Co-fondateur de CertiK Ronghui Gu : Pourquoi Hong Kong se distingue comme le principal hub d'innovation Web3 sous l'évolution réglementaire

Profil Exécutif

Ronghui Gu est professeur d'informatique à l'Université Columbia et co-fondateur de CertiK. Il occupe des postes de membre du Comité consultatif international sur les technologies à l'Autorité monétaire de Singapour (MAS) et membre du Groupe de travail sur le développement de Web3.0 du gouvernement de Hong Kong. Diplômé de l'Université Tsinghua, Gu a obtenu son doctorat en informatique à l'Université de Yale en 2016. Il se spécialise dans les systèmes d'exploitation, la sécurité des logiciels et la vérification formelle, dirigeant le développement de CertiKOS.

Principales informations

• "Hong Kong reste l'un des meilleurs endroits pour l'entrepreneuriat Web3. Pour les entrepreneurs parlant chinois, c'est sans doute le meilleur pôle d'innovation sans exception."

• "La sécurité doit accompagner un projet tout au long de son cycle de vie. Nous visons à soutenir les utilisateurs depuis les premières étapes jusqu'au lancement, au déploiement de la blockchain, à l'inscription des tokens et aux opérations matures."

• "Nous ne voulons pas que l'industrie ou les équipes de projet croient que passer l'audit de sécurité de CertiK signifie que leur projet est complètement exempt de problèmes de sécurité."

• "Tout ce que CertiK fait vise à promouvoir la transparence et l'ouverture."

• "Bien que la transparence crée des défis pour CertiK en tant qu'épée à double tranchant, elle produit définitivement des résultats positifs pour l'industrie."

• "Les trois éléments les plus cruciaux de la politique réglementaire sont la gestion, la visibilité et l'applicabilité."

• "Le développement Web3 de Hong Kong est passé au-delà de sa phase de lune de miel initiale et est entré dans une période de douleurs de croissance."

• "CertiK doit s'engager dans un combat continu 24/7 contre les hackers dans cette bataille intrinsèquement inégale, maintenant notre taux de réussite grâce à une vigilance persistante."

Entretien complet

MetaEra : CertiK a établi sa présence dans le Cyberport de Hong Kong en août dernier. Pouvez-vous partager votre expérience personnelle et fournir des conseils aux professionnels et aux projets qui évaluent encore le développement du Web3 à Hong Kong ?

Ronghui Gu : Je me souviens qu'en janvier 2023, Hong Kong avait déjà mis en œuvre plusieurs politiques pertinentes, bien que la plupart des acteurs de l'industrie soient restés en mode d'observation. CertiK a reçu une invitation à Hong Kong et a rencontré le secrétaire aux Finances Paul Chan, qui a partagé ses perspectives sur les politiques financières Web3. Cela a démontré la forte confiance du gouvernement de Hong Kong dans le développement de Web3.

Nous avons commencé à établir la société de CertiK à Hong Kong autour de cette période. Pendant cette période, la position des États-Unis envers le Web3 était caractérisée par l'incertitude - la SEC avait lancé plus d'une douzaine de poursuites, rendant les politiques américaines envers le Web3 de plus en plus ambiguës. Cela a poussé beaucoup de gens à se tourner vers l'Asie. Les principaux centres financiers en Asie sont Singapour et Hong Kong. Lorsque j'ai reçu l'invitation de Hong Kong, j'étais en fait à Singapour en tant que membre du comité pour le (MAS) Comité consultatif international sur la technologie de l'Autorité monétaire de Singapour. Le fonds souverain de Singapour, Temasek, avait investi dans FTX, et suite à l'effondrement de FTX, l'approche politique de Singapour envers le Web3 est devenue hésitante. Je crois que Hong Kong a effectivement saisi cette opportunité.

Nous avons choisi d'établir notre présence à Cyberport à Hong Kong, qui offre un soutien substantiel aux entrepreneurs du Web3—organisant régulièrement des événements et incubant des projets, facilitant des échanges précieux. Tout au long de ce processus, j'ai reconnu la position unique de Hong Kong combinée à la détermination du gouvernement à développer le Web3, en faisant une base exceptionnelle pour l'entrepreneuriat Web3.

Si je devais donner des conseils à d'autres professionnels du Web3, je crois que Hong Kong reste l'un des meilleurs endroits pour l'entrepreneuriat Web3. Pour les entrepreneurs francophones, c'est sans conteste le meilleur pôle d'innovation. Tout d'abord, il offre un soutien politique ; deuxièmement, il est soutenu par Shenzhen, ce qui permet d'accéder à des talents financiers et à des programmeurs et développeurs de haute qualité ; troisièmement, la présence croissante d'entreprises connexes facilite la recherche de partenaires ou de clients. De plus, si des entrepreneurs envisagent de s'établir à Hong Kong, je recommande vivement de contacter Cyberport immédiatement. CertiK collabore avec Cyberport pour fournir des certificats de sécurité qui peuvent aider les équipes à postuler pour les fonds de soutien à l'entrepreneuriat de Cyberport.

De plus, les autorités de régulation financière de Hong Kong ont adopté les recommandations de CertiK pour renforcer les cadres réglementaires des stablecoins, ce qui a été une expérience très positive ! Cela démontre comment le gouvernement écoute les conseils professionnels, les idées et les voix de divers secteurs de l'industrie pour améliorer ses politiques. Je crois que le gouvernement de Hong Kong excelle dans cet aspect par rapport à d'autres juridictions.

MetaEra : Sous les nouvelles politiques crypto de Hong Kong, de nombreux projets Web3 y ont établi une présence. Comment pensez-vous que ces projets perçoivent la sécurité blockchain ? Les entrepreneurs parlant chinois ont-ils des perspectives différentes sur la sécurité crypto par rapport à leurs homologues occidentaux ?

Ronghui Gu : En tant que leader du secteur de la sécurité Web3, nous avons observé des schémas constants. Tout d'abord, lorsque vous demandez à une entreprise ou à un fondateur l'importance de la sécurité des projets, ils diront invariablement que c'est crucial ! Cependant, les questions sur la façon d'améliorer la sécurité des projets, les aspects que couvre la sécurité ou la volonté de payer pour la sécurité reçoivent souvent des réponses vagues et générales. Bien que tout le monde reconnaisse l'importance de la sécurité, nous rencontrons une résistance significative lors de la mise en œuvre des mesures de sécurité.

Tout d'abord, beaucoup croient que la sécurité est inutile et maintiennent un état d'esprit optimiste, supposant que leurs projets sont sécurisés et ne subiront pas d'attaques—cela conduit souvent à négliger la sécurité du projet. Deuxièmement, en ce qui concerne la sécurité de la blockchain, de nombreuses équipes de projet ne comprennent pas pleinement quels aspects de la sécurité elles devraient aborder. Par le passé, l'audit de code était fréquemment mentionné—en partie grâce à l'engagement de CertiK, établissant un consensus selon lequel le code du projet devrait subir des audits de sécurité indépendants par des tiers après des tests internes.

Cependant, ce n'était pas toujours le cas. Lorsque la DeFi a commencé à émerger en 2020, la sensibilisation à l'importance de l'audit de code a progressivement augmenté. Au cours des dernières années, certains projets n'ont audité que des parties de leur code en raison de coûts élevés, tandis que d'autres audite une version mais ignorent les mises à jour suivantes. Ces approches sont fondamentalement défectueuses : toute modification de code, même des changements de seulement quelques lignes, peut introduire de nouvelles vulnérabilités et vecteurs d'attaque. Ce problème persiste aujourd'hui sans consensus dans l'industrie selon lequel tout le code et toutes les versions devraient subir des audits de sécurité.

De plus, l'audit de la sécurité des codes ne représente qu'un petit composant de la sécurité des blockchains. La sécurité complète des blockchains inclut la gestion des clés privées, la sécurité des interactions entre les éléments non-contractuels intelligents et les contrats intelligents. Certains projets impliquent la sécurité des nœuds, tandis que les entreprises utilisant des portefeuilles—qu'ils soient multi-signatures ou des portefeuilles MPC—doivent s'assurer que leurs solutions de portefeuille sont sécurisées. Ces aspects vont au-delà de l'audit de code, pourtant de nombreux projets n'ont aucune conception ou protection pour ces dimensions de sécurité—opérant essentiellement sans protection. Par conséquent, de nombreuses attaques n'exploitent plus uniquement les vulnérabilités des contrats intelligents. Nous avons collaboré avec Cyberport pour lancer une formation à la sécurité pour les entrepreneurs et les propriétaires d'entreprises, y compris des examens et des certifications. Cette certification permet aux projets de postuler pour le soutien financier de Cyberport, aidant à prévenir les incidents de vol et de perte.

MetaEra : Les entrepreneurs parlant chinois ont-ils des perspectives différentes sur la sécurité crypto par rapport à leurs homologues occidentaux ?

Ronghui Gu : Les perspectives globales restent cohérentes ! Avant 2021, la sécurité n'était pas une priorité majeure, mais après 2021, la sensibilisation à la sécurité a considérablement augmenté. Il pourrait y avoir des différences subtiles : les entrepreneurs occidentaux peuvent avoir un biais légèrement moins optimiste, tandis que les entrepreneurs dans les régions sinophones maintiennent parfois un état d'esprit optimiste, croyant que leurs projets n'ont pas de problèmes de sécurité. Une autre différence mineure est que lorsque nous identifions des vulnérabilités dans les projets occidentaux, ils adoptent généralement une attitude ouverte. En revanche, lorsque nous soulignons des problèmes à certains projets dans les régions sinophones, nous rencontrons parfois de la résistance - ils peuvent insister sur le fait que leurs projets et leur code n'ont pas de problèmes, et que les résultats de CertiK leur sont en fait défavorables. Ces cas sont bien sûr des exceptions rares. Je devrais souligner que les audits de sécurité visent à identifier et à résoudre des problèmes pour vous.

MetaEra : Nous avons remarqué que le slogan de CertiK a changé. Quelles considérations ont conduit à cette mise à niveau ? CertiK a publié des outils de sécurité gratuits comme Token Scan et Wallet Scan pour la communauté. En tant qu'entreprise de sécurité, CertiK consacrera-t-elle plus de ressources aux utilisateurs finaux ?

Ronghui Gu : Discutons d'abord du slogan. Notre ancien slogan était "Sécuriser le monde Web3", que nous avons récemment amélioré en "Élever votre parcours Web3 dans son ensemble"—représentant un changement significatif.

Je vais expliquer pourquoi nous avons apporté ce changement. CertiK a servi 4 700 clients, identifié 150 000 vulnérabilités de sécurité et signalé plus de 40 vulnérabilités majeures, apportant des contributions substantielles à la communauté. Cependant, je pense que notre production pour les utilisateurs finaux et les communautés de développeurs a été insuffisante - les retours de notre communauté au cours des dernières années représentent un domaine où nous pourrions nous améliorer.

"Sécuriser le monde Web3" reflétait notre intention initiale simple de protéger l'ensemble de l'industrie et de l'écosystème Web3. Mais je devais me poser la question : où sont nos clients ? Où est notre communauté ? Ce slogan ne reflétait pas efficacement ces éléments. Lorsque notre vision devient si grande—englobant une industrie ou un monde entier—elle néglige parfois des communautés spécifiques, des clients et des utilisateurs finaux. C'est pourquoi notre nouveau slogan inclut "Votre parcours Web3"—nous voulons sincèrement intégrer des individus et des communautés de l'industrie dans notre réflexion, rendant notre approche plus concrète plutôt que abstraitement macro-orientée.

Deuxièmement, de nombreux clients considèrent la sécurité comme un audit de sécurité ponctuel avant le lancement, la traitant comme un service à un moment donné. Cependant, nous croyons que la sécurité devrait accompagner un projet tout au long de son cycle de vie. Nous visons à soutenir les utilisateurs depuis les premières étapes jusqu'au lancement, au déploiement de la blockchain, à la cotation des jetons et aux opérations matures.

Troisièmement, la mise à niveau du slogan reflète notre conviction que la sécurité ne consiste pas uniquement à prévenir les attaques. Tout au long du cycle de vie d'un projet, nous renforçons les équipes de projet grâce au développement des compétences. CertiK propose désormais de nombreux services au-delà de la sécurité traditionnelle, s'étendant à des domaines de sécurité adjacents plus larges. Au-delà de ces domaines adjacents, nous offrons également des services de conseil en "Revue de conception". Par exemple, avec la blockchain TON, nous avons d'abord effectué des audits de code et une vérification formelle. Après le lancement, nous avons aidé TON avec des tests de performance et le développement de la communauté—des activités qui s'étendent au-delà des domaines de sécurité.