对话Web3安全超级独角兽CertiK：「誉满天下，谤满天下」(2)

不久前，我们在北京见到了 CertiK 的联合创始人顾荣辉——这位「哥大教授」只有 33 岁，身着一件咖色的西装，热情地跟我们握手。由于日常穿梭于中美之间，这是他少有的媒体见面。他的表达欲很丰沛，又处处透露着技术实用主义的影子，正如他的投资人和高管形容的那样，「少有的将创始人和学者身份合一的人」。
「我们（CertiK）几乎是靠一己之力把区块链安全变成一个赛道，吸引了很多关注。」他骄傲地说。
但这不是一个只关乎「成功」的故事。根据极客公园调研，一些 Web3 安全行业的同行，对这家公司的看法争议颇多。最核心的指责关乎 CertiK 的安全审计服务，包括为什么有些项目通过安全审计还会出事、谁来审计 CertiK 的审计等等。当我们将这些质疑抛向顾荣辉时，他并不意外，并打趣道，CertiK 是「誉满天下，谤满天下」。
这位创业者面临的核心困境在于，作为一个中心化的机构（安全是传统行业、无法实现数据的公开透明，且 CertiK 又是行业巨头），该如何在 Web3 这个强调去中心化的世界里，获取信任。这和币安（目前最大的中心化交易所）面临的困境相似。
对此，CertiK 的解决方法也是像币安一样，尽可能地公开透明——目前，CertiK 是唯一将安全审计报告全部公开透明的 Web3 安全公司。
但顾荣辉也承认，CertiK 仍有许多需要改进的地方。尤其是在 Web3 安全的领域，在教育用户方面，这条道路更是漫长的。
以下是经过整理的对话全文：
01 安全攻防之外，更要防止「公信力」被滥用
极客公园：2 月 3 日，DeFi 项目 Orion Protocol遭到黑客攻击，损失近 300 万美元。而这个项目是 CertiK 审计的，为什么 CertiK 没有审出它的代码漏洞？
顾荣辉：出问题的代码并不在我们审计的范围以内。比如项目方有两万行代码，出于各种考虑，它只把自认为最核心的代码进行了审计，但剩下的上万行代码没有审计，会有很大概率出问题。如果（代码）不在审计范围内，审计方不应该受到指责。这听起来很像「甩锅」，但确实是审计公司最无奈的地方。
极客公园：所以这本质是因为项目方自己的问题？
顾荣辉：因为安全审计是一笔不小的开支，很多项目方只想把最核心的代码做安全审计，其余的代码就不做审计了。或者只给第一版代码做审计，更新的代码就不做审计了（注：智能合约上链后无法更改，但可以加新模块）。