CertiK联合创始人顾荣辉：为什么香港在监管演变下成为首屈一指的Web3创新中心

高管简介

郭荣辉担任哥伦比亚大学计算机科学教授和CertiK联合创始人。他是新加坡金融管理局国际技术顾问委员会成员(MAS)，以及香港政府Web3.0发展工作组成员。郭荣辉是清华大学毕业生，2016年获得耶鲁大学计算机科学博士学位。他专注于操作系统、软件安全和形式验证，领导CertiKOS的开发。

关键见解

• "香港仍然是Web3创业的最佳地点之一。对于讲中文的创业者来说，无疑是最佳的创新中心。"

• "安全应伴随项目的整个生命周期。我们旨在支持用户从早期阶段到发布、区块链部署、代币上市以及成熟运营的各个阶段。"

• "我们不希望行业或项目团队认为通过CertiK的安全审计意味着他们的项目完全没有安全问题。"

• "CertiK所做的一切旨在促进透明和开放。"

• "虽然透明度对CertiK来说是一把双刃剑，但它无疑为行业带来了积极的结果。"

• "监管政策的三个最关键要素是可管理性、可见性和可执行性。"

• "香港的Web3发展已超越最初的蜜月期，进入了一个成长的阵痛期。"

• "CertiK 必须在这场本质上不平等的战斗中，全天候 24/7 不断与黑客作斗争，通过持续的警惕保持我们的成功率。"

完整访谈

MetaEra: CertiK 于去年八月在香港的数码港建立了其存在。您能分享您的个人经历并为仍在评估香港 Web3 发展的专业人士和项目提供指导吗？

郭荣辉：我记得到2023年1月，香港已经实施了几项相关政策，尽管大多数行业参与者仍处于观察模式。CertiK受邀前往香港，并与财政司司长陈茂波会面，他分享了他对Web3金融政策的看法。这展现了香港政府在发展Web3方面的强大信心。

我们大约在那个时候开始建立CertiK在香港的公司。在此期间，美国对Web3的立场充满了不确定性——美国证券交易委员会已发起超过十几起诉讼，使美国对Web3的政策变得越来越模糊。这促使许多人将目光投向亚洲。亚洲的主要金融中心是新加坡和香港。当我收到香港的邀请时，我实际上正在新加坡担任新加坡货币管理局的(MAS)国际技术顾问委员会的委员。新加坡的主权财富基金淡马锡曾对FTX进行投资，而在FTX崩溃后，新加坡对Web3的政策变得犹豫不决。我相信香港有效地抓住了这个机会。

我们选择在香港的数码港建立我们的存在，这里为Web3企业家提供了实质性的支持——定期组织活动和孵化项目，促进有价值的交流。在这个过程中，我认识到香港独特的地位以及政府发展Web3的决心，使其成为Web3创业的卓越基地。

如果我要给其他Web3专业人士提供建议，我认为香港仍然是Web3创业的最佳地点之一。对于讲中文的创业者来说，毫无疑问，它是最好的创新中心。首先，它提供政策支持；其次，它得到了深圳的支持，能够接触到金融人才和高质量的程序员和开发者；第三，相关企业的日益增多使得寻找合作伙伴或客户变得更加容易。此外，如果创业者考虑在香港设立公司，我强烈建议立即联系数码港。CertiK正与数码港合作，提供安全证书，帮助团队申请数码港的创业支持基金。

此外，香港的金融监管机构已经采纳了CertiK的建议，以加强稳定币的监管框架，这是一段非常积极的经历！这表明政府如何倾听来自各个行业领域的专业建议、想法和声音，以改善其政策。我相信香港政府在这方面相比于其他司法管辖区表现更为出色。

MetaEra：在香港的新加密政策下，许多Web3项目在当地落户。您认为这些项目如何看待区块链安全？讲中文的企业家与他们的西方同行在加密安全方面有不同的看法吗？

Ronghui Gu: 作为Web3安全领域的领导者，我们观察到了一些持续的模式。首先，当你询问任何企业或创始人关于项目安全的重要性时，他们无一例外地会说这是至关重要的！然而，关于如何增强项目安全、哪些方面涵盖安全，或愿意为安全支付的意愿，往往得到模糊和笼统的回答。虽然大家都承认安全的重要性，但在实施安全措施时，我们遇到了显著的抵制。

首先，许多人认为安全性是不必要的，保持乐观的心态，假设他们的项目是安全的，不会遭受攻击——这往往导致对项目安全的忽视。其次，关于区块链安全，许多项目团队并不完全理解他们应该解决哪些安全方面。在过去，代码审计经常被提及——部分是由于CertiK的倡导，达成共识认为项目代码在内部测试后应该接受独立第三方的安全审计。

然而，这并非一直如此。当去中心化金融（DeFi）在2020年开始出现时，代码审计重要性的认知逐渐增加。近年来，一些项目由于高成本只审计其代码的一部分，而其他项目则审计一个版本但跳过后续更新。这些方法根本上是有缺陷的——任何代码修改，即使只是几行的变化，也可能引入新的漏洞和攻击向量。这个问题今天依然存在，行业内没有达成共识，认为所有代码和所有版本都应该进行安全审计。

此外，代码安全审计只是区块链安全的一个小组成部分。全面的区块链安全包括私钥管理、非智能合约元素与智能合约之间交互的安全性。一些项目涉及节点安全，而使用钱包的企业——无论是多签名钱包还是MPC钱包——都需要确保他们的钱包解决方案是安全的。这些方面超出了代码审计的范围，但许多项目在这些安全维度上几乎没有设计或保护——基本上是在没有保护的情况下运作。因此，许多攻击不再仅仅利用智能合约的漏洞。我们已与Cyberport合作推出针对企业家和商业所有者的安全培训，包括考试和认证。此认证使项目有资格申请Cyberport的资金支持，帮助防止盗窃和损失事件。

MetaEra：讲中文的企业家在加密安全方面与他们的西方同行有不同的看法吗？

戎辉谷：整体观点保持一致！在2021年前，安全性并不是主要关注点，但在2021年之后，安全意识显著提高。可能存在细微差别——西方企业家可能稍微少一些乐观偏见，而华语地区的企业家有时保持乐观的心态，认为他们的项目没有安全问题。另一个小差别是，当我们发现西方项目的漏洞时，他们通常保持开放的态度。相反，当指出一些华语地区项目的问题时，我们偶尔会遇到抵触——他们可能会坚持认为他们的项目和代码没有问题，而CertiK的发现实际上对他们不利。当然，这些情况是极少数例外。我应该强调，安全审计的目的是帮助您识别和修复问题。

MetaEra：我们注意到CertiK的口号已经改变。是什么原因导致了这一升级？CertiK为社区发布了免费的安全工具，如Token Scan和Wallet Scan。作为一家安全公司，CertiK是否会为面向消费者的用户投入更多资源？

Ronghui Gu: 我们先来讨论一下口号。我们之前的口号是“保护 Web3 世界”，最近我们升级为“提升您整个 Web3 旅程”——这代表了一个重要的转变。

我将解释我们为什么进行这个改变。CertiK 已经为 4,700 个客户提供服务，识别了 150,000 个安全漏洞，并报告了 40 多个重大漏洞，为社区做出了实质性的贡献。然而，我认为我们对最终用户和开发者社区的输出仍然不足——我们在过去几年的社区反馈显示了我们可以改进的地方。

"保护Web3世界" 反映了我们最初简单的意图，即保护整个Web3行业和生态系统。但我不得不问自己：我们的客户在哪里？我们的社区在哪里？这个口号没有有效地反映这些元素。当我们的愿景变得如此宏大——涵盖整个行业或世界时，它有时会忽视特定的社区、客户和最终用户。这就是为什么我们新的口号包含了 "你的Web3旅程"——我们真正希望将行业中的个人和社区纳入我们的思考，使我们的方式更加具体，而不是抽象的宏观关注。

其次，许多客户将安全视为在发布前的一次性安全审计，把它当作一个时间点的服务。然而，我们认为安全应该伴随项目的整个生命周期。我们的目标是支持用户从早期阶段到发布、区块链部署、代币上市以及成熟运营。

第三，口号升级反映了我们的信念：安全不仅仅是防止攻击。在项目生命周期内，我们通过能力建设来赋能项目团队。CertiK 现在提供的服务超越了传统安全，扩展到更广泛的安全相关领域。除了这些相关领域，我们还提供 "设计审查" 咨询服务。例如，在TON区块链方面，我们最初进行了代码审计和形式验证。上线后，我们帮助TON进行性能测试和社区建设——这些活动超出了安全领域。