Сооснователь CertiK Ронгхуи Гу: Почему Гонконг является ведущим центром инноваций Web3 в условиях регуляторной эволюции

Исполнительный профиль

Ронгхуй Гу является профессором компьютерных наук в Колумбийском университете и соучредителем CertiK. Он занимает должности члена Международного консультативного комитета по технологиям при Монетарном управлении Сингапура (MAS) и члена Рабочей группы по развитию Web3.0 правительства Гонконга. Выпускник Университета Цинхуа, Гу получил степень доктора философии в области компьютерных наук в Йельском университете в 2016 году. Он специализируется на операционных системах, безопасности программного обеспечения и формальной верификации, возглавляя разработку CertiKOS.

Ключевые идеи

• "Гонконг остается одним из лучших мест для предпринимательства в Web3. Для говорящих на китайском предпринимателей это, пожалуй, лучший инновационный центр без исключений."

• "Безопасность должна сопровождать проект на протяжении всего его жизненного цикла. Мы стремимся поддерживать пользователей на всех этапах: от ранних стадий до запуска, развертывания блокчейна, листинга токенов и зрелых операций."

• "Мы не хотим, чтобы индустрия или команды проектов считали, что прохождение аудита безопасности CertiK означает, что их проект совершенно свободен от проблем с безопасностью."

• "Все, что делает CertiK, направлено на содействие прозрачности и открытости."

• "Хотя прозрачность создает сложности для CertiK как обоюдоострое оружие, она определенно приносит положительные результаты для индустрии."

• "Три самых важных элемента регулирующей политики - управляемость, видимость и обеспечимость."

• "Развитие Web3 в Гонконге вышло за пределы первоначальной фазы влюбленности и вступило в период роста."

• "CertiK должен вести непрерывную борьбу с хакерами 24/7 в этой изначально неравной битве, поддерживая нашу успешность благодаря постоянной бдительности."

Полное интервью

MetaEra: CertiK установила свое присутствие в кибер-порту Гонконга в прошлом августе. Можете поделиться своим личным опытом и предоставить рекомендации для специалистов и проектов, которые все еще оценивают развитие Web3 в Гонконге?

Ронгхуй Гу: Я помню, что к январю 2023 года Гонконг уже реализовал несколько соответствующих политик, хотя большинство участников отрасли оставались в режиме наблюдения. CertiK получил приглашение в Гонконг и встретился с финансовым секретарем Полом Чаном, который поделился своими взглядами на финансовую политику Web3. Это продемонстрировало сильную уверенность правительства Гонконга в развитии Web3.

Мы начали создавать компанию CertiK в Гонконге примерно в это время. В этот период позиция США по отношению к Web3 была охарактеризована неопределенностью — SEC инициировала более дюжины исков, что делало политику США в отношении Web3 все более неоднозначной. Это побудило многих обратить свой взор на Азию. Основными финансовыми центрами в Азии являются Сингапур и Гонконг. Когда я получил приглашение из Гонконга, я на самом деле находился в Сингапуре, где являлся членом комитета Международного консультативного комитета по технологиям (MAS) при Монетарном управлении Сингапура. Суверенный инвестиционный фонд Сингапура Temasek инвестировал в FTX, и после краха FTX подход Сингапура к Web3 стал колеблющимся. Я считаю, что Гонконг эффективно воспользовался этой возможностью.

Мы решили установить наше присутствие в Cyberport в Гонконге, который предлагает значительную поддержку для предпринимателей в области Web3 — регулярно организуя мероприятия и инкубируя проекты, способствуя ценным обменам. На протяжении этого процесса я осознал уникальное положение Гонконга в сочетании с решимостью правительства развивать Web3, что делает его исключительной базой для предпринимательства в области Web3.

Если бы мне пришлось дать совет другим профессионалам Web3, я считаю, что Гонконг остается одним из лучших мест для предпринимательства в Web3. Для говорящих на китайском предпринимателей это, безусловно, лучший центр инноваций. Во-первых, он предлагает поддержку со стороны политики; во-вторых, он поддерживается Шэньчжэнем, что обеспечивает доступ к финансовым талантам и высококвалифицированным программистам и разработчикам; в-третьих, растущее количество связанных компаний упрощает поиск партнеров или клиентов. Кроме того, если предприниматели рассматривают возможность открытия бизнеса в Гонконге, я настоятельно рекомендую немедленно связаться с Cyberport. CertiK сотрудничает с Cyberport, чтобы предоставить сертификаты безопасности, которые могут помочь командам подать заявки на поддержку предпринимательства от Cyberport.

Более того, финансовые регулирующие органы Гонконга приняли рекомендации CertiK по укреплению нормативных рамок для стейблкоинов, что стало очень положительным опытом! Это демонстрирует, как правительство прислушивается к профессиональным советам, идеям и голосам из различных секторов отрасли для улучшения своей политики. Я считаю, что правительство Гонконга в этом аспекте превосходит другие юрисдикции.

MetaEra: В условиях новых крипто-политик Гонконга многие проекты Web3 установили свое присутствие там. Как вы думаете, как эти проекты относятся к безопасности блокчейна? Есть ли у говорящих на китайском языке предпринимателей иное мнение о безопасности криптовалют по сравнению с их западными коллегами?

Ронгхуи Гу: Как лидер в сфере безопасности Web3, мы наблюдали постоянные закономерности. Во-первых, когда вы спрашиваете любой бизнес или основателя о важности безопасности проекта, они неизменно говорят, что это имеет решающее значение! Однако вопросы о том, как улучшить безопасность проекта, какие аспекты охватывает безопасность или готовность платить за безопасность часто получают неопределенные и общие ответы. Хотя все признают важность безопасности, мы сталкиваемся с значительным сопротивлением при внедрении мер безопасности.

Во-первых, многие считают, что безопасность не нужна, и сохраняют оптимистичный настрой, предполагая, что их проекты безопасны и не столкнутся с атаками — это часто приводит к пренебрежению безопасностью проекта. Во-вторых, что касается безопасности блокчейна, многие команды проектов не совсем понимают, какие аспекты безопасности им следует учитывать. Ранее часто упоминалась проверка кода — отчасти благодаря адвокации CertiK, что установило консенсус о том, что код проекта должен проходить независимые сторонние проверки безопасности после внутреннего тестирования.

Однако это было не всегда так. Когда DeFi начал появляться в 2020 году, осознание важности аудита кода постепенно возросло. В последние годы некоторые проекты проверяли только части своего кода из-за высоких затрат, в то время как другие проверяли одну версию, но пропускали последующие обновления. Эти подходы фундаментально ошибочны — любое изменение кода, даже изменения всего лишь нескольких строк, может ввести новые уязвимости и векторы атак. Эта проблема сохраняется и сегодня без согласия отрасли о том, что весь код и все версии должны проходить проверки безопасности.

Кроме того, аудит безопасности кода представляет собой лишь небольшую часть безопасности блокчейна. Комплексная безопасность блокчейна включает в себя управление приватными ключами, безопасность взаимодействия между элементами, не являющимися смарт-контрактами, и смарт-контрактами. Некоторые проекты касаются безопасности узлов, в то время как предприятия, использующие кошельки — будь то мультиподписные или MPC-кошельки — должны убедиться, что их решения по кошелькам безопасны. Эти аспекты выходят за рамки аудита кода, однако многие проекты не имеют никакого дизайна или защиты для этих аспектов безопасности, фактически действуя без защиты. В результате многие атаки больше не эксплуатируют исключительно уязвимости смарт-контрактов. Мы сотрудничали с Cyberport, чтобы запустить тренинги по безопасности для предпринимателей и бизнесменов, включая экзамены и сертификацию. Эта сертификация квалифицирует проекты для подачи заявки на финансирование от Cyberport, что помогает предотвратить кражи и инциденты потерь.

MetaEra: Есть ли у китайскоговорящих предпринимателей иные взгляды на безопасность криптовалют по сравнению с их западными коллегами?

Ронгхуи Гу: Общие перспективы остаются последовательными! До 2021 года безопасность не была главным приоритетом, но после 2021 года осознание важности безопасности значительно возросло. Могут быть небольшие различия: западные предприниматели могут иметь немного менее оптимистичный настрой, в то время как предприниматели в китайскоязычных регионах иногда сохраняют оптимистичный подход, считая, что их проекты не имеют проблем с безопасностью. Еще одно небольшое различие заключается в том, что когда мы выявляем уязвимости в западных проектах, они обычно проявляют открытую позицию. Напротив, когда мы указываем на проблемы в некоторых проектах в китайскоязычных регионах, мы иногда сталкиваемся с сопротивлением — они могут настаивать на том, что их проекты и код не имеют проблем, а результаты CertiK фактически ставят их в невыгодное положение. Эти случаи, конечно, редкие исключения. Я должен подчеркнуть, что аудит безопасности направлен на выявление и исправление проблем для вас.

MetaEra: Мы заметили, что слоган CertiK изменился. Какие соображения привели к этому обновлению? CertiK выпустила бесплатные инструменты безопасности, такие как Token Scan и Wallet Scan, для сообщества. Как компания в сфере безопасности, будет ли CertiK уделять больше ресурсов пользователям, обращающимся к потребителям?

Ронгхуй Гу: Давайте сначала обсудим слоган. Наш предыдущий слоган был "Обеспечение безопасности мира Web3", который мы недавно обновили до "Поднимаем ваше полное путешествие по Web3" — это представляет собой значительный сдвиг.

Я объясню, почему мы внесли это изменение. CertiK обслуживал 4,700 клиентов, выявил 150,000 уязвимостей в безопасности и сообщил о более чем 40 крупных уязвимостях, что значительно способствовало развитию сообщества. Однако я считаю, что наши результаты для конечных пользователей и разработчиков были недостаточными — отзывы нашего сообщества за последние несколько лет представляют собой область, в которой мы могли бы улучшиться.

"Защита мира Web3" отражала наше изначальное простое намерение защитить всю индустрию Web3 и экосистему. Но я должен был задать себе вопрос: где наши клиенты? Где наше сообщество? Этот слоган не отражал эти элементы эффективно. Когда наше видение становится таким грандиозным — охватывающим целую индустрию или мир — оно иногда упускает из виду конкретные сообщества, клиентов и конечных пользователей. Вот почему наш новый слоган включает "Ваш Web3 Путь" — мы искренне хотим вовлечь людей и сообщества из индустрии в наше мышление, делая наш подход более конкретным, а не абстрактно макроориентированным.

Во-вторых, многие клиенты рассматривают безопасность как одноразовый аудит безопасности перед запуском, воспринимая это как услугу в определенный момент времени. Однако мы считаем, что безопасность должна сопровождать проект на протяжении всего его жизненного цикла. Мы стремимся поддерживать пользователей с ранних этапов до запуска, развертывания блокчейна, листинга токенов и зрелых операций.

Третье, обновление слогана отражает нашу веру в то, что безопасность не сводится только к предотвращению атак. На протяжении жизненного цикла проекта мы поддерживаем команды проектов, развивая их возможности. CertiK теперь предоставляет множество услуг, выходящих за рамки традиционной безопасности, охватывая более широкие смежные области безопасности. Кроме этих смежных областей, мы также предлагаем консультационные услуги "Обзор дизайна". Например, с блокчейном TON мы изначально провели аудит кода и формальную верификацию. После запуска мы помогли TON с тестированием производительности и строительством сообщества — действиями, которые выходят за рамки областей безопасности.