撰文:Certik
4 月 17 日,韓國知名科技媒體《韓國 IT 時報》(Korea IT Times)發佈了對 CertiK 聯合創始人兼 CEO 顧榮輝教授的專訪。雙方圍繞 CertiK 一季度《HACK 3 D》安全報告,就黑客攻擊手法的叠代和安全防禦技術的創新路徑等,展開深度對話。
顧榮輝認為,安全應被視為一項基礎原則,而非事後的補救措施,應當自項目啓動之初便融入整體戰略,「‘安全優先’的主動策略,對於打造可信 Web 3.0 應用的基礎至關重要」。具體而言,他提倡主動運用形式化驗證、零知識證明、多方計算等前沿技術,全面增強區塊鏈協議和智能合約的防護能力。這也正是其創立 CertiK 的初心和願景,即通過嚴謹的形式化驗證技術,讓 Web 3.0 世界更加安全,更值得信賴。
這種對安全的堅守並非短期市場趨勢的産物,而是源自顧榮輝對技術理想的長期探索與實踐,從耶魯讀博期間參與研發被谷歌團隊譽為「無懈可擊」的 CertiKOS 係統,到如今為超 5300 億美元的數字資産築起安全護城河,他始終致力於守護行業安全,提升行業信任。
顧榮輝曾多次提出,安全不是競爭優勢,而是共同責任。他將實驗室的學術成果轉化為行業落地的安全實踐,也將「共同責任」的理念融入行業協作。這位從頂尖學院走出的技術領袖,正以數學邏輯的可驗證對抗黑客攻擊的不確定性,在技術理想與現實之間錨定 Web 3.0 時代的安全坐標。
以下為專訪全文:
專訪 | 守護 Web 3.0 前沿陣地——CertiK CEO 詳解區塊鏈安全威脅與防禦
在快速發展的 Web 3.0 領域,區塊鏈安全已成為重中之重。本文聚焦 CertiK 的使命——由其聯合創始人、哥倫比亞大學計算機科學教授領導,致力於全面強化區塊鏈生態係統的安全防護。CertiK 致力於通過形式化驗證技術提升區塊鏈和智能合約的安全性,已成為 Web 3.0 安全的行業領跑者。
《韓國 IT 時報》深入解讀了 CertiK 發佈的《Hack 3 d:2025 第一季度安全報告》,揭示了數字資産盜竊和安全威脅的新趨勢。文章還探討了零知識證明、多方計算等前沿技術,向區塊鏈開發者提供實用建議,並探討了 AI 在安全領域的雙重角色。隨著傳統金融機構逐步涉足區塊鏈,安全挑戰也隨之升級,主動措施保護用戶和維護生態係統的完整性變得至關重要。本文旨在為從業者提供關鍵見解,助力他們在復雜的區塊鏈安全環境中穩步前行。
問:請簡單介紹一下您自己以及 CertiK 的核心使命。
答:我是 CertiK 的聯合創始人兼 CEO,同時也是哥倫比亞大學的教授。我與 CertiK 的使命都深深植根於加強 Web 3.0 生態係統的安全性。
CertiK 成立於 2017 年,核心理念是利用形式化驗證技術,持續監控和強化區塊鏈協議與智能合約的安全,確保其安全、正確的運行。我們整合來自學術界與産業界的前沿方案,助力 Web 3.0 應用在保障安全的前提下實現可持續擴展。至今,我們已為超過 4,900 家企業客戶提供服務,累計保護超 5,300 億美元的數字資産,識別出超過 11.5 萬個代碼漏洞。
問:CertiK 最近發佈了《Hack 3 d:2025 第一季度安全報告》,有哪些關鍵發現?
答:2025 年第一季度,鏈上詐騙事件導致的損失約為 16.6 億美元,較上一季度暴漲了 303%。這主要歸因於 2 月底 Bybit 交易所被黑事件,黑客從中竊取了約 14 億美元。與前幾個季度類似,本季度以太坊仍是主要遭受攻擊的目標,3 起安全事件共造成 15.4 億美元的資産損失。更令人震驚的是,我們發現第一季度僅有 0.38%被盜資産被成功追回。
問:相比之前的季度,區塊鏈攻擊的主要目標是否發生了變化?
答:2025 年第一季度的趨勢延續了 2024 年末的態勢,以太坊仍是攻擊重災區。2024 年第四季度以太坊上共發生 99 起安全事件,而第一季度為 93 起。這是一個持續的主題:在整個 2024 年,基於以太坊的項目經歷了最多的安全事件;展望 2025 年,這個情況似乎還在持續。
Bybit 被黑事件也是一例典型案例:基於以太坊生態的 Safe-Wallet 錢包遭到入侵,蒙受重大損失。以太坊成為攻擊焦點的原因在於其 DeFi 協議眾多,鎖倉資産規模巨大;另一方面,以太坊上眾多的智能合約中,不少都存在漏洞。
問:面對愈加復雜的攻擊手法,區塊鏈安全行業如何應對?
答:攻擊者越來越多地利用社會工程學、AI 技術、智能合約操縱等復雜的策略,來繞過現有的安全防護機制。隨著數字資産的廣泛應用和估值提升,行業必須適應新的形勢,確保項目完整性與用戶資産安全。
行業正積極應對挑戰,推動包括零知識證明(ZKP)和鏈上安全等創新技術的發展,這些技術為日益嚴峻的安全問題提供了富有前景的解決方案,可在保護隱私的同時實現交易可審計、攻擊溯源以及資産追回的可能性。多方計算(MPC)則通過將私鑰的控制權限分散至多個參與方,進一步強化了密鑰管理,從而消除了單點故障風險,並顯著提升了攻擊者未經授權訪問錢包的難度。隨著這些安全技術的不斷演進,在抵禦黑客攻擊、維護去中心化生態係統完整性方面將發揮至關重要的作用。
問:您會給區塊鏈開發者和項目團隊哪些安全建議?
答:從一開始就將安全放在優先位置,應該是一項不可妥協的原則。將安全融入開發的每一個階段,而不是事後補救,有助於提早發現潛在漏洞,從長遠來看能夠節省大量時間和資源。這種「安全優先」的主動策略,對於打造可信 Web 3.0 應用的基礎至關重要。將安全融入開發全流程,有助於提前發現漏洞,節省後期修復成本。
此外,尋求區塊鏈安全機構進行全面、公正的第三方審計,也能提供獨立視角,發現内部團隊可能忽視的潛在風險。這類外部評估提供了關鍵的審查環節,有助於及時識別並修復漏洞,從而增強項目整體的安全性,進一步提升用戶的信任。
問:AI 在區塊鏈安全中扮演怎樣的角色?是積極的影響還是帶來了新風險?
答:AI 是 CertiK 安全體係的重要工具,我們也已將其納入保障區塊鏈係統安全的核心戰略之一。CertiK 利用 AI 技術分析智能合約中的漏洞和潛在的安全缺陷,幫助我們以比以往更高效的方式完成全面審計,但它並不能取代人工專家審計團隊。
然而,攻擊者同樣可以利用 AI 來強化其攻擊手段。例如,AI 可被用來識別代碼弱點、規避共識機制、防禦係統。這意味著安全對抗的門檻被擡高,隨著 AI 應用的日益普及,行業必須投入更強大的安全解決方案。
問:什麼是形式化驗證?它如何提升區塊鏈審計的效果?
答:形式化驗證是一種通過數學手段證明計算機程序按預期運行的方法。它通過將程序的屬性表達為數學公式,並借助自動化工具對其進行驗證。
該技術可廣泛應用於技術行業的各個領域,包括硬件設計、軟件工程、網絡安全、AI 以及智能合約審計。但需要強調的是,形式化驗證並非用於取代人工審計。對於智能合約而言,形式化驗證依賴自動化方法來評估合約邏輯和行為,而人工審計則由安全專家對代碼、設計和部署進行全面檢查,以識別潛在的安全風險。兩者相輔相成,共同提升智能合約的整體安全性。
問:隨著傳統金融機構進入區塊鏈賽道,您認為安全威脅的類型或復雜程度會發生變化嗎?
答:在 Web 3.0 和區塊鏈行業的早期階段,攻擊者通常以個人用戶或小型項目為目標,手段包括釣魚攻擊、RugPull 和錢包漏洞利用等。據我們發佈的《2025 年第一季度 Hack 3 d 報告》顯示,這些挑戰依然存在。然而,隨著傳統機構和大型企業的加入,網絡完整性的安全風險也將進入新階段。這一轉變背後,既有項目資産體量的上升,也涉及企業級應用的獨特安全需求、監管要求,以及區塊鏈與傳統金融體係的深度融合。
鑒於大多數傳統機構具備應對網絡威脅的經驗,我們預計惡意行為者也將提升攻擊手段的復雜性,從以往對通用錢包漏洞的攻擊,轉向更具針對性的企業級弱點,例如配置錯誤、自定義智能合約漏洞,以及與傳統係統集成接口中的安全缺陷。
内容來源:TECHUB NEWS
