Time:2023-07-21 Click:99
在过去几年中,Web 3.0 行业发展迅猛且受到广泛关注。在这个全新的数字世界中,数据不再是由少数人掌控,而是由整个网络共同维护和管理。这将带来更加公平、透明、安全的数字经济生态系统。
然而 Web 3.0 技术的发展也带来了一系列挑战:尽管其去中心化特性为用户带来了更大的控制权和自主权,但这也使得攻击者有了更多的机会来寻找漏洞并恶意利用。
这些安全问题不仅对用户的资产和隐私构成了威胁,也对整个行业的可持续发展产生了不可忽视的影响。2023 年仅第二季度,Web 3.0 行业因黑客及欺诈骗局导致的资产损失高达 3.1 亿美元,而这个数字相比 2022 年同期还略有下降。212 起记录在案的事件意味着第二季度平均每天都要发生 2 起以上的安全事故。第一季度的 Euler Finance 事件更是以一己之力创下了 2023 年损失金额的最高记录: 1.95 亿美元。
为了解决这些问题,安全已成为 Web 3.0 用户和行业乃至全球范围内的关注焦点。业界持续寻找降低安全风险的解决方案,探讨如何基于去中心化的 Web 3.0 技术建立更为安全的机制,在保护用户隐私和资产的同时,支持数字经济的可持续发展。
本刊专访 CertiK 联合创始人、新加坡金管局国际技术咨询委员会委员、香港 Web 3.0 发展专责小组成员顾荣辉教授,整理后全文如下。
Q: 您认为,什么属性在 Web 3.0 时代最为重要?
顾荣辉:我个人认为安全性对于 Web 3.0 的可持续发展最为重要。Web 3.0 被认为是区块链技术、人工智能、大数据等新技术与互联网的深度融合,它的出现将会带来更智能化、安全化、去中心化的互联网。
普华永道预计,Web 3.0 将在未来 10 年内将全球 GDP 提高超过 25 倍。而 Web 3.0 的核心理念是用户可以直接控制和管理自己的数据、数字资产和身份,而不需要依赖中心化的机构。在这个新的模式下,安全性是确保用户资产和信息不受攻击、欺诈或滥用的关键因素。
而目前的全球监管政策也证实了这一点。
Q: 目前的全球监管政策对 Web 3.0 来说是利好吗?
顾荣辉:以香港为例,它作为国际金融中心之一,有着得天独厚的优势来发展 Web 3.0 行业,但其一直致力于成为促成监管确定性。自去年开始,香港就在持续颁布一系列监管新规,并采取谨慎和稳健的态度,来寻求市场完整性和用户的长期保护。而这恰恰是其认可 Web 3.0 潜力的表现,也成功促使香港建立规范的 Web 3.0 市场秩序,助力其向全球 Web 3.0 中心的目标迈进。
就在上月末,我非常荣幸的受邀加入了由香港陈茂波先生领导的香港 Web 3.0 发展专责小组,也受邀加盟了新加坡官方国际技术咨询委员会。这也充分的反映了各国对 Web 3.0 安全领域的重视以及体现了全球对 Web 3.0 的长期战略方向。
Q: 监管层面的变化,对 CertiK 的业务有任何影响吗?
顾荣辉:全球各地的监管机构都在加强对 Web 3.0 货币和行业的监管力度,对于安全领域来说,这无疑是一个利好信息。我们有一个比较具备代表性的产品:KYC 尽调服务,该服务用以应对行业内层出不穷的欺诈骗局,且可在监管层面充分配合相关机构。
Q:本次会议上,您着重提到了智能分析,AI 人工智能的热度居高不下,智能分析技术也与其有关,请问你是怎么看待这一类被冠以「毁灭人类」之称的技术呢?
顾荣辉: 2022 年 OpenAI 推出了 ChatGPT,我们也对它非常感兴趣。随后就进行了一次尝试:测试 ChatGPT 作为 AI「智能合约审计师」的能力。最终结果是 ChatGPT 在其审计中遗漏了某些关键性的安全问题。当然,这是由于人工智能在充分理解代码的复杂性和细微差别方面的局限性,以及其缺乏在现实场景中的实践经验。但这也证明了至少暂时,AI 技术无法代替人工,而人工却可以弥补 AI 的不足。而我们需要做的是持续探索如何更好地利用这一全球共同发展的领先技术,来服务于 Web 3.0 安全的发展。
Q:也就是说无论是 AI,还是智能分析,都可以在 Web 3.0 安全领域中起到一部分作用,那能深入聊聊它的关键之处以及 CertiK 在这方面的运用吗?
顾荣辉:为了保障 Web 3.0 应用和区块链项目的安全性,灵活运用智能分析技术将是安全领域前行的下一步,其也可在 Web 3.0 安全审计过程中发挥真正的价值。
智能合约是 Web 3.0 应用的核心组成部分,也是最容易受到攻击的目标之一。
智能分析技术可以通过对合约代码的静态和动态分析,识别潜在的漏洞和安全风险,并可自动化地检测合约中的安全问题,提供详细的报告,帮助审计专家更高效地发现和修复漏洞。
不仅如此,智能分析系统还可对区块链网络中的交易进行监测和分析,识别异常行为和攻击行为,帮助发现潜在的安全风险。目前,我们就正在利用最先进的形式化验证技术、安全智能审计技术以及安全专家人工审计,通过扫描及监控区块链协议和智能合约,保证项目的安全性。
作为「Web 3.0 学术界的代表机构」,我们的研发团队一直在深耕将智能分析运用于安全的方式,并将其转化为任何普通用户都可以使用的工具。
其实我们的 Skynet 天网扫描平台在 2020 年就已经上线推出了,这也是我们目前智能分析平台 Skynet for Community 最早的支撑工具。我们很早之前就有关于这方面的想法,希望可以将前沿学术成果转化为企业级产品,从而提供一个不仅是专业技术人员才能踏足的平台,这个平台必须可以自行产出可视化的数据,为所有普通用户进行服务。
这个想法直到今年年初才算是实现的足够完善,Skynet for Community 可以为用户提供可操作的链上数据和社交数据,最新完成智能合约审计的项目名单,还有最具价值的行业见解和安全最佳实践,我们实现了流程简化并将这些数据全部整合于一个平台供用户查阅。
Q: 您提到的 Skynet for Community 平台有什么功能?
顾荣辉:Skynet for Community 平台是希望为圈内用户,打开名为「安全」的大门。从前「安全」二字对于普通用户来说是一个不可触及的领域,但攻击和损失却是确确实实的。未来用户不仅可以通过这个平台,查看所有他们关注的生态系统和项目的市场状态,还可以通过 CertiK 排行榜查看其安全评分和风险,获知第一时间的预警和威胁动态。除此之外,用户还可以查看项目的团队背景检测,我们的 KYC 版块会赋予徽章给那些通过 KYC 检测的项目,用户即可借此大幅度降低陷入 Rug Pull 等欺诈骗局的风险。
Q:这样听起来,安全技术其实不止可以应用于 Web 3.0 对吧?
顾荣辉:是这样的,这类安全技术可以运用到非常多领域,例如云计算。
今年 5 月,我们和阿里云宣布签署合作伙伴关系正是基于这一点。我们为那些部署在云服务器上的 Web 3.0 项目提供安全服务。现在,Web 3.0 开发人员就可以使用 CertiK 的安全解决方案和阿里云可扩展、高效且安全的基础设施来加速开发过程并保护应用程序和智能合约。我们的智能合约审计服务和 Layer 1 区块链审计服务已全面上线阿里云,很荣幸可以看到阿里云致力于同样的愿景并采用全面的安全方法。我们也非常期待可以将安全的区块链开发和部署赋予尽可能广泛的受众。
Q: 听到你也介绍了你们的漏洞赏金计划,这个计划主要是在做什么的?
顾荣辉:我们招募并遴选了一批世界顶级的白帽黑客,收集情报以在恶意行为者利用漏洞之前将其及时发现。不仅可以为用户筛查和鉴定所有提交材料,还可以协助其进行正确的修复。
值得一提的是,前阵子我们刚因发现一种新型安全威胁而被公链 SUI 授予 50 万美元赏金。
我们发现的威胁被命名为“HamsterWheel(仓鼠轮)”,它有可能破坏 SUI 整个 Layer 1 网络。目前 SUI 已推出修复措施,用以确保其网络安全。这也表明了积极开展网络安全工作、促进安全区块链生态系统的重要性以及漏洞赏金计划的价值,凸显了在快速发展的区块链领域采取强有力的安全措施和先发制人识别威胁的必要性。
7 月初,CertiK 联合创始人顾荣辉教授受邀出席「全球数字经济大会数字安全高峰论坛暨 BCS 2023 北京网络安全大会」,于大会开幕式上自智能分析与审计实践的具体讨论入手,回应了 Web 3.0 安全领域普遍关注的前沿性问题。
Web 3.0 的未来趋势令人兴奋,但它的实现也离不开整个行业的努力和保护。保护用户资产、隐私和数据的安全,防止攻击和滥用行为,以及建立可靠的信任机制,都是确保 Web 3.0 生态系统成功发展的关键要素。
只有通过全球社区的共同努力,才能够构建一个安全可靠的 Web 3.0 生态系统,为用户提供真正安全、隐私保护和可持续发展的数字经济。
希望通过业界的共同努力,Web 3.0 能够达到更高的安全性和可持续性,助力更为安全、开放和公正的 Web 3.0 落地,推动数字经济更好地融入人们的生活。