在過去幾年中,Web3.0行業(yè)發(fā)展迅猛且受到廣泛關(guān)注。在這個全新的數(shù)字世界中,數(shù)據(jù)不再是由少數(shù)人掌控,而是由整個網(wǎng)絡(luò)共同維護(hù)和管理。這將帶來更加公平、透明、安全的數(shù)字經(jīng)濟(jì)生態(tài)系統(tǒng)。

然而Web3.0技術(shù)的發(fā)展也帶來了一系列挑戰(zhàn):盡管其去中心化特性為用戶帶來了更大的控制權(quán)和自主權(quán),但這也使得攻擊者有了更多的機(jī)會來尋找漏洞并惡意利用。

這些安全問題不僅對用戶的資產(chǎn)和隱私構(gòu)成了威脅,也對整個行業(yè)的可持續(xù)發(fā)展產(chǎn)生了不可忽視的影響。2023年僅第二季度,Web3.0行業(yè)因黑客及欺詐騙局導(dǎo)致的資產(chǎn)損失高達(dá)3.1億美元,而這個數(shù)字相比2022年同期還略有下降。212起記錄在案的事件意味著第二季度平均每天都要發(fā)生2起以上的安全事故。第一季度的Euler Finance事件更是以一己之力創(chuàng)下了2023年損失金額的最高記錄: 1.95億美元。

「包括智能合約在內(nèi)的新型創(chuàng)新,也引入了新的漏洞與攻擊模式。在網(wǎng)絡(luò)攻擊力量遠(yuǎn)超網(wǎng)絡(luò)防御的時代,對于參與第三代互聯(lián)網(wǎng)(Web3.0)的人而言,安全風(fēng)險不容忽視?！诡櫂s輝說道

本刊專訪CertiK聯(lián)合創(chuàng)始人、新加坡金管局國際技術(shù)咨詢委員會委員、香港Web3.0發(fā)展專責(zé)小組成員顧榮輝教授,整理后全文如下。

Q: 您認(rèn)為,什么屬性在Web3.0時代最為重要?

顧榮輝:我個人認(rèn)為安全性對于Web3.0的可持續(xù)發(fā)展最為重要。Web3.0被認(rèn)為是區(qū)塊鏈技術(shù)、人工智能、大數(shù)據(jù)等新技術(shù)與互聯(lián)網(wǎng)的深度融合,它的出現(xiàn)將會帶來更智能化、安全化、去中心化的互聯(lián)網(wǎng)。

普華永道預(yù)計,Web3.0將在未來10年內(nèi)將全球GDP提高超過25倍。而Web3.0的核心理念是用戶可以直接控制和管理自己的數(shù)據(jù)、數(shù)字資產(chǎn)和身份,而不需要依賴中心化的機(jī)構(gòu)。在這個新的模式下,安全性是確保用戶資產(chǎn)和信息不受攻擊、欺詐或濫用的關(guān)鍵因素。

而目前的全球監(jiān)管政策也證實了這一點。

Q: 目前的全球監(jiān)管政策對Web3.0來說是利好嗎?

顧榮輝:以香港為例,它作為國際金融中心之一,有著得天獨厚的優(yōu)勢來發(fā)展Web3.0行業(yè),但其一直致力于成為促成監(jiān)管確定性。自去年開始,香港就在持續(xù)頒布一系列監(jiān)管新規(guī),并采取謹(jǐn)慎和穩(wěn)健的態(tài)度,來尋求市場完整性和用戶的長期保護(hù)。而這恰恰是其認(rèn)可Web3.0潛力的表現(xiàn),也成功促使香港建立規(guī)范的Web3.0市場秩序,助力其向全球Web3.0中心的目標(biāo)邁進(jìn)。

就在上月末,我非常榮幸的受邀加入了由香港陳茂波先生領(lǐng)導(dǎo)的香港Web3.0發(fā)展專責(zé)小組,也受邀加盟了新加坡官方國際技術(shù)咨詢委員會。這也充分的反映了各國對Web3.0安全領(lǐng)域的重視以及體現(xiàn)了全球?qū)eb3.0的長期戰(zhàn)略方向。

Q: 監(jiān)管層面的變化,對CertiK的業(yè)務(wù)有任何影響嗎?

顧榮輝:全球各地的監(jiān)管機(jī)構(gòu)都在加強(qiáng)對Web3.0貨幣和行業(yè)的監(jiān)管力度,對于安全領(lǐng)域來說,這無疑是一個利好信息。我們有一個比較具備代表性的產(chǎn)品:KYC盡調(diào)服務(wù),該服務(wù)用以應(yīng)對行業(yè)內(nèi)層出不窮的欺詐騙局,且可在監(jiān)管層面充分配合相關(guān)機(jī)構(gòu)。

Q:無論是AI,還是智能分析,都可以在Web3.0安全領(lǐng)域中起到一部分作用,那能深入聊聊它的關(guān)鍵之處以及CertiK在這方面的運用嗎?

顧榮輝:為了保障Web3.0應(yīng)用和區(qū)塊鏈項目的安全性,靈活運用智能分析技術(shù)將是安全領(lǐng)域前行的下一步,其也可在Web3.0安全審計過程中發(fā)揮真正的價值。

智能合約是Web3.0應(yīng)用的核心組成部分,也是最容易受到攻擊的目標(biāo)之一。

智能分析技術(shù)可以通過對合約代碼的靜態(tài)和動態(tài)分析,識別潛在的漏洞和安全風(fēng)險,并可自動化地檢測合約中的安全問題,提供詳細(xì)的報告,幫助審計專家更高效地發(fā)現(xiàn)和修復(fù)漏洞。

不僅如此,智能分析系統(tǒng)還可對區(qū)塊鏈網(wǎng)絡(luò)中的交易進(jìn)行監(jiān)測和分析,識別異常行為和攻擊行為,幫助發(fā)現(xiàn)潛在的安全風(fēng)險。目前,我們就正在利用最先進(jìn)的形式化驗證技術(shù)、安全智能審計技術(shù)以及安全專家人工審計,通過掃描及監(jiān)控區(qū)塊鏈協(xié)議和智能合約,保證項目的安全性。

作為「Web3.0學(xué)術(shù)界的代表機(jī)構(gòu)」,我們的研發(fā)團(tuán)隊一直在深耕將智能分析運用于安全的方式,并將其轉(zhuǎn)化為任何普通用戶都可以使用的工具。

其實我們的Skynet天網(wǎng)掃描平臺在2020年就已經(jīng)上線推出了,這也是我們目前智能分析平臺Skynet for Community最早的支撐工具。我們很早之前就有關(guān)于這方面的想法,希望可以將前沿學(xué)術(shù)成果轉(zhuǎn)化為企業(yè)級產(chǎn)品,從而提供一個不僅是專業(yè)技術(shù)人員才能踏足的平臺,這個平臺必須可以自行產(chǎn)出可視化的數(shù)據(jù),為所有普通用戶進(jìn)行服務(wù)。

這個想法直到今年年初才算是實現(xiàn)的足夠完善,Skynet for Community可以為用戶提供可操作的鏈上數(shù)據(jù)和社交數(shù)據(jù),最新完成智能合約審計的項目名單,還有最具價值的行業(yè)見解和安全最佳實踐,我們實現(xiàn)了流程簡化并將這些數(shù)據(jù)全部整合于一個平臺供用戶查閱。

Q: 您提到的Skynet for Community平臺有什么功能?

顧榮輝:Skynet for Community平臺是希望為圈內(nèi)用戶,打開名為「安全」的大門。從前「安全」二字對于普通用戶來說是一個不可觸及的領(lǐng)域,但攻擊和損失卻是確確實實的。未來用戶不僅可以通過這個平臺,查看所有他們關(guān)注的生態(tài)系統(tǒng)和項目的市場狀態(tài),還可以通過CertiK排行榜查看其安全評分和風(fēng)險,獲知第一時間的預(yù)警和威脅動態(tài)。除此之外,用戶還可以查看項目的團(tuán)隊背景檢測,我們的KYC版塊會賦予徽章給那些通過KYC檢測的項目,用戶即可借此大幅度降低陷入Rug Pull等欺詐騙局的風(fēng)險。

Q:這樣聽起來,安全技術(shù)其實不止可以應(yīng)用于Web3.0對吧?

顧榮輝:是這樣的,這類安全技術(shù)可以運用到非常多領(lǐng)域,例如云計算。

今年5月,我們和阿里云宣布簽署合作伙伴關(guān)系正是基于這一點。我們?yōu)槟切┎渴鹪谠品?wù)器上的Web3.0項目提供安全服務(wù)?，F(xiàn)在,Web3.0開發(fā)人員就可以使用CertiK的安全解決方案和阿里云可擴(kuò)展、高效且安全的基礎(chǔ)設(shè)施來加速開發(fā)過程并保護(hù)應(yīng)用程序和智能合約。我們的智能合約審計服務(wù)和Layer 1區(qū)塊鏈審計服務(wù)已全面上線阿里云,很榮幸可以看到阿里云致力于同樣的愿景并采用全面的安全方法。我們也非常期待可以將安全的區(qū)塊鏈開發(fā)和部署賦予盡可能廣泛的受眾。

Q: 聽到你也介紹了你們的漏洞賞金計劃,這個計劃主要是在做什么的?

顧榮輝:我們招募并遴選了一批世界頂級的白帽黑客,收集情報以在惡意行為者利用漏洞之前將其及時發(fā)現(xiàn)。不僅可以為用戶篩查和鑒定所有提交材料,還可以協(xié)助其進(jìn)行正確的修復(fù)。

值得一提的是,前陣子我們剛因發(fā)現(xiàn)一種新型安全威脅而被公鏈SUI授予50萬美元賞金。

我們發(fā)現(xiàn)的威脅被命名為“HamsterWheel(倉鼠輪)”,它有可能破壞SUI整個Layer 1網(wǎng)絡(luò)。目前SUI已推出修復(fù)措施,用以確保其網(wǎng)絡(luò)安全。這也表明了積極開展網(wǎng)絡(luò)安全工作、促進(jìn)安全區(qū)塊鏈生態(tài)系統(tǒng)的重要性以及漏洞賞金計劃的價值,凸顯了在快速發(fā)展的區(qū)塊鏈領(lǐng)域采取強(qiáng)有力的安全措施和先發(fā)制人識別威脅的必要性。

受訪者介紹

顧榮輝教授是哥倫比亞大學(xué)計算機(jī)系教授,本科畢業(yè)于清華大學(xué),在耶魯大學(xué)獲得計算機(jī)科學(xué)博士學(xué)位。同時他也是操作系統(tǒng)、軟件安全以及形式化驗證方面的專家,世界上第一個被完全證明的并發(fā)操作系統(tǒng)內(nèi)核CertiKOS的主要設(shè)計者和開發(fā)者。顧榮輝教授因在系統(tǒng)安全領(lǐng)域的貢獻(xiàn),獲得了亞馬遜研究獎、OSDI Jay Lepreau最佳論文獎、SOSP最佳論文獎、 CACM(國際計算機(jī)協(xié)會)Research Highlights獎,VMware系統(tǒng)研究獎,耶魯優(yōu)秀博士論文獎。他與耶魯大學(xué)計算機(jī)系主任、終身教授邵中共同創(chuàng)立了CertiK,短短五年占據(jù)了Web3.0安全市場最高占有率,創(chuàng)立至今保障了超過3600億美金的數(shù)字資產(chǎn)安全,一躍成為估值20億美金的超級獨角獸。

7月初,CertiK聯(lián)合創(chuàng)始人顧榮輝教授受邀出席「全球數(shù)字經(jīng)濟(jì)大會數(shù)字安全高峰論壇暨BCS2023北京網(wǎng)絡(luò)安全大會」,于大會開幕式上自智能分析與審計實踐的具體討論入手,回應(yīng)了Web3.0安全領(lǐng)域普遍關(guān)注的前沿性問題。

寫在最后

Web3.0的未來趨勢令人興奮,但它的實現(xiàn)也離不開整個行業(yè)的努力和保護(hù)。保護(hù)用戶資產(chǎn)、隱私和數(shù)據(jù)的安全,防止攻擊和濫用行為,以及建立可靠的信任機(jī)制,都是確保Web3.0生態(tài)系統(tǒng)成功發(fā)展的關(guān)鍵要素。

只有通過全球社區(qū)的共同努力,才能夠構(gòu)建一個安全可靠的Web3.0生態(tài)系統(tǒng),為用戶提供真正安全、隱私保護(hù)和可持續(xù)發(fā)展的數(shù)字經(jīng)濟(jì)。

希望通過業(yè)界的共同努力,Web3.0能夠達(dá)到更高的安全性和可持續(xù)性,助力更為安全、開放和公正的Web3.0落地,推動數(shù)字經(jīng)濟(jì)更好地融入人們的生活。

免責(zé)聲明：市場有風(fēng)險，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。