对话Web3安全超级独角兽CertiK:「誉满天下,谤满天下」(5)
2023-04-30 来源:飞速影视
02 监测到有异常的项目,我们主动曝光出来
极客公园:Web3 安全审计不只是技术层面,也包括人性层面。比如有些项目方会「监守自盗」,故意设计代码漏洞,卷走用户的钱。人性是不是比技术更难审计?
顾荣辉:我们永远相信去中心化、代码,但代码也会出现人性的问题。比如这种俗称的「土狗项目」,我们称之为高风险项目,它们可能因为本身的设计问题、或者代码问题实在太多,最后会导致投资者损失惨重。
今天,Web3 世界被(项目方)诈骗的钱甚至多过了被(黑客)盗的钱。
极客公园:这种「土狗项目」该如何识别?
顾荣辉:其实纯靠看代码是非常困难的。尤其是他们给我们的代码,可能和真实部署的代码都不一致。
所以我们推出了 KYC(Know Your Client,客户背景调查)服务。我们内部有两个 KYC 团队,一个是常规的 KYC,比如一个项目过来了,我们能不能签约,要做最基础的评估。但这能做到的有限。而另一种是目前行业内最严格的 KYC 服务,会有很严格的审查流程,我们会为通过的项目方颁发 KYC 专属徽章并公开展示在官网上,目前从来没有拿到 KYC 徽章的项目出问题。但我们无法强制项目方申请这种严格的 KYC 徽章。
CertiK 的 KYC 服务 | 图片来源:CertiK
这两支 KYC 团队加起来有 20 多人,比一些小的安全审计公司人还多,成本很大。我们为什么要这样投入?就是希望尽可能避免这种高风险项目。
极客公园:你们对高风险项目的判别是主观的、还是有根据现实和规律推导出的标准?
顾荣辉:和审计类似,KYC 既有主观的判断、也有客观的规律。其实通过 KYC 服务,我们已经拒绝了 30% 以上的客户。要不然我们的市场范围会更广。
极客公园:但 2022 年 1 月,经你们审计的项目 Arbix Finance 被标记为「Rug Pull」(诈骗跑路),当时是没识别出来吗?
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号