「高端对话」CertiK 联创顾荣辉：Web3 行业合规趋势下，香港成为 Web3 创业的最佳基地

Meta Era ｜2024-11-07 23:26

香港 Web3 发展由政策蜜月期转入业务发展阵痛期，但香港依然是最好的 Web3 创业地方之一，如果对于华人而言的话，我认为可能是没有之一，是最好的创业基地。

文章作者：0x9999in1

文章来源：MetaEra

近日，MetaEra 香港专区重磅上线，“香港加密新政两周年庆典”系列活动领衔首发，其中重要的一环便是「高端对话：香港 Web3.0 影响力领袖人物」，本期采访的人物便是CertiK联合创始人顾荣辉。

「高端对话」CertiK 联创顾荣辉：Web3 行业合规趋势下，香港成为 Web3 创业的最佳基地

人物介绍

顾荣辉，哥伦比亚大学计算机系教授、CertiK联合创始人。新加坡金融管理局（MAS）国际技术咨询委员会委员，香港政府第三代互联网（Web3.0）发展专责小组成员。顾荣辉本科毕业于清华大学，2016 年于耶鲁大学获得计算机科学博士学位。同时，顾荣辉是操作系统、软件安全以及形式化验证方面的专家，也是CertiKOS的主要设计者和开发者。

精华观点

●我觉得香港依然是最好的Web3创业地方之一，如果对于华人而言的话，我认为可能是没有之一，是最好的创业基地。

●我们认为安全需要伴随整个项目的生命周期，我们希望可以陪伴用户从早期一直到上线、上链、上币，再到成熟期的运营。

●我们不希望行业或者项目方认为通过CertiK 的安全审计，这个项目就完全没有安全问题了。

●CertiK所有在做的一切，就是让所有的东西公开透明。

●公开透明信息对于CertiK肯定是把双刃剑，但是对于行业一定是个正向的结果。

●监管政策最重要的三点就是管得住、看得见、强制执行。

●香港Web3的发展已经过了最早的蜜月期，现在进入阵痛期。

●CertiK就要在这种不公平的对抗下，和黑客7*24的对抗，经年累月的对抗，尽可能保证我们的胜率

访谈全文

MetaEra：CertiK 于去年 8 月落户香港数码港，能否谈谈您自己的亲身感受，为那些还在观望香港 Web3 发展的从业人员和项目提供相关指导性建议呢？

顾荣辉：我记得2023年1月份，香港已经出台了一些相关政策，那个时候我觉得大家都处于观望的状态。CertiK 收到邀请来到香港，也见到了陈茂波司长，他发表了自己对于Web3金融政策的看法，让我感受到港府对于发展Web3的信心是很足的。

也就是从那个时候，我们开始着手组建 CertiK 在香港的公司。在那段时间，美国对于Web3的态度是这样的，SEC接连发起了十几起诉讼，大家就会觉得美国对Web3的态度和政策都变得非常不明朗，所以就有很多人把目光投向了亚洲。亚洲的金融中心主要有新加坡和香港，我接到香港邀请的时候，其实本人当时是在新加坡，也是新加坡金融管理局(MAS)国际技术咨询委员会委员，又因为新加坡主权基金淡马锡基金投资了FTX，FTX暴雷后，导致新加坡政策对于Web3的政策开始有些犹豫，我觉得香港很好地抓住了这样一个机会。

我们在香港选择入驻了数码港，其对于Web3创业者的支持是非常充足的，不仅会定期组织活动，还会有项目的孵化等等，我们从中也交流了很多。在整个过程中，我会感觉到香港自身独特的一个地位，加上港府发展Web3的决心，我们会觉得其是非常好的Web3创业基地。

如果说要我给其他Web3从业者一些建议的话，我觉得香港依然是最好的Web3创业地方之一，如果对于华人而言的话，我认为可能是没有之一，是最好的创业基地。第一，它有政策的支持；第二，它背靠深圳，不仅可以招募到金融方面的人才，而且也可以招募到很多优质的程序员和开发者；第三，越来越多相关企业的入驻，也让大家可以更好地找到合作伙伴或者客户。此外，如果有创业者想来香港创业，我非常建议第一时间联系数码港，目前CertiK 也在和数码港合作，可以给一些安全方面的证书，可以帮助大家申请到数码港的创业支持基金等。

另外，香港金融监管机构采纳CertiK建议，强化了稳定币监管框架，这个感受是非常好的！相当于港府可以倾听这个行业各个赛道的专业性的建议、想法和声音，从而去改进它的政策。我感觉在各地政府中，港府在这方面做得最好。

MetaEra：香港也在加密新政的号召下，引来众多Web3项目的入驻，请问您觉得这些项目是如何看待区块链安全的呢？华语区的创业者对于加密安全的看法是否和西方世界有所不同，您是否可以展开讲讲？

顾荣辉：我们是在Web3安全赛道，我们也可以说是Web3安全赛道的头部公司。首先，安全对于大部分的从业人员来说，你问任何一家企业或者创始人，项目的安全重不重要，他一定会说很重要！但是怎么样去提高项目的安全性，以及项目的安全到底包含哪几个方面？是否愿意为此付费？答案都是比较模糊和笼统的，所以大家都会觉得安全很重要，但是落实起来的话，我们感受到相关阻力还是比较大的。

第一，大家都觉得没有必要，总有一种侥幸心理，认为项目是安全的，项目不会受到攻击，这样很容易把项目安全忽略掉。第二，对于安全而言，区块链的安全到底包含哪些？作为一个区块链的项目方，他到底要做哪些方面的安全保护？其实问大部分的项目方都不太了解。在以前大家可能会比较多地听到代码审计，其中的一部分是CertiK的努力倡导使得代码审计这件事已经达成了一个共识，就是项目代码在内部人员测试完后，应该找外部的机构进行独立第三方的安全审计。

但是在三、四年前，并不是这样，在2020年DeFi刚开始的时候，大家慢慢意识到了代码审计的重要性。在这几年间，有些项目只是把一部分的代码做安全审计，因为费用很贵，甚至还有些项目会把这一版的代码做安全审计，但是之后代码更新的版本就不做安全审计了。这其实都存在着误区，代码的任何改动，即便是几行代码的改变都可能引入新的漏洞、新的攻击机会。这一现象直到今天依然没有达到一个共识，就是项目所有的代码、所有的版本都应该做安全审计。

再往下走一步，代码安全审计只是区块链安全中的一小部分。整个区块链安全包括私钥的管理、非智能合约部分和智能合约交互的安全。比如有些项目还涉及节点安全，比如企业使用钱包，无论是多签钱包还是MPC钱包，这些钱包的解决方案是否安全。其实上述说的这些都已经超过了代码审计的范畴，但是这些部分的安全，很多项目方完完全全是零设计零保护，几乎属于在裸奔。在这种情况下，你会发现很多的攻击不再单单利用智能合约的安全进行攻击了，我们和数码港合作推出了一个安全培训，对创业者和企业家进行安全方面的培训，然后我们会有考试环节，会颁发证书。有了这个证书以后，就可以有资格申请数码港的基金支持了。因为把支持资金给你，至少可以避免被盗被丢的事情发生。

MetaEra：华语区的创业者对于加密安全的看法是否和西方世界有所不同，您是否可以展开讲讲？

顾荣辉：整体的看法还是一致的！2021年之前，大家对于安全的关注没有那么多，2021年之后，大家开始比较多的关注安全。但是其中可能有些细微的区别，可能就是西方的创业者对于安全的侥幸心理稍微小一些，而东方华语区的创业者，会有一定的侥幸心理，会觉得自己的项目没有安全问题。此外一个些微不同的地方，就是我们帮西方项目指出一些漏洞的时候，他们相对来讲持开放的态度，在华语区碰到一些项目，当你指出问题时，他们会有抵触的心理，他们觉得项目没有问题，代码没有问题，CertiK指出的问题反而对他们的项目是不利的。当然，我说的情况也是极个别案例。但是我想说，安全审计的目的就是帮你找到问题，帮你修复问题。

MetaEra：近期，我们看到 CertiK 的 Slogan 发生了变化，是基于什么样的考量做出这样的升级？CertiK 面向社区免费推出了 Token Scan、Wallet Scan 等安全工具。作为安全公司，CertiK 是否会将更多精力投向C端用户？

顾荣辉：我们先说 Slogan ，以前的 Slogan 是“Securing The Web3 World”，我们刚刚进行了升级，现在是 Slogan 是“Elevating Your Entire Web3 Journey”，这是一个挺大的改变。

那我想先说一下为什么我想做这样的改变，CertiK服务了4700家客户，找到了15万个安全漏洞，汇报了超过40个大型漏洞，可以说我们对社区做了非常大的贡献，但是我们对于C端，对于开发者社区等，我觉得我们的输出是不够的，我们对于社区的反馈，在过去几年是做得不足的地方。

“Securing The Web3 World”是我们一开始最朴素的想法，就是我们希望能够保护整个Web3行业、世界。那么我会自问，我们的客户在哪里？我们的社区在哪里？其实这个Slogan并没有很好地体现。当我们的愿景变得很宏大，变成一个行业、一个世界的时候，它反而有时候会忽视具体的社区、具体的客户、具体的C端用户。所以我在新的Slogan里加了“Your Web3 Journey”，我们非常希望把行业里的一个个人、一个个社区放到我们的思想里，让它变得更具体，而不再是一个宏观的世界。

第二，我们很多的客户会觉得安全是上线之前一次性的安全审计，会把它当成一个时间点的服务，但是我们认为安全需要伴随整个项目的生命周期，我们希望可以陪伴用户从早期一直到上线、上链、上币，再到成熟期的运营。

第三，Slogan的升级，我们认为安全不单单纯纯是防止不被攻击，在整个生命周期里，我们是在给项目方赋能，包括CertiK现在也提供了很多超出了安全领域的服务，已经触达泛安全领域。在泛安全领域之外，我们也为客户提供了“Design Review”的咨询服务。例如TON公链，早期我们为其做了代码审计、形式化验证，在上线之后，我们还帮TON做了性能测试还有社区建设，这些其实都已经超出了安全领域的范畴。

所以说，为了更好定义CertiK的使命，更好定义CertiK的产品与服务，我们升级了CertiK的Slogan，新的Slogan包括了项目方、交易所、钱包和C端用户。像Token Scan、Wallet Scan这些工具是完完全全免费的，目的是回馈支持我们的社区，然后为我们的社区进行赋能。

MetaEra：很多初创的 Web3 项目，都会在自己的官方 PR 里强调自己已经通过了 CertiK 的安全审计，似乎“通过 CertiK 安全审计”已经成为了行业标准，那么您觉得，一些项目方把这个方面宣传为自己项目的优点和优势，用户可能会被培养出“通过 CertiK 审计就是好项目，没通过 CertiK 审计就不是好项目”的固化思维，对这个现象，您怎么看呢？

顾荣辉：首先我很开心看到很多项目把通过 CertiK 的安全审计作为项目的一个加分点，并作为项目的优势去进行宣传。这肯定是对我们的工作、技术和品牌的认可，无论如何这是一件开心的事情。

但我也想说一个最大的误区，我们不希望行业或者项目方认为通过CertiK 的安全审计，这个项目就完全没有安全问题了，我们一直在强调这是两件事情。

首先，CertiK 的安全审计和项目的安全中间存在很大的缺口，安全审计和项目方安全其实包括了很多非安全审计的部分。

第二，CertiK 很多时候只能拿到部分代码，甚至是一个版本的部分代码进行安全审计，那么也没有办法对整个代码库进行任何的保证。

第三，图灵和其他科学家的工作表明，理论上没有任何通用的办法可以保证一段代码是百分百安全的。那么通过安全审计也不意味着代码是百分百安全的。但是通过CertiK 的安全审计可以表明项目方对于安全的重视，这个需要项目方花费时间的成本、金钱的成本，甚至是延期上线等来提升项目整体的安全性。此外通过CertiK 的安全审计可以极大提高项目的安全程度。

从这些角度来讲，通过CertiK 的安全审计确实可以作为项目方的优势。但是我们不希望把它变成一种固化思维，这种思维对于项目方和CertiK都有可能造成反噬效果。所以我们在不断地去阐述事实是什么样的，再次感谢项目方以及行业对我们的认可。

MetaEra：CertiK 在今年碰上 Kraken 的事件，想必大家都比较了解双方各执一词的情况，那么从公关危机的角度来说，这个事件给 CertiK 带来了哪些成长启示和实际影响呢？

顾荣辉：这个事件的热度远远超出了我们的想象，事情已经过去几个月了，我们回过头去看这件事情，有几个很明显的结果。

第一，Kraken出现了很严重的漏洞，CertiK发现了漏洞并且快速通知了Kraken，Kraken修复了漏洞，最终没有造成任何的用户损失。Kraken自己都会承认，这可能是有史以来最严重的交易所漏洞，CertiK发现并帮助其修复了漏洞。从结果来看，这是对于整个行业的一个Big Win。

第二，如果再让我们重新经历一次，CertiK依然会不改初衷的第一时间对Kraken进行汇报，帮助他们去避免任何可能出现的用户损失，无论重复100遍还是1000遍，这都是我们会去做的事情。

但是面对同一个事情，双方有不同看法的时候，CertiK相信肯定有更好的方法去解决，而不是出现像此前双方各执一词的局面。

MetaEra：区块链安全机构和区块链评级机构作为“行业执剑人”的角色，都会面临一个问题：如何保证自己的专业性可以公平对待每一个 Web3 项目？对此，CertiK 是如何有效处理的呢？

顾荣辉：这个问题，我们从2020年开始就一直困扰着我们，同时我们也一直在思考这个问题。在去中心化之前，我们会把钱放在亚马逊、阿里、腾讯上，这是基于我们对这些大公司的信任，但我们觉得这些大公司是中心化的机构，我们要做去中心化。但是去中心化后，普通用户又看不懂代码，CertiK站出来告诉大家这个代码是安全的，可以相信CertiK，但是此时的CertiK会不会变成一个中心呢？

说实话，CertiK在过去的两年，在行业里有很多的争议，我们也不会去避讳。为什么会有这么多的争议？有这么多人去批评我们？可能是因为大家觉得CertiK变得中心化，CertiK会被质疑做得是否合理和公平。

我们也在思考这些问题，其中有一份报道说CertiK靠一己之力把区块链安全变成了一个赛道。我们在想：肩负这么重的责任，我们该怎么办？ CertiK当时做出的选择就是公开了所有的安全审计报告，上传在我们自己的网站，但是这些报告又过于专业了，很多用户还是看不懂，我们又把这些报告提炼成了Skynet数据，提供可视化模式供大家查看。CertiK所有在做的一切，就是让所有的东西公开透明。

这个决定，在当时，无论是公司内部，还是合作伙伴，甚至是我们的投资机构都非常地反对。因为CertiK公开了所有的安全审计报告，只要是发生安全事故，大家就会觉得这个安全问题和CertiK相关。但是到目前为止，没有另外一家安全公司敢公开所有的信息，因为一旦公开，就会让自己无所遁形，出现任何问题都跑不了也躲不掉。

公开透明信息对于CertiK肯定是把双刃剑，但是对于行业一定是个正向的结果。我们的原则就是即便对于CertiK是把双刃剑，但是对行业是正向的，CertiK也会坚定不移地执行。从2020年到现在，CertiK一直保持初心，即便是有项目方出现了问题，CertiK连带被骂，所带来的负面影响我们全部都承受了。到今天的每一天，我们都会把我们的安全事件报告公开到网站上去。

MetaEra：随着各国和地区出台虚拟资产的相关政策和法规，安全问题更加被执法机构和政府所重视，目前 CertiK 已经和哪些地区和国家有了相关合作呢？Web3 领域未来的安全问题主要凸显在哪些方面？

顾荣辉：我先来说说各方面的合作。

首先，我是香港政府第三代互联网(Web3.0)发展专责小组成员，CertiK首席安全官李康教授也是小组成员。像香港财库局（财经事务及库务局）和金管局（香港金融管理局）牵头发布的《咨询总结 - 在香港实施稳定币发行人监管制度的立法建议》，CertiK也提出了两项建议。我在新加坡也是新加坡金融管理局（MAS）国际技术咨询委员会委员，我是11个委员中唯一来自Web3行业的人。

此外，CertiK参与了日元稳定币合规政策的起草，以及给日本金融厅(FSA)提供关于合约合规、黑客监控方面的建议；和马来西亚数字经济发展局(Malaysia Digital Economy Corporation,简称"MDEC")也在共同起草Metaverse、Web3相关的政策文件；在韩国，CertiK同首尔和釜山市政府签订了MOU，展开了相关合作。

以上是CertiK和亚洲方面各国政府进行的一些合作，帮助他们起草合规相关的合规政策文件。

从2023年开始，包括亚洲区以及美国，整个Web3行业趋势就是合规，比如现货ETF通过等主流叙事。合规的好处就是让更多的用户参与进来，更多传统行业的用户可以参与进来。

各国政府的政策还是先从稳定币开始，CertiK在这个过程中努力推动各地政策的发展，帮助政府层面可以更好地理解Web3，因为很多时候不理解就会产生恐惧，帮助政府了解就会让其慢慢去接纳Web3，这是CertiK扮演的一个角色。

监管政策最重要的三点就是管得住、看得见、强制执行。所以各国政府一旦开始谈论合规，立刻就要谈论安全。因为安全问题没有解决，就会出现看不见、管不住的一个情况。所以现在对于链上交易变得越来越重视，这是其中一个原因。

MetaEra：Web3 领域未来的安全问题主要凸显在哪些方面？

顾荣辉：我觉得有以下四个方面，

第一，代码安全；

第二，代码以外的项目安全，例如和智能合约的交互部分；

第三，私钥管理；

第四，交易对手风险，比如你的交易是否安全，交互资产是否会被盗等等。

目前我们可以看到两个趋势，一是传统银行进入Web3行业，它们的安全问题会更加凸显；二是散户小白刚进入Web3行业，他们无法很好保管钱包私钥，无法判断一个项目或者一个智能合约是否安全。我们新Slogan中的“Your”就是想包含这两类对Web3安全了解不多的群体，帮助他们更好地确保安全。

MetaEra：放眼全球，聚焦香港。CertiK 也在为香港的 Web3 发展出谋划策，香港财库局和金管局发布的稳定币监管立法建议，就曾采纳了 CertiK 的建议。就您观察，香港的 Web3 发展到了哪一阶段了？

顾荣辉：香港Web3的发展已经过了最早的蜜月期，现在进入阵痛期。我们看到了早期港府的决心，包括陈茂波司长的发言以及陆续政策的支持，在制定政策的过程中，港府和行业进行交流，广泛听取行业建议。政策有吸引力，这也让很多企业来到了香港，这就是我所说的蜜月期。

过了蜜月期，企业就要开始发展业务和开发市场，进入这样一个阶段本身就具有挑战性，公司需要实际的用户和市场，本身就是一条充满挑战和困难的道路。

MetaEra：顾教授，您从校园走向社会，同时也创立了以区块链安全为主旨的安全公司，请问这样（走出校园，Web3创业）的转变是有什么样的契机吗？另外创办 CertiK 的初心是什么？到现在有变化吗？

顾荣辉：我来说一下CertiK创立的过程。CertiK的名字取自于CertiKOS，在2016年的时候，我和CertiK的另一位创始人邵中教授一起研发了CertiKOS，这是世界上第一个全面的形式化验证，防黑客、防攻击的操作系统内核。在当时是一个技术突破，在业界收获了很大反响，我也靠着这个研究成果拿到了哥伦比亚大学的教职。

首先说说形式化验证，它是通过数学的方法去证明一段代码的安全性。它可以达到目前最高的安全标准，但是成本也很高，需要的时间也比较长，所以说它之前只能应用在非常核心、非常关键的领域，很难进行大规模的应用。在2016年，我们完成了CertiKOS的验证工作，也证明了形式化验证已经到了应用阶段。

在2016年还发生了一个事情，以太坊上的DAO被攻击，这是被认为最大的一起安全攻击事件之一。大家看待区块链安全是非常有挑战性的，因为代码出现了漏洞，一旦黑客发生攻击，没有人可以停止这些交易。所以大家希望代码是尽可能安全的，因为代码背后涉及的可能是千万甚至上亿美金资产。在这样一个契机下，我们自己的技术和市场需求有一个很好的契合点，CertiK应运而生。CertiK希望可以把形式化验证应用到智能合约审计中，提升整个行业项目代码的安全性，这就是我们成立的初衷。

发展过程非常具有挑战性，我们目前遇到的最大挑战依然是大众对于安全的认知。在2017年到2020年，大家都认为安全很重要，但是没人愿意为安全做什么，不愿意花时间花精力去做安全方面的工作。到了2020年，行业的从业者认为至少智能合约的审计是必要的，另外还有许多其他安全问题没有得到充足的重视。

另外Web3行业发展非常快，技术更新迭代速度也很快，每个月都有新名词、新概念、新技术出来，那么新技术出现后，安全问题就会凸显，CertiK目前占据了较高的市场份额，需要Cover所有的技术栈和所有的生态，这个过程还是比较累的。

此外，CertiK在发展的过程中，我们还要面临很多的非技术问题，甚至是要面临一些争议。包括我们的对手——黑客，黑客可能去找行业里最薄弱的一家企业下手，如果把CertiK当成保镖的话，CertiK需要同时保护4700个客户，但是根本不知道黑客会从哪里下手，说实话，这个攻防是不对等的。但是，我们就要在这种不公平的对抗下，和黑客7*24的对抗，经年累月的对抗，尽可能保证我们的胜率，这个工作非常具有挑战性，但我们初心一直没有改。