「高端對話」CertiK 聯創顧榮輝：Web3 產業合規趨勢下，香港成為Web3 創業的最佳基地

Meta Era ｜2024-11-07 23:26

香港Web3 發展由政策蜜月期轉入業務發展陣痛期，但香港依然是最好的Web3 創業地方之一，如果對於華人而言的話，我認為可能是沒有之一，是最好的創業基地。

文章作者：0x9999in1

文章來源：MetaEra

近日，MetaEra 香港專區重磅上線，“香港加密新政兩週年慶典”系列活動領銜首發，其中重要的一環便是“高端對話：香港Web3.0 影響力領袖人物”，本期採訪的人物便是CertiK聯合創辦人顧榮輝。

「高端對話」CertiK 聯創顧榮輝：Web3 產業合規趨勢下，香港成為 Web3 創業的最佳基地

人物介紹

顧榮輝，哥倫比亞大學電腦系教授、CertiK共同創辦人。新加坡金融管理局（MAS）國際技術諮詢委員會委員，香港政府第三代網路（Web3.0）發展專責小組成員。顧榮輝本科畢業於清華大學，2016 年於耶魯大學取得電腦科學博士學位。同時，顧榮輝是作業系統、軟體安全以及形式化驗證的專家，也是CertiKOS的主要設計者和開發者。

精華觀點

●我覺得香港依然是最好的Web3創業地方之一，如果對華人而言的話，我認為可能是沒有之一，是最好的創業基地。

●我們認為安全需要伴隨整個專案的生命週期，我們希望可以陪伴用戶從早期一直到上線、上鍊、上幣，再到成熟期的營運。

●我們不希望業界或專案方認為通過CertiK 的安全審計，這個專案就完全沒有安全問題了。

●CertiK所有在做的一切，就是讓所有的東西公開透明。

●公開透明資訊對於CertiK肯定是把雙面刃，但是對於產業一定是個正向的結果。

●監理政策最重要的三點就是管得住、看得見、強制執行。

●香港Web3的發展已經過了最早的蜜月期，現在進入陣痛期。

●CertiK就要在這種不公平的對抗下，和駭客7*24的對抗，經年累月的對抗，盡可能保證我們的勝率

訪談全文

MetaEra：CertiK 於去年8 月落腳香港數位港，能否談談您自己的親身感受，為那些還在觀望香港Web3 發展的從業人員和計畫提供相關指導性建議呢？

顧榮輝：我記得2023年1月份，香港已經推出了一些相關政策，那時我覺得大家都處於觀望的狀態。 CertiK 收到邀請來到香港，也見到了陳茂波司長，他發表了自己對於Web3金融政策的看法，讓我感受到港府對於發展Web3的信心是很足的。

也就是從那個時候，我們開始著手組成CertiK 在香港的公司。在那段時間，美國對於Web3的態度是這樣的，SEC接連發起了十幾起訴訟，大家就會覺得美國對Web3的態度和政策都變得非常不明朗，所以就有很多人把目光投向了亞洲。亞洲的金融中心主要有新加坡和香港，我接到香港邀請的時候，其實本人當時是在新加坡，也是新加坡金融管理局(MAS)國際技術諮詢委員會委員，又因為新加坡主權基金淡馬錫基金投資了FTX， FTX暴雷後，導致新加坡政策對於Web3的政策開始有些猶豫，我覺得香港很好地抓住了這樣一個機會。

我們在香港選擇入駐了數碼港，其對於Web3創業者的支持是非常充足的，不僅會定期組織活動，還會有計畫的孵化等等，我們從中也交流了很多。在整個過程中，我會感受到香港本身獨特的一個地位，加上港府發展Web3的決心，我們會覺得自己是非常好的Web3創業基地。

如果說要我給其他Web3從業者一些建議的話，我覺得香港依然是最好的Web3創業地方之一，如果對於華人而言的話，我認為可能是沒有之一，是最好的創業基地。第一，它有政策的支持；第二，它背靠深圳，不僅可以招募到金融方面的人才，而且也可以招募到很多優質的程式設計師和開發者；第三，越來越多相關企業的入駐，也讓大家更能找到合作夥伴或客戶。此外，如果有創業者想來香港創業，我非常建議第一時間聯絡數碼港，目前CertiK 也在和數碼港合作，可以給一些安全方面的證書，可以幫助大家申請到數碼港的創業支持基金等。

另外，香港金融監理機關採納CertiK建議，強化了穩定幣監理框架，這個感受是非常好的！相當於港府可以傾聽這個產業各個賽道的專業性的建議、想法和聲音，從而去改進它的政策。我感覺在各地政府中，港府在這方面做得最好。

MetaEra：香港也在加密新政的號召下，引來眾多Web3專案的入駐，請問您覺得這些專案是如何看待區塊鏈安全的呢？華語區的創業者對於加密安全的看法是否和西方世界有所不同，您是否可以展開講講？

顧榮輝：我們是在Web3安全賽道，我們也可以說是Web3安全賽道的頭公司。首先，安全對於大部分的從業人員來說，你問任何一家企業或創辦人，專案的安全重不重要，他一定會說很重要！但是怎麼樣去提升專案的安全性，以及專案的安全到底包含哪幾個面向？是否願意為此付費？答案都是比較模糊、籠統的，所以大家都會覺得安全很重要，但是落實起來的話，我們感受到相關阻力還是比較大的。

第一，大家都覺得沒有必要，總有一種僥倖心理，認為專案是安全的，專案不會受到攻擊，這樣很容易把專案安全忽略掉。第二，對於安全性而言，區塊鏈的安全到底包含哪些？作為一個區塊鏈的專案方，他到底要做哪些方面的安全保護？其實問大部分的專案方都不太了解。在以前大家可能會比較多地聽到程式碼審計，其中的一部分是CertiK的努力倡導使得程式碼審計這件事已經達成了一個共識，就是專案程式碼在內部人員測試完後，應該找外部的機構進行獨立第三方的安全審計。

但在三、四年前，並不是這樣，在2020年DeFi剛開始的時候，大家慢慢意識到了程式碼審計的重要性。在這幾年間，有些專案只是把一部分的程式碼做安全審計，因為費用很貴，甚至有些專案會把這一版的程式碼做安全審計，但是之後程式碼更新的版本就不做安全審計了。這其實都存在著誤區，程式碼的任何改動，即使是幾行程式碼的改變都可能引入新的漏洞、新的攻擊機會。這現象直到今天依然沒有達到一個共識，就是專案所有的程式碼、所有的版本都應該做安全審計。

再往下走一步，程式碼安全審計只是區塊鏈安全的一小部分。整個區塊鏈安全包括私鑰的管理、非智慧合約部分和智慧合約互動的安全。例如有些專案也涉及節點安全，例如企業使用錢包，無論是多簽錢包或是MPC錢包，這些錢包的解決方案是否安全。其實上述說的這些都已經超過了程式碼審計的範疇，但是這些部分的安全，很多專案方完完全是零設計零保護，幾乎屬於在裸奔。在這種情況下，你會發現很多的攻擊不再單單利用智能合約的安全進行攻擊了，我們和數碼港合作推出了一個安全培訓，對創業者和企業家進行安全方面的培訓，然後我們會有考試環節，會頒發證書。有了這個證書以後，就可以有資格申請數碼港的基金支持了。因為把支持資金給你，至少可以避免被偷的事情發生。

MetaEra：華語區的創業家對於加密安全的看法是否和西方世界有所不同，您是否可以展開講講？

顧榮輝：整體的看法還是一致的！ 2021年以前，大家對於安全的關注沒有那麼多，2021年後，大家開始比較多的關注安全。但是其中可能有些細微的差別，可能就是西方的創業者對於安全的僥倖心理稍微小一些，而東方華語區的創業者，會有一定的僥倖心理，會覺得自己的專案沒有安全問題。此外一個些微不同的地方，就是我們幫西方項目指出一些漏洞的時候，他們相對來講持開放的態度，在華語區碰到一些項目，當你指出問題時，他們會有抵觸的心理，他們覺得專案沒有問題，程式碼沒有問題，CertiK指出的問題反而對他們的專案是不利的。當然，我說的情況也是極個別案例。但我想說，安全審計的目的就是幫你找問題，幫你修復問題。

MetaEra：近期，我們看到CertiK 的Slogan 發生了變化，是基於什麼樣的考量做出這樣的升級？ CertiK 為社群免費推出了Token Scan、Wallet Scan 等安全工具。作為安全公司，CertiK 是否會將更多精力投向C端用戶？

顧榮輝：我們先說Slogan ，以前的Slogan 是“Securing The Web3 World”，我們剛剛進行了升級，現在是Slogan 是“Elevating Your Entire Web3 Journey”，這是一個挺大的改變。

那我想先說為什麼我想做這樣的改變，CertiK服務了4700家客戶，找到了15萬個安全漏洞，報告了超過40個大型漏洞，可以說我們對社區做了非常大的貢獻，但是我們對於C端，對於開發者社群等，我覺得我們的產出是不夠的，我們對於社群的回饋，在過去幾年是做得不足的地方。

「Securing The Web3 World」是我們一開始最簡單的想法，就是我們希望能夠保護整個Web3產業、世界。那我會自問，我們的客戶在哪裡？我們的社區在哪裡？其實這個Slogan並沒有很好地體現。當我們的願景變得很宏大，變成一個產業、一個世界的時候，它反而有時候會忽略具體的社群、具體的客戶、具體的C端使用者。所以我在新的Slogan裡加了“Your Web3 Journey”，我們非常希望把行業裡的一個個人、一個個社區放到我們的思想裡，讓它變得更具體，而不再是一個宏觀的世界。

第二，我們很多的客戶會覺得安全是上線之前一次性的安全審計，會把它當成一個時間點的服務，但是我們認為安全需要伴隨整個專案的生命週期，我們希望可以陪伴用戶從早期一直到上線、上鍊、上幣，再到成熟期的營運。

第三，Slogan的升級，我們認為安全不單純純純是防止不被攻擊，在整個生命週期裡，我們是在給專案方賦能，包括CertiK現在也提供了很多超出了安全領域的服務，已經觸達泛安全領域。在泛安全領域之外，我們也為客戶提供了「Design Review」的諮詢服務。例如TON公鏈，早期我們為其做了程式碼審計、形式化驗證，在上線之後，我們還幫TON做了性能測試還有社區建設，這些其實都已經超出了安全領域的範疇。

所以說，為了更好定義CertiK的使命，更好定義CertiK的產品與服務，我們升級了CertiK的Slogan，新的Slogan包括了專案方、交易所、錢包和C端用戶。像Token Scan、Wallet Scan這些工具是完全全免費的，目的是回饋支持我們的社區，然後為我們的社區進行賦能。

MetaEra：許多新創的Web3 項目，都會在自己的官方PR 裡強調自己已經通過了CertiK 的安全審計，似乎「透過CertiK 安全審計」已經成為了行業標準，那麼您覺得，一些項目方把這個方面宣傳為自己項目的優點和優勢，使用者可能會被培養出「透過CertiK 審計就是好項目，沒通過CertiK 審計就不是好項目」的固化思維，對這個現象，您怎麼看呢？

顧榮輝：首先我很開心看到很多專案把通過CertiK 的安全審計當作專案的一個加分點，並作為專案的優勢去進行宣傳。這肯定是對我們的工作、技術和品牌的認可，無論如何這是一件開心的事。

但我也想說一個最大的誤解，我們不希望業界或專案方認為透過CertiK 的安全審計，這個專案就完全沒有安全問題了，我們一直在強調這是兩件事。

首先，CertiK 的安全審計和專案的安全中間存在很大的缺口，安全審計和專案方安全其實包括了許多非安全審計的部分。

第二，CertiK 很多時候只能拿到部分程式碼，甚至是一個版本的部分程式碼進行安全審計，那麼也沒有辦法對整個程式碼庫進行任何的保證。

第三，圖靈和其他科學家的工作表明，理論上沒有任何通用的辦法可以保證一段程式碼是百分之百安全的。那麼通過安全審計也不意味著程式碼是百分百安全的。但透過CertiK 的安全審計可以顯示專案方對於安全的重視，這需要專案方花費時間的成本、金錢的成本，甚至是延期上線等來提升專案整體的安全性。此外透過CertiK 的安全審計可以大大提高專案的安全程度。

從這些角度來講，透過CertiK 的安全審計確實可以作為專案方的優勢。但是我們不希望把它變成一種固化思維，這種思維對於項目方和CertiK都有可能造成反噬作用。所以我們不斷地去闡述事實是什麼樣的，再次感謝專案方以及業界對我們的認可。

MetaEra：CertiK 今年碰上Kraken 的事件，想必大家都比較了解雙方各執一詞的情況，那麼從公關危機的角度來說，這個事件給CertiK 帶來了哪些成長啟示和實際影響呢？

顧榮輝：這個事件的熱度遠遠超出了我們的想像，事情已經過去幾個月了，我們回過頭去看這件事情，有幾個很明顯的結果。

第一，Kraken出現了很嚴重的漏洞，CertiK發現了漏洞並且快速通知了Kraken，Kraken修復了漏洞，最終沒有造成任何的用戶損失。 Kraken自己都會承認，這可能是有史以來最嚴重的交易所漏洞，CertiK發現並幫助其修復了漏洞。從結果來看，這是對於整個行業的一個Big Win。

第二，如果再讓我們重新經歷一次，CertiK依然會不改初衷的第一時間對Kraken進行匯報，幫助他們去避免任何可能出現的用戶損失，無論重複100遍還是1000遍，這都是我們會去做的事情。

但面對同一件事，雙方有不同看法的時候，CertiK相信肯定有更好的方法可以解決，而不是出現像先前雙方各執一詞的局面。

MetaEra：區塊鏈安全機構和區塊鏈評級機構作為「產業持劍人」的角色，都會面臨一個問題：如何確保自己的專業性可以公平對待每一個Web3 專案？對此，CertiK 是如何有效處理的呢？

顧榮輝：這個問題，我們從2020年開始就一直困擾著我們，同時我們也一直在思考這個問題。在去中心化之前，我們會把錢放在亞馬遜、阿里、騰訊上，這是基於我們對這些大公司的信任，但我們覺得這些大公司是中心化的機構，我們要做去中心化。但去中心化後，一般用戶又看不懂代碼，CertiK站出來告訴大家這個代碼是安全的，可以相信CertiK，但此時的CertiK會不會變成一個中心呢？

說實話，CertiK在過去的兩年，在業界有很多的爭議，我們也不會去避諱。為什麼會有這麼多的爭議？有這麼多人去批評我們？可能是因為大家覺得CertiK變得中心化，CertiK會被質疑做得是否合理、公平。

我們也在思考這些問題，其中有一份報告說CertiK靠一己之力把區塊鏈安全變成了一個賽道。我們在想：肩負這麼重的責任，我們該怎麼辦？ CertiK當時做出的選擇就是公開了所有的安全審計報告，上傳在我們自己的網站，但是這些報告又過於專業了，很多用戶還是看不懂，我們又把這些報告提煉成了Skynet數據，提供可視化模式供大家查看。 CertiK所有在做的一切，就是讓所有的東西公開透明。

這個決定，在當時，無論是公司內部，還是合作夥伴，甚至是我們的投資機構都非常反對。因為CertiK公開了所有的安全審計報告，只要是發生安全事故，大家就會覺得這個安全問題和CertiK相關。但是到目前為止，沒有另外一家安全公司敢公開所有的訊息，因為一旦公開，就會讓自己無所遁形，出現任何問題都跑不了也躲不掉。

公開透明資訊對於CertiK肯定是把雙面刃，但是對於產業一定是個正向的結果。我們的原則就是即便對於CertiK是把雙面刃，但是對產業是正向的，CertiK也會堅定不移地執行。從2020年到現在，CertiK一直保持初心，即便是有項目方出現了問題，CertiK連帶被罵，所帶來的負面影響我們全部都承受了。到今天的每一天，我們都會把我們的安全事件報告公開到網站上去。

MetaEra：隨著各國和地區推出虛擬資產的相關政策和法規，安全問題更加被執法機構和政府所重視，目前CertiK 已經和哪些地區和國家有了相關合作？ Web3 領域未來的安全性問題主要凸顯在哪些方面？

顧榮輝：我先來說說各方面的合作。

首先，我是香港政府第三代網路(Web3.0)發展專責小組成員，CertiK首席安全官李康教授也是小組成員。像香港財庫局（財經事務及庫務局）和金管局（香港金融管理局）牽頭發布的《諮詢總結- 在香港實施穩定幣發行人監管制度的立法建議》，CertiK也提出了兩項建議。我在新加坡也是新加坡金融管理局（MAS）國際技術諮詢委員會委員，我是11個委員中唯一來自Web3行業的人。

此外，CertiK參與了日圓穩定幣合規政策的起草，以及給日本金融廳(FSA)提供關於合約合規、駭客監控方面的建議；和馬來西亞數位經濟發展局(Malaysia Digital Economy Corporation,簡稱"MDEC ")也共同起草Metaverse、Web3相關的政策文件；在韓國，CertiK同首爾和釜山市政府簽訂了MOU，展開了相關合作。

以上是CertiK和亞洲方面各國政府的一些合作，幫助他們起草合規相關的合規政策文件。

從2023年開始，包括亞洲區以及美國，整個Web3產業趨勢就是合規，例如現貨ETF通過等主流敘事。合規的好處就是讓更多的使用者參與進來，更多傳統產業的使用者可以參與。

各國政府的政策還是先從穩定幣開始，CertiK在這個過程中努力推動各地政策的發展，幫助政府層面可以更好地理解Web3，因為很多時候不理解就會產生恐懼，幫助政府了解就會讓其慢慢去接納Web3，這是CertiK扮演的角色。

監理政策最重要的三點就是管得住、看得見、強制執行。所以各國政府一旦開始談論合規，立刻就要談論安全。因為安全問題沒有解決，就會出現看不見、管不住的情況。所以現在對於鏈上交易變得越來越重視，這是其中一個原因。

MetaEra：Web3 領域未來的安全性問題主要凸顯在哪些方面？

顧榮輝：我覺得有以下四個方面，

第一，代碼安全；

第二，程式碼以外的專案安全，例如和智能合約的互動部分；

第三，私鑰管理；

第四，交易對手風險，例如你的交易是否安全，交互資產是否會被偷等等。

目前我們可以看到兩個趨勢，一是傳統銀行進入Web3產業，它們的安全問題會更加凸顯；二是散戶小白剛進入Web3產業，他們無法很好保管錢包私鑰，無法判斷一個專案或一個智能合約是否安全。我們新Slogan中的「Your」就是想包含這兩類對Web3安全了解不多的群體，幫助他們更好地確保安全。

MetaEra：放眼全球，聚焦香港。 CertiK 也正在為香港的Web3 發展出謀劃策，香港財庫局和金管局發布的穩定幣監管立法建議，就曾採納了CertiK 的建議。就您觀察，香港的Web3 發展到了哪一階段了？

顧榮輝：香港Web3的發展已經過了最早的蜜月期，現在進入陣痛期。我們看到了早期港府的決心，包括陳茂波司長的發言以及陸續政策的支持，在製定政策的過程中，港府和行業進行交流，廣泛聽取行業建議。政策有吸引力，這也讓很多企業來到了香港，這就是我所說的蜜月期。

過了蜜月期，企業就要開始發展業務和開發市場，進入這樣一個階段本身就具有挑戰性，公司需要實際的用戶和市場，本身就是一條充滿挑戰和困難的道路。

MetaEra：顧教授，您從校園走向社會，同時也創立了以區塊鏈安全為主旨的安全公司，請問這樣（走出校園，Web3創業）的轉變是有什麼樣的契機嗎？另外創辦CertiK 的初心是什麼？到現在有變化嗎？

顧榮輝：我來說一下CertiK創立的過程。 CertiK的名字取自於CertiKOS，在2016年的時候，我和CertiK的另一位創始人邵中教授一起研發了CertiKOS，這是世界上第一個全面的形式化驗證，防黑客、防攻擊的作業系統內核。在當時是個技術突破，在業界收穫了極大迴響，我也靠著這個研究成果拿到了哥倫比亞大學的教職。

首先說說形式化驗證，它是透過數學的方法去證明一段程式碼的安全性。它可以達到目前最高的安全標準，但是成本也很高，需要的時間也比較長，所以說它之前只能應用在非常核心、非常關鍵的領域，很難進行大規模的應用。在2016年，我們完成了CertiKOS的驗證工作，也證明了形式化驗證已經到了應用階段。

在2016年還發生了一個事情，以太坊上的DAO被攻擊，這是被認為最大的一起安全攻擊事件之一。大家看待區塊鏈安全是非常有挑戰性的，因為程式碼出現了漏洞，一旦駭客發生攻擊，就沒有人可以停止這些交易。所以大家希望程式碼是盡量安全的，因為程式碼背後涉及的可能是千萬甚至上億美金資產。在這樣一個契機下，我們自己的技術和市場需求有一個很好的契合點，CertiK應運而生。 CertiK希望可以把形式化驗證應用到智慧合約審計中，提升整個產業專案代碼的安全性，這就是我們成立的初衷。

發展過程非常具有挑戰性，我們目前遇到的最大挑戰依然是大眾對於安全的認知。在2017年到2020年，大家都認為安全很重要，但是沒人願意為安全做什麼，不願意花時間花精力去做安全方面的工作。到了2020年，業界的從業人員認為至少智能合約的審計是必要的，另外還有許多其他安全問題沒有得到充足的重視。

另外Web3產業發展非常快，技術更新迭代速度也很快，每個月都有新名詞、新概念、新技術出來，那麼新技術出現後，安全問題就會凸顯，CertiK目前佔據了較高的市場份額，需要Cover所有的技術棧和所有的生態，這個過程還是比較累的。

此外，CertiK在發展的過程中，我們還要面臨許多非技術的問題，甚至是要面臨一些爭議。包括我們的對手——駭客，駭客可能去找業界最薄弱的一家企業下手，如果把CertiK當成保鑣的話，CertiK需要同時保護4700個客戶，但根本不知道駭客會從哪裡下手，說實話，這個攻防是不對等的。但是，我們就要在這種不公平的對抗下，和黑客7*24的對抗，經年累月的對抗，盡可能保證我們的勝率，這個工作非常具有挑戰性，但我們初心一直沒有改。