对话Web3安全超级独角兽CertiK：「誉满天下，谤满天下」(5)

02 监测到有异常的项目，我们主动曝光出来
极客公园：Web3 安全审计不只是技术层面，也包括人性层面。比如有些项目方会「监守自盗」，故意设计代码漏洞，卷走用户的钱。人性是不是比技术更难审计？
顾荣辉：我们永远相信去中心化、代码，但代码也会出现人性的问题。比如这种俗称的「土狗项目」，我们称之为高风险项目，它们可能因为本身的设计问题、或者代码问题实在太多，最后会导致投资者损失惨重。
今天，Web3 世界被（项目方）诈骗的钱甚至多过了被（黑客）盗的钱。
极客公园：这种「土狗项目」该如何识别？
顾荣辉：其实纯靠看代码是非常困难的。尤其是他们给我们的代码，可能和真实部署的代码都不一致。
所以我们推出了 KYC（Know Your Client，客户背景调查）服务。我们内部有两个 KYC 团队，一个是常规的 KYC，比如一个项目过来了，我们能不能签约，要做最基础的评估。但这能做到的有限。而另一种是目前行业内最严格的 KYC 服务，会有很严格的审查流程，我们会为通过的项目方颁发 KYC 专属徽章并公开展示在官网上，目前从来没有拿到 KYC 徽章的项目出问题。但我们无法强制项目方申请这种严格的 KYC 徽章。

CertiK 的 KYC 服务 | 图片来源：CertiK
这两支 KYC 团队加起来有 20 多人，比一些小的安全审计公司人还多，成本很大。我们为什么要这样投入？就是希望尽可能避免这种高风险项目。
极客公园：你们对高风险项目的判别是主观的、还是有根据现实和规律推导出的标准？
顾荣辉：和审计类似，KYC 既有主观的判断、也有客观的规律。其实通过 KYC 服务，我们已经拒绝了 30% 以上的客户。要不然我们的市场范围会更广。
极客公园：但 2022 年 1 月，经你们审计的项目 Arbix Finance 被标记为「Rug Pull」（诈骗跑路），当时是没识别出来吗？