对话Web3安全超级独角兽CertiK:「誉满天下,谤满天下」(2)
2023-04-30 来源:飞速影视
不久前,我们在北京见到了 CertiK 的联合创始人顾荣辉——这位「哥大教授」只有 33 岁,身着一件咖色的西装,热情地跟我们握手。由于日常穿梭于中美之间,这是他少有的媒体见面。他的表达欲很丰沛,又处处透露着技术实用主义的影子,正如他的投资人和高管形容的那样,「少有的将创始人和学者身份合一的人」。
「我们(CertiK)几乎是靠一己之力把区块链安全变成一个赛道,吸引了很多关注。」他骄傲地说。
但这不是一个只关乎「成功」的故事。根据极客公园调研,一些 Web3 安全行业的同行,对这家公司的看法争议颇多。最核心的指责关乎 CertiK 的安全审计服务,包括为什么有些项目通过安全审计还会出事、谁来审计 CertiK 的审计等等。当我们将这些质疑抛向顾荣辉时,他并不意外,并打趣道,CertiK 是「誉满天下,谤满天下」。
这位创业者面临的核心困境在于,作为一个中心化的机构(安全是传统行业、无法实现数据的公开透明,且 CertiK 又是行业巨头),该如何在 Web3 这个强调去中心化的世界里,获取信任。这和币安(目前最大的中心化交易所)面临的困境相似。
对此,CertiK 的解决方法也是像币安一样,尽可能地公开透明——目前,CertiK 是唯一将安全审计报告全部公开透明的 Web3 安全公司。
但顾荣辉也承认,CertiK 仍有许多需要改进的地方。尤其是在 Web3 安全的领域,在教育用户方面,这条道路更是漫长的。
以下是经过整理的对话全文:
01 安全攻防之外,更要防止「公信力」被滥用
极客公园:2 月 3 日,DeFi 项目 Orion Protocol遭到黑客攻击,损失近 300 万美元。而这个项目是 CertiK 审计的,为什么 CertiK 没有审出它的代码漏洞?
顾荣辉:出问题的代码并不在我们审计的范围以内。比如项目方有两万行代码,出于各种考虑,它只把自认为最核心的代码进行了审计,但剩下的上万行代码没有审计,会有很大概率出问题。如果(代码)不在审计范围内,审计方不应该受到指责。这听起来很像「甩锅」,但确实是审计公司最无奈的地方。
极客公园:所以这本质是因为项目方自己的问题?
顾荣辉:因为安全审计是一笔不小的开支,很多项目方只想把最核心的代码做安全审计,其余的代码就不做审计了。或者只给第一版代码做审计,更新的代码就不做审计了(注:智能合约上链后无法更改,但可以加新模块)。
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号