起 Web3 安全爆雷事件中,在 CertiK 審計范圍內的一共就三起。而從我們的市占率來看,我們的事故率要遠遠低于行業水平,安全系數應該是最高的。
極客公園:你們作為審計機構,其實并沒有來自監管的壓力。這很難讓人相信你們會有動力把審計做好。
顧榮輝:2022 年,我被邀請去達沃斯經濟論壇。當時 Circle(穩定幣 USDC 開發商)的 CEO、Ripple(領先的企業加密解決方案提供商)的 CEO,Coinbase(加密貨幣交易所)的 COO、Animoca(區塊鏈游戲公司)的 CEO,幾個人和我開玩笑說,「CertiK 的市占率這么高,會不會變成去中心化世界里的一個新中心呢?」
這和大家對中心化機構的擔憂是一樣的,就是當你做大之后,別人怎么相信你?怎么保證你們每一單的審計都是好好做的?就像大家怎么才能相信中心化交易所不挪用用戶資金呢?
對于交易所來說,它們可以使用「merkle-tree」(「默克爾樹」)來公開儲備證明、透明公示平臺的資產狀況。類似的,我們認為對安全審計的監管,最好的解決方案就是公開透明,這樣才能引入外界的監督。
極客公園:公開透明能夠替代監管的壓力嗎?
顧榮輝:這可能比監管的壓力更大。CertiK 公開了所有報告,如果我們的報告出了一個漏洞,任何人都能發現,所有不好的東西都永遠留在互聯網的記憶里。
回到那個問題,CertiK 到底好在哪、為什么以這么快的速度變成行業第一?拋開所有技術不談,CertiK 堅持公開透明,在巨大壓力下倒逼自己,這不就是一個很直觀的「好」的地方嗎?
05 不缺錢,但反而要拿很多很多錢
極客公園:從 2021 年開始,CertiK 在不到一年的時間內拿了五次融資,囊括了高盛、老虎、軟銀、紅杉、高瓴等最豪華的資方,成為 Web3 安全領域的超級獨角獸。為什么當時融資這么「猛」?
顧榮輝:因為從 2020 年開始,DeFi 迎來大爆發,很多資本希望進入 Web3 行業,但它們認為上層應用的不確定性比較高,所以更看好基礎設施。而安全是非常重要的基礎設施,我們又是公認的龍頭企業,所以引入了很多國際、國內的大型投資機構。
Web3安全領域的投資 | 數據來源:Crunchbase)
極客公園:為什么其它 Web3 安全公司的融資額和估值遠遠不及你們?
顧榮輝:套句俗話,「資本永不眠」,它會不斷追逐有價值的企業。
一方面我們有超強的財務數據和市占率,另一方面可能還是信任問題,基于我們堅持的公開透明的準則。舉個例子,高盛是全球最成功的投行,高盛投資部門的審查非常嚴格,很多 Web3 公司都未能通過審核(比如 FTX)。CertiK 是為數不多通過高盛投資審核的 Web3 公司,這對我們是很大的認可。
極客公園:其實在 2021 年市場非常好的時候,Web3 安全公司并不缺錢,所以你的同行決定不拿錢。但你們想的反而是不僅要拿錢,還要拿很多很多錢。你是怎么考慮的?
顧榮輝:這是非常好的問題。CertiK 從最開始就是正向現金流,并不缺錢,融資的決策也和很多 Web3 公司不同。
首先,因為我們是學者創業,都沒有創業經驗,而 CertiK 和行業面臨的未知太多太多了。我們需要很專業的、最好的投資機構來幫助我們。
其次,雖然 CertiK 的安全產品得到了廣泛認可,但還遠遠不夠。因為我們的黑客對手非常強,甚至有背靠國家的黑客組織。我們希望開發出下一代的安全產品,比如鏈上主動防御技術。這需要大量的投入,這也是我們融資的最重要原因。
極客公園:所以外界覺得你們拿的錢多,但你覺得跟對手相比,這個錢并沒有很多?
顧榮輝:對。我們融資了 2.4 億美金,但這跟我們的黑客對手、和面臨的挑戰相比并不算多。
事實上,我們在融資上已經非常克制了。2021 年到 2022 年,一直在對潛在投資機構 say no、say no、say no。有很多的(投資)offer 非常有吸引力,但我們都沒有接。
極客公園:資本扭曲公司發展的事例不算少,引入這么多豪華投資方,你不會有這樣擔憂嗎?
顧榮輝:我們的投資方都是專業、頂級的大型投資機構。到目前為止,他們從來沒有干涉過我們,而是很尊重我們的想法。我記得有位投資人和我開玩笑說,「他如果要指手畫腳,還不如自己去創立公司呢」。
極客公園:關于上市,你有自己的時間表嗎?
顧榮輝:上市肯定是 CertiK 非常重要的發展節點,我們的很多投資機構比如高盛都很專業,我們會聽取它們的建議。
極客公園:你們賺了這么多錢,又拿了這么多錢,準備怎么花?
顧榮輝:首先,最重要的還是開發下一代 Web3 安全產品,更好的解決用戶痛點。比如基于 CertiK 的安全引擎,我們會大規模投入數據能力,包括區塊鏈數據的處理、分析、響應能力等。比如在合約上鏈后發現漏洞,該怎么跟黑客搶跑資金等等,目前還是比較早期的構想。
其次,我們也在看比較好的潛在收購標的。比如跟我們形成技術互補的、生態呼應的公司,能拓展我們在 Web3 安全賽道的布局。
最后是開拓市場。CertiK 現在全球各個市場的份額應該都是最大的。但因為安全需要 24 小時響應,靠一個純美國團隊來支撐這點很累(時差),同事經常加班到夜里兩三點鐘。所以接下來我們要組建當地團隊,去解決時區問題。
極客公園:CertiK 的全球化做得很好。有國內同行說,你們團隊的海外背景天然有更大優勢?
顧榮輝:CertiK 的國際化背景可能給我們加分,但應該不是決定性因素。
極客公園:很多國內同行做全球化市場遇阻,你覺得可能原因是什么?
顧榮輝:國內公司出海確實挺難的。首先是語言問題。比如我去韓國,那邊的客戶就問我能不能出韓文版報告?所以很多時候,你覺得英文已經可以全球化了,但其實不是。語言問題會帶來很多限制。
其次是觀念的沖突。國內的安全團隊主要是小團隊模式,員工層級分明、管理嚴格,這帶來的好處是效率比較高。但歐美市場主張管理扁平化。出海時會有管理觀念沖突。
極客公園:安全方面的人才很稀缺,你們怎么吸納人才?
顧榮輝:通過一種使命感去凝聚。比如黑客的獲利更大,但絕大部分安全人才都還是選擇做白帽(注:安全攻防人員有做黑客的能力),因為他們是有追求的。
比如我們的李康教授(CertiK 首席安全官),他是世界聞名的白帽,放棄了收入更高的工作來到 CertiK。所以我們只有做對行業有利的事情、樹立使命感,才能夠凝聚他們。
極客公園:回過頭看,上波熊市跟你們同期創立的 Web3 安全公司,活到現在的不多了。這種大浪淘沙可以學到什么?
顧榮輝:我覺得跟風是很危險的。
包括因為我們的融資很好,這輪熊市又出現很多新的 Web3 安全公司。但我覺得目前這個賽道已經非常擁擠了,也很難再有規模化的機會。因為這需要大量的代碼數據、做大量的(人工)標注,它們很難超過現有公司的技術積累。
還有些初創 Web3 安全公司,它們提出了新的審計模式。比如讓項目方在平臺上公開代碼,通過賞金吸引白帽等來審計。但這只對低風險漏洞有效,而那些高風險漏洞,會因為利益誘惑巨大而很難通過賞金找出來。所以這些模式我們都不太認同。
極客公園:聽起來你并不看好這批新成立的 Web3 安全創業公司?
顧榮輝:我們還是堅持認為技術創新比模式創新更加可靠。