×

掃碼關(guān)注微信公眾號

韓媒專訪CertiK審計合伙人:Web3安全關(guān)鍵在“事前防御”

2025/7/3 11:49:11     

在韓國IXO?區(qū)塊鏈大會期間,CertiK審計合伙人Matt Wang接受韓國知名區(qū)塊鏈媒體TokenPost專訪。作為兼具傳統(tǒng)ICT背景與區(qū)塊鏈實戰(zhàn)經(jīng)驗的專家,他在采訪中強調(diào)“安全是生態(tài)共同責(zé)任”,并介紹了CertiK如何依托AI驅(qū)動的審計、形式化驗證及與全球監(jiān)管機構(gòu)的緊密合作,為Web3項目提供全生命周期安全解決方案。

在本次專訪中,Matt Wang不僅系統(tǒng)闡述了CertiK的技術(shù)戰(zhàn)略與“安全優(yōu)先”理念,還提到了CertiK近期因在zkEVM研究中的突出表現(xiàn),獲得了以太坊基金會資助,并在“Ethereum Attackathon 2025”中取得第三名的佳績。

作為Web3安全公司,CertiK將不斷拓展技術(shù)邊界,優(yōu)化全生命周期安全服務(wù),持續(xù)護航全球Web3生態(tài)的創(chuàng)新與合規(guī)發(fā)展。

以下為專訪全文:

TokenPost專訪Matt Wang:“Web3安全的關(guān)鍵在于事前防御,CertiK是生態(tài)系統(tǒng)的盾牌”


image.png


在數(shù)字資產(chǎn)市場迅速擴張的當(dāng)下,Web3安全仍是關(guān)鍵課題。一位兼具傳統(tǒng)ICT與區(qū)塊鏈經(jīng)驗的CertiK安全專家,強調(diào)“安全是生態(tài)共同的責(zé)任,單次審計遠遠不夠”。通過AI應(yīng)用、形式化驗證以及與監(jiān)管機構(gòu)的深度合作,CertiK正在助力全球Web3項目提升可信度與安全性。

隨著數(shù)字資產(chǎn)行業(yè)的高速發(fā)展,作為Web3生態(tài)核心基礎(chǔ)的區(qū)塊鏈技術(shù),仍然面臨著“安全”這一根本挑戰(zhàn)。智能合約、跨鏈橋、去中心化應(yīng)用等技術(shù)不斷演進,攻擊面也隨之?dāng)U大,一次安全事故便可能成為項目生死存亡的轉(zhuǎn)折點。

在此背景下,擁有14年ICT與區(qū)塊鏈行業(yè)經(jīng)驗的實戰(zhàn)型安全專家Matt Wang,現(xiàn)作為CertiK的審計合伙人,在IXO?的演講引發(fā)了業(yè)界的廣泛關(guān)注。他指出:“Web3安全是整個生態(tài)的共同責(zé)任”,并強調(diào)構(gòu)建具備事前預(yù)防、實時響應(yīng)能力的結(jié)構(gòu)性安全體系至關(guān)重要。

在本次專訪中,Matt Wang深入分享了CertiK的技術(shù)戰(zhàn)略、AI驅(qū)動的審計系統(tǒng)、與全球監(jiān)管機構(gòu)的合作經(jīng)驗以及公司的中長期發(fā)展路線圖。

Q:請您簡單介紹一下自己和CertiK。

我曾在移動通信核心網(wǎng)絡(luò)領(lǐng)域工作了7年,隨后在區(qū)塊鏈行業(yè)積累了7年經(jīng)驗,涉及DApp、協(xié)議開發(fā)、中心化交易所及安全等多個方向。我擁有傳統(tǒng)ICT體系和去中心化環(huán)境的實戰(zhàn)經(jīng)驗,在區(qū)塊鏈領(lǐng)域,我初擔(dān)任核心開發(fā)人員,目前是CertiK的安全專家。

CertiK成立于2017年12月,由耶魯大學(xué)和哥倫比亞大學(xué)的兩位教授共同創(chuàng)辦,是一家全球領(lǐng)先的Web3安全服務(wù)公司。公司提供智能合約審計、鏈上監(jiān)控、實時威脅響應(yīng)等全方位的安全解決方案,覆蓋項目從早期孵化到成熟階段的整個開發(fā)生命周期,服務(wù)規(guī)模在行業(yè)中首屈一指。

Q:是什么契機讓您投身區(qū)塊鏈安全并加入CertiK?您重視的Web3安全理念是什么?

起初,作為Cosmos生態(tài)的核心開發(fā)者,我被Web3技術(shù)的開放性與創(chuàng)新性深深吸引。但在反復(fù)目睹黑客攻擊和漏洞帶來的嚴重后果后,我逐漸意識到,保護生態(tài)系統(tǒng)的安全與建設(shè)生態(tài)本身同等重要。正是在這一過程中,我與CertiK結(jié)緣,并堅定了為守護生態(tài)根本安全性貢獻力量的信念。

我始終認為Web3安全是一種“共同責(zé)任”。要領(lǐng)先于攻擊者一步,就需要持續(xù)且前置的防御投入。在我看來,審計人員是Web3世界中的“平衡者”,肩負著保障公平與穩(wěn)定的重要角色。

Q:盡管安全技術(shù)不斷發(fā)展,但交易所遭受攻擊的事件仍頻頻發(fā)生。您認為主要原因是什么?根本性的解決思路又是什么?

造成這一現(xiàn)象的原因有很多,但我認為主要包括以下四點:

  • 系統(tǒng)結(jié)構(gòu)過于復(fù)雜:隨著鏈上與鏈下組件、跨鏈橋、API、托管服務(wù)等功能高度集成,攻擊面不斷擴大。

  • 攻擊手法持續(xù)演化:黑客不再僅依賴代碼漏洞,還使用網(wǎng)絡(luò)釣魚、內(nèi)部人員威脅、社會工程學(xué)攻擊等多種方式進行攻擊。

  • 運營層面存在空白:密鑰管理薄弱、權(quán)限控制不嚴、事故響應(yīng)流程缺失等問題尤為致命。

  • 安全態(tài)度過于被動:很多團隊誤以為“一次審計就夠了”,忽視了安全的持續(xù)性和動態(tài)性。

作為解決方案,我想強調(diào)以下幾點:

  • 將安全理念貫穿于開發(fā)與運維全過程,落實“安全優(yōu)先(Security by Design)”原則;

  • 建立分層防御體系,包括基于AI的監(jiān)測、形式化驗證、訪問控制和團隊身份驗證等多層防御體系;

  • 構(gòu)建具備實時發(fā)現(xiàn)與響應(yīng)能力的安全響應(yīng)機制,快速遏制與恢復(fù)問題;

  • 面向全體員工開展持續(xù)培訓(xùn),了解新的攻擊方式。

Q:當(dāng)前AI與區(qū)塊鏈正在加速融合,CertiK是如何將AI應(yīng)用于審計流程的?

AI已成為CertiK審計戰(zhàn)略的核心,我們主要聚焦兩個方向:

漏洞檢測:CertiK利用AI技術(shù)對鏈上攻擊的預(yù)警數(shù)據(jù)進行解析,提供漏洞成因和攻擊手法的技術(shù)分析。

審計流程優(yōu)化:CertiK利用AI進行已知漏洞模式掃描、代碼邏輯輔助分析和報告生成優(yōu)化,從而提升專家審計的效率。

鑒于攻擊者也在積極使用AI,我們認為防御方必須借助AI實現(xiàn)前瞻性防御與自動化分析,才能真正建立優(yōu)勢。

Q:近年來,美國、韓國等地紛紛加快穩(wěn)定幣監(jiān)管步伐。您認為基本的安全標(biāo)準(zhǔn)是什么?CertiK又如何制定審計策略?

各國監(jiān)管正迅速落地,新加坡金融管理局 (MAS)、歐洲金融監(jiān)管局 (MiCA) 和中國香港金融管理局 (HKMA)等機構(gòu)已發(fā)布穩(wěn)定幣監(jiān)管指南,其共同目標(biāo)是:用戶保護、法律清晰性與金融體系穩(wěn)定。

CertiK在這一趨勢下采取以下策略:通過智能合約安全審計,確保技術(shù)架構(gòu)的穩(wěn)定性;協(xié)助完善白皮書、風(fēng)險管理政策與贖回機制等合規(guī)文檔;借助與MAS、HKMA等機構(gòu)的合作經(jīng)驗,為不同地區(qū)項目提供本地化的指導(dǎo)方案。

我們希望成為連接技術(shù)與合規(guī)之間的橋梁,幫助穩(wěn)定幣項目兼顧安全性與合規(guī)性。

Q:據(jù)悉,CertiK與多家監(jiān)管機構(gòu)有深入合作,能否分享一次印象深刻的合作經(jīng)歷?

讓我印象深的是與中國香港金融監(jiān)管機構(gòu)的合作。CertiK曾向中國香港金融管理局(HKMA)和財經(jīng)事務(wù)及庫務(wù)局(FSTB)提交了兩份穩(wěn)定幣監(jiān)管框架建議書,均被采納。

此外,我們還與數(shù)碼港合作,面向本地Web3企業(yè)開展安全教育培訓(xùn)。許多企業(yè)在申請牌照過程中,均獲得了CertiK在安全架構(gòu)設(shè)計與審計方面的支持。

這些經(jīng)歷表明,安全專家不僅在項目中至關(guān)重要,在監(jiān)管政策的制定過程中同樣能發(fā)揮重要作用。

Q:目前CertiK在安全技術(shù)方面的重點聚焦領(lǐng)域有哪些?是否可以分享一些新成果?

我們正在將形式化驗證技術(shù)從智能合約拓展至更復(fù)雜的結(jié)構(gòu),例如共識機制、跨鏈橋與零知識證明。代表性成果包括zkWasm、TON主鏈、以及螞蟻集團的HyperEnclave TEE項目。

此外,CertiK還獲得了以太坊基金會關(guān)于zkEVM形式化驗證的兩項研究資助,并在“Ethereum Attackathon 2025”中提交了20份有效漏洞報告,榮獲總排名第三。作為比賽中唯一一支覆蓋三大執(zhí)行層節(jié)點客戶端的安全團隊,CertiK的這一成就意義非凡。

Q:后,請談?wù)凜ertiK未來的中長期發(fā)展方向。

面向未來,CertiK將聚焦三大核心方向,持續(xù)推進安全能力的演進。首先,在安全技術(shù)縱深發(fā)展方面,我們將把形式化驗證從智能合約拓展至共識協(xié)議、跨鏈架構(gòu)等更復(fù)雜的系統(tǒng);其次,在AI集成方面,我們正致力于構(gòu)建融合AI分析、靜態(tài)分析與形式化驗證的智能反饋系統(tǒng),全面提升審計效率與準(zhǔn)確性;后,在實時響應(yīng)體系上,我們將打造具備智能檢測與自適應(yīng)防護能力的可擴展架構(gòu),實現(xiàn)對安全威脅的即時發(fā)現(xiàn)與動態(tài)應(yīng)對。

隨著客戶需求的持續(xù)演進,安全服務(wù)也必須不斷精進。CertiK將繼續(xù)拓展全生命周期的安全解決方案,助力生態(tài)參與者在保障安全的基礎(chǔ)上實現(xiàn)創(chuàng)新突破。