Co-Fundador de CertiK Ronghui Gu: Por qué Hong Kong se establece como el principal centro de innovación Web3 bajo la evolución regulatoria

Perfil Ejecutivo

Ronghui Gu es profesor de Ciencias de la Computación en la Universidad de Columbia y cofundador de CertiK. Ocupa posiciones como miembro del Comité Asesor Internacional de Tecnología en la Autoridad Monetaria de Singapur (MAS) y miembro del Grupo de Trabajo para el Desarrollo de Web3.0 del Gobierno de Hong Kong. Graduado de la Universidad Tsinghua, Gu obtuvo su doctorado en Ciencias de la Computación de la Universidad de Yale en 2016. Se especializa en sistemas operativos, seguridad del software y verificación formal, liderando el desarrollo de CertiKOS.

Perspectivas Clave

• "Hong Kong sigue siendo uno de los mejores lugares para el emprendimiento en Web3. Para los emprendedores de habla china, es indiscutiblemente el mejor centro de innovación sin excepción."

• "La seguridad debe acompañar a un proyecto durante todo su ciclo de vida. Nuestro objetivo es apoyar a los usuarios desde las primeras etapas hasta el lanzamiento, la implementación de la blockchain, la cotización del token y las operaciones maduras."

• "No queremos que la industria o los equipos de proyectos crean que pasar la auditoría de seguridad de CertiK significa que su proyecto está completamente libre de problemas de seguridad."

• "Todo lo que hace CertiK tiene como objetivo promover la transparencia y la apertura."

• "Si bien la transparencia crea desafíos para CertiK como una espada de doble filo, definitivamente produce resultados positivos para la industria."

• "Los tres elementos más cruciales de la política regulatoria son la manejabilidad, la visibilidad y la ejecutabilidad."

• "El desarrollo de Web3 en Hong Kong ha pasado de su fase inicial de luna de miel y ha entrado en un período de dolores de crecimiento."

• "CertiK debe participar en una lucha continua 24/7 contra los hackers en esta batalla inherentemente desigual, manteniendo nuestra tasa de éxito a través de una vigilancia persistente."

Entrevista Completa

MetaEra: CertiK estableció su presencia en el Cyberport de Hong Kong el pasado agosto. ¿Puedes compartir tu experiencia personal y proporcionar orientación para profesionales y proyectos que aún están evaluando el desarrollo de Web3 en Hong Kong?

Ronghui Gu: Recuerdo que para enero de 2023, Hong Kong ya había implementado varias políticas relevantes, aunque la mayoría de los participantes de la industria permanecían en modo de observación. CertiK recibió una invitación a Hong Kong y se reunió con el Secretario de Finanzas Paul Chan, quien compartió sus perspectivas sobre las políticas financieras de Web3. Esto demostró la fuerte confianza del gobierno de Hong Kong en el desarrollo de Web3.

Comenzamos a establecer la empresa de CertiK en Hong Kong alrededor de ese tiempo. Durante este período, la postura de EE. UU. hacia Web3 se caracterizaba por la incertidumbre: la SEC había iniciado más de una docena de demandas, lo que hacía que las políticas de EE. UU. hacia Web3 fueran cada vez más ambiguas. Esto llevó a muchos a mirar hacia Asia. Los principales centros financieros de Asia son Singapur y Hong Kong. Cuando recibí la invitación de Hong Kong, en realidad estaba en Singapur sirviendo como miembro del Comité Asesor Internacional de Tecnología de la Autoridad Monetaria de Singapur (MAS). El fondo soberano de Singapur, Temasek, había invertido en FTX, y tras el colapso de FTX, el enfoque de la política de Singapur hacia Web3 se volvió vacilante. Creo que Hong Kong aprovechó efectivamente esta oportunidad.

Elegimos establecer nuestra presencia en Cyberport en Hong Kong, que ofrece un apoyo sustancial a los emprendedores de Web3, organizando regularmente eventos e incubando proyectos, facilitando intercambios valiosos. A lo largo de este proceso, he reconocido la posición única de Hong Kong combinada con la determinación del gobierno de desarrollar Web3, lo que la convierte en una base excepcional para el emprendimiento en Web3.

Si tuviera que ofrecer consejos a otros profesionales de Web3, creo que Hong Kong sigue siendo uno de los mejores lugares para el emprendimiento en Web3. Para los emprendedores de habla china, es indiscutiblemente el mejor centro de innovación. Primero, ofrece apoyo político; segundo, está respaldado por Shenzhen, lo que permite acceder a talento financiero y programadores y desarrolladores de alta calidad; tercero, la creciente presencia de negocios relacionados facilita la búsqueda de socios o clientes. Además, si los emprendedores están considerando establecerse en Hong Kong, recomiendo encarecidamente ponerse en contacto con Cyberport de inmediato. CertiK está colaborando con Cyberport para proporcionar certificados de seguridad que pueden ayudar a los equipos a solicitar los fondos de apoyo empresarial de Cyberport.

Además, las autoridades regulatorias financieras de Hong Kong han adoptado las recomendaciones de CertiK para fortalecer los marcos regulatorios de las stablecoins, ¡lo cual ha sido una experiencia muy positiva! Esto demuestra cómo el gobierno escucha los consejos, ideas y voces profesionales de varios sectores de la industria para mejorar sus políticas. Creo que el gobierno de Hong Kong sobresale en este aspecto en comparación con otras jurisdicciones.

MetaEra: Bajo las nuevas políticas criptográficas de Hong Kong, muchos proyectos de Web3 han establecido presencia allí. ¿Cómo crees que estos proyectos ven la seguridad en blockchain? ¿Tienen los emprendedores de habla china perspectivas diferentes sobre la seguridad criptográfica en comparación con sus homólogos occidentales?

Ronghui Gu: Como líder en el sector de seguridad Web3, hemos observado patrones consistentes. Primero, cuando preguntas a cualquier negocio o fundador sobre la importancia de la seguridad del proyecto, ellos invariablemente dirán que es crucial. Sin embargo, las preguntas sobre cómo mejorar la seguridad del proyecto, qué aspectos abarca la seguridad o la disposición a pagar por la seguridad a menudo reciben respuestas vagas y generales. Aunque todos reconocen la importancia de la seguridad, nos encontramos con una resistencia significativa al implementar medidas de seguridad.

Primero, muchos creen que la seguridad es innecesaria y mantienen una mentalidad optimista, asumiendo que sus proyectos son seguros y no enfrentarán ataques; esto a menudo lleva a descuidar la seguridad del proyecto. En segundo lugar, en lo que respecta a la seguridad en blockchain, muchos equipos de proyectos no comprenden completamente qué aspectos de la seguridad deben abordar. En el pasado, se mencionaba frecuentemente la auditoría de código, en parte debido a la defensa de CertiK, estableciendo un consenso de que el código del proyecto debe someterse a auditorías de seguridad independientes por terceros después de las pruebas internas.

Sin embargo, esto no siempre fue así. Cuando DeFi comenzó a surgir en 2020, la conciencia sobre la importancia de la auditoría de código aumentó gradualmente. En los últimos años, algunos proyectos solo han auditado partes de su código debido a los altos costos, mientras que otros auditan una versión pero omiten actualizaciones posteriores. Estos enfoques son fundamentalmente defectuosos: cualquier modificación de código, incluso cambios de solo unas pocas líneas, puede introducir nuevas vulnerabilidades y vectores de ataque. Este problema persiste hoy sin un consenso en la industria de que todo el código y todas las versiones deben someterse a auditorías de seguridad.

Además, la auditoría de seguridad del código representa solo un pequeño componente de la seguridad blockchain. La seguridad blockchain integral incluye la gestión de claves privadas, la seguridad de las interacciones entre elementos no relacionados con contratos inteligentes y contratos inteligentes. Algunos proyectos implican la seguridad de nodos, mientras que las empresas que utilizan billeteras—ya sean billeteras multi-firma o billeteras MPC—necesitan asegurarse de que sus soluciones de billetera sean seguras. Estos aspectos van más allá de la auditoría de código, sin embargo, muchos proyectos no tienen diseño ni protección para estas dimensiones de seguridad—operando esencialmente sin protección. Como consecuencia, muchos ataques ya no explotan únicamente las vulnerabilidades de los contratos inteligentes. Nos hemos asociado con Cyberport para lanzar capacitación en seguridad para emprendedores y propietarios de negocios, incluyendo exámenes y certificación. Esta certificación califica a los proyectos para solicitar el apoyo financiero de Cyberport, ayudando a prevenir robos y pérdidas.

MetaEra: ¿Tienen los emprendedores de habla china perspectivas diferentes sobre la seguridad criptográfica en comparación con sus contrapartes occidentales?

Ronghui Gu: ¡Las perspectivas generales se mantienen consistentes! Antes de 2021, la seguridad no era un enfoque principal, pero después de 2021, la conciencia sobre la seguridad aumentó significativamente. Puede haber diferencias sutiles: los emprendedores occidentales pueden tener un sesgo ligeramente menos optimista, mientras que los emprendedores en regiones de habla china a veces mantienen una mentalidad optimista, creyendo que sus proyectos no tienen problemas de seguridad. Otra diferencia menor es que cuando identificamos vulnerabilidades en proyectos occidentales, típicamente mantienen una actitud abierta. En contraste, al señalar problemas a algunos proyectos en regiones de habla china, ocasionalmente encontramos resistencia; pueden insistir en que sus proyectos y su código no tienen problemas, y los hallazgos de CertiK realmente les perjudican. Estos casos son raras excepciones, por supuesto. Debo enfatizar que las auditorías de seguridad tienen como objetivo identificar y solucionar problemas para ustedes.

MetaEra: Hemos notado que el eslogan de CertiK ha cambiado. ¿Qué consideraciones llevaron a esta actualización? CertiK ha lanzado herramientas de seguridad gratuitas como Token Scan y Wallet Scan para la comunidad. Como empresa de seguridad, ¿destinará CertiK más recursos a los usuarios finales?

Ronghui Gu: Primero hablemos del eslogan. Nuestro eslogan anterior era "Asegurando el Mundo Web3", que recientemente actualizamos a "Elevando Tu Viaje Completo en Web3", lo que representa un cambio significativo.

Explicaré por qué hicimos este cambio. CertiK ha atendido a 4,700 clientes, identificado 150,000 vulnerabilidades de seguridad y reportado más de 40 vulnerabilidades importantes, haciendo contribuciones sustanciales a la comunidad. Sin embargo, creo que nuestra producción para los usuarios finales y las comunidades de desarrolladores ha sido insuficiente; los comentarios de nuestra comunidad en los últimos años representan un área en la que podríamos mejorar.

"Asegurando el Mundo Web3" reflejó nuestra intención inicial sencilla de proteger toda la industria y el ecosistema Web3. Pero tuve que preguntarme: ¿dónde están nuestros clientes? ¿Dónde está nuestra comunidad? Este eslogan no reflejaba efectivamente estos elementos. Cuando nuestra visión se vuelve tan grandiosa—abarcando toda una industria o mundo— a veces pasa por alto comunidades específicas, clientes y usuarios finales. Por eso nuestro nuevo eslogan incluye "Tu Viaje Web3"—realmente queremos incorporar a individuos y comunidades de la industria en nuestro pensamiento, haciendo que nuestro enfoque sea más concreto en lugar de abstractamente macro-enfocado.

En segundo lugar, muchos clientes ven la seguridad como una auditoría de seguridad única antes del lanzamiento, tratándola como un servicio puntual. Sin embargo, creemos que la seguridad debe acompañar a un proyecto a lo largo de todo su ciclo de vida. Nuestro objetivo es apoyar a los usuarios desde las etapas tempranas hasta el lanzamiento, la implementación de blockchain, la lista de tokens y las operaciones maduras.

En tercer lugar, la actualización del eslogan refleja nuestra creencia de que la seguridad no se trata únicamente de prevenir ataques. A lo largo del ciclo de vida de un proyecto, empoderamos a los equipos de proyecto a través de la construcción de capacidades. CertiK ahora proporciona numerosos servicios más allá de la seguridad tradicional, extendiéndose a dominios de seguridad adyacentes más amplios. Más allá de estas áreas adyacentes, también ofrecemos servicios de consultoría de "Revisión de Diseño". Por ejemplo, con la blockchain TON, inicialmente realizamos auditorías de código y verificación formal. Después del lanzamiento, asistimos a TON con pruebas de rendimiento y construcción de comunidad, actividades que se extienden más allá de los dominios de seguridad.