CertiK Kurucu Ortağı Ronghui Gu: Hong Kong'un Regülatif Evrim Altında Neden Birinci Sınıf Web3 İnovasyon Merkezi Olduğu

İcra Profili

Ronghui Gu, Columbia Üniversitesi Bilgisayar Bilimleri Profesörü ve CertiK Kurucu Ortağı olarak görev yapmaktadır. Singapur Para Otoritesi'nde (MAS) Uluslararası Teknoloji Danışma Komitesi üyesi ve Hong Kong Hükümeti'nin Web3.0 Geliştirme Görev Gücü üyesidir. Tsinghua Üniversitesi mezunu olan Gu, 2016 yılında Yale Üniversitesi'nden Bilgisayar Bilimleri doktora derecesini almıştır. İşletim sistemleri, yazılım güvenliği ve resmi doğrulama konularında uzmanlaşmış olup, CertiKOS'un geliştirilmesine öncülük etmektedir.

Anahtar Bilgiler

• "Hong Kong, Web3 girişimciliği için en iyi yerlerden biri olmaya devam ediyor. Çince konuşan girişimciler için, tartışmasız en iyi yenilik merkezi."

• "Güvenlik, bir projenin tüm yaşam döngüsü boyunca eşlik etmelidir. Kullanıcıları erken aşamalardan lansmana, blok zinciri dağıtımına, token listelemeye ve olgun operasyonlara kadar desteklemeyi hedefliyoruz."

• "Sektörün veya proje ekiplerinin, CertiK'in güvenlik denetimini geçmenin projelerinin güvenlik sorunlarından tamamen kurtuldukları anlamına geldiğini düşünmelerini istemiyoruz."

• "CertiK'in yaptığı her şey şeffaflık ve açıklığı teşvik etmeyi amaçlıyor."

• "Şeffaflık, CertiK için çift taraflı bir kılıç olarak zorluklar yaratırken, kesinlikle sektör için olumlu sonuçlar üretmektedir."

• "Regülasyon politikasının en önemli üç unsuru yönetilebilirlik, görünürlük ve uygulanabilirliktir."

• "Hong Kong'un Web3 gelişimi ilk balayı dönemini geride bıraktı ve büyüme sancıları dönemine girdi."

• "CertiK, bu doğası gereği dengesiz savaşta sürekli 24/7 hackerlarla savaşmak zorundadır, sürekli dikkat sayesinde başarı oranımızı korumalıdır."

Tam Röportaj

MetaEra: CertiK, geçen Ağustos ayında Hong Kong'un Cyberport'unda varlığını kurdu. Kişisel deneyiminizi paylaşabilir misiniz ve hala Hong Kong'un Web3 gelişimini değerlendiren profesyonellere ve projelere rehberlik edebilir misiniz?

Ronghui Gu: Ocak 2023 itibarıyla, Hong Kong'un zaten birkaç ilgili politika uyguladığını hatırlıyorum, ancak sektör katılımcılarının çoğu gözlem modunda kalmaya devam etti. CertiK, Hong Kong'a davet aldı ve Mali Sekreter Paul Chan ile bir araya geldi. Chan, Web3 finans politikaları konusundaki bakış açılarını paylaştı. Bu, Hong Kong hükümetinin Web3 geliştirme konusundaki güçlü güvenini gösterdi.

O dönemde CertiK'in Hong Kong şirketini kurmaya başladık. Bu dönemde, ABD'nin Web3'e yönelik tutumu belirsizlikle karakterize ediliyordu; SEC ondan fazla dava açmıştı ve ABD'nin Web3'e yönelik politikaları giderek belirsizleşiyordu. Bu durum birçok kişinin Asya'ya yönelmesine yol açtı. Asya'daki ana finans merkezleri Singapur ve Hong Kong'dur. Hong Kong'un davetini aldığımda, aslında Singapur'daydım ve Singapur Merkez Bankası'nın (MAS) Uluslararası Teknoloji Danışma Komitesi'nde komite üyesi olarak görev yapıyordum. Singapur'un egemen varlık fonu Temasek, FTX'e yatırım yapmıştı ve FTX'in çöküşünün ardından Singapur'un Web3'e yönelik politika yaklaşımı tereddütlü hale geldi. Hong Kong'un bu fırsatı etkili bir şekilde değerlendirdiğini düşünüyorum.

Hong Kong'daki Cyberport'ta varlığımızı kurmayı seçtik. Burada Web3 girişimcilerine önemli destek sağlanıyor; düzenli olarak etkinlikler organize ediliyor ve projeler inkübe ediliyor, değerli değişimlere olanak tanınıyor. Bu süreç boyunca, Hong Kong'un benzersiz konumunu ve hükümetin Web3'ü geliştirme konusundaki kararlılığını fark ettim ve buranın Web3 girişimciliği için olağanüstü bir üs olduğunu düşünüyorum.

Diğer Web3 profesyonellerine tavsiyede bulunacak olsaydım, Hong Kong'un Web3 girişimciliği için en iyi yerlerden biri olduğunu düşünüyorum. Çince konuşan girişimciler için tartışmasız en iyi inovasyon merkezi. Öncelikle, politika desteği sunuyor; ikincisi, Shenzhen tarafından destekleniyor ve bu da finansal yeteneklere ve kaliteli programcılara ve geliştiricilere erişim sağlıyor; üçüncüsü, ilgili işletmelerin artan varlığı, ortaklar veya müşteriler bulmayı kolaylaştırıyor. Ayrıca, girişimciler Hong Kong'da kurulmayı düşünüyorsa, hemen Cyberport ile iletişime geçmelerini şiddetle tavsiye ederim. CertiK, Cyberport ile işbirliği yaparak, takımların Cyberport'un girişimci destek fonlarına başvurmasına yardımcı olabilecek güvenlik sertifikaları sağlıyor.

Ayrıca, Hong Kong'un finansal düzenleyici otoriteleri, stabilcoin düzenleyici çerçevelerini güçlendirmek için CertiK'in önerilerini benimsemiştir, bu çok olumlu bir deneyim olmuştur! Bu, hükümetin politikasını geliştirmek için çeşitli sektörlerden profesyonel tavsiyelere, fikirlere ve seslere nasıl kulak verdiğini göstermektedir. Hong Kong hükümetinin bu açıdan diğer yargı bölgelerine kıyasla başarılı olduğunu düşünüyorum.

MetaEra: Hong Kong'un yeni kripto politikaları altında, birçok Web3 projesi burada bir varlık oluşturdu. Bu projelerin blok zinciri güvenliğine nasıl baktığını düşünüyorsunuz? Çince konuşan girişimcilerin kripto güvenliği konusunda batılı meslektaşlarından farklı bakış açılarına sahip olduğunu düşünüyor musunuz?

Ronghui Gu: Web3 güvenlik sektöründe bir lider olarak, sürekli desenler gözlemledik. Öncelikle, herhangi bir işletmeye veya kurucuya proje güvenliğinin önemini sorduğunuzda, bunun kritik olduğunu söyleyeceklerdir! Ancak, proje güvenliğini nasıl artıracakları, güvenliğin hangi yönleri kapsadığı veya güvenlik için ödeme yapmaya istekli olup olmadıkları gibi sorular genellikle belirsiz ve genel yanıtlar alır. Herkes güvenliğin önemini kabul etse de, güvenlik önlemlerini uygularken önemli bir dirençle karşılaşıyoruz.

Öncelikle, birçok kişi güvenliğin gereksiz olduğuna inanıyor ve projelerinin güvenli olduğunu ve saldırıya uğramayacağını varsayarak iyimser bir zihniyeti sürdürüyor—bu durum genellikle proje güvenliğinin ihmal edilmesine yol açıyor. İkincisi, blok zinciri güvenliği ile ilgili olarak, birçok proje ekibi hangi güvenlik yönlerinin ele alınması gerektiğini tam olarak anlamıyor. Geçmişte, kod denetimi sıklıkla bahsedildi—kısmen CertiK'in savunuculuğu nedeniyle, proje kodunun iç testlerden sonra bağımsız üçüncü taraf güvenlik denetimlerinden geçirilmesi gerektiği konusunda bir uzlaşma sağlandı.

Ancak, bu her zaman böyle değildi. DeFi 2020'de ortaya çıkmaya başladığında, kod denetiminin önemine dair farkındalık yavaş yavaş arttı. Son yıllarda, bazı projeler yüksek maliyetler nedeniyle sadece kodlarının bazı bölümlerini denetledi, diğerleri ise bir versiyonu denetleyip sonraki güncellemeleri atladı. Bu yaklaşımlar temelde hatalıdır—herhangi bir kod değişikliği, sadece birkaç satır değişikliği dahi yeni güvenlik açıkları ve saldırı vektörleri introduce edebilir. Bu sorun, tüm kodların ve tüm versiyonların güvenlik denetimlerinden geçmesi gerektiği konusunda endüstri konsensüsü olmadan bugün de devam etmektedir.

Ayrıca, kod güvenlik denetimi blok zinciri güvenliğinin yalnızca küçük bir bileşenini temsil etmektedir. Kapsamlı blok zinciri güvenliği, özel anahtar yönetimini, akıllı sözleşmeler ile akıllı sözleşme dışındaki unsurlar arasındaki etkileşimlerin güvenliğini içerir. Bazı projeler düğüm güvenliğini içerirken, çoklu imza veya MPC cüzdanları kullanan işletmeler, cüzdan çözümlerinin güvenliğini sağlamalıdır. Bu yönler, kod denetimini aşar, ancak birçok projenin bu güvenlik boyutları için sıfır tasarımı veya koruması vardır - temelde koruma olmadan faaliyet göstermektedirler. Sonuç olarak, birçok saldırı artık yalnızca akıllı sözleşme açığını istismar etmemektedir. Girişimciler ve iş sahipleri için, sınavlar ve sertifikasyon da dahil olmak üzere güvenlik eğitimi başlatmak üzere Cyberport ile ortaklık kurduk. Bu sertifikasyon, projelerin Cyberport'un finansman desteği için başvuruda bulunmasını sağlar, hırsızlık ve kayıp olaylarını önlemeye yardımcı olur.

MetaEra: Çinli girişimcilerin kripto güvenliği konusundaki bakış açıları, Batılı muadillerine göre farklı mı?

Ronghui Gu: Genel perspektifler tutarlı kalıyor! 2021'den önce güvenlik büyük bir odak noktası değildi, ancak 2021'den sonra güvenlik bilinci önemli ölçüde arttı. İnce farklılıklar olabilir - Batılı girişimciler biraz daha az iyimser bir önyargıya sahip olabilirken, Çince konuşulan bölgelerdeki girişimciler bazen projelerinin güvenlik sorunları olmadığını düşünen iyimser bir zihniyeti sürdürüyor. Diğer küçük bir fark, Batılı projelerdeki zayıf noktaları belirlediğimizde genellikle açık bir tutum sergilemeleridir. Buna karşın, bazı Çince konuşulan bölgedeki projelere sorunları işaret ettiğimizde, bazen dirençle karşılaşabiliyoruz - projelerinin ve kodlarının sorunları olmadığı konusunda ısrar edebilirler ve CertiK'in bulguları aslında onlara dezavantaj yaratır. Bu durumlar elbette nadir istisnalardır. Güvenlik denetimlerinin amacının, sizin için sorunları tanımlayıp çözmek olduğunu vurgulamalıyım.

MetaEra: CertiK'in sloganının değiştiğini fark ettik. Bu güncellemeye ne gibi hususlar yol açtı? CertiK, topluluk için Token Scan ve Wallet Scan gibi ücretsiz güvenlik araçları yayınladı. Bir güvenlik şirketi olarak, CertiK daha fazla kaynağı tüketici odaklı kullanıcılara ayıracak mı?

Ronghui Gu: Önce sloganı tartışalım. Önceki sloganımız "Web3 Dünyasını Güvence Altına Almak"tı, bunu yakın zamanda "Tüm Web3 Yolculuğunuzu Yükseltmek" olarak güncelledik—bu önemli bir değişimi temsil ediyor.

Bu değişikliği neden yaptığımızı açıklayacağım. CertiK, 4.700 müşteriye hizmet verdi, 150.000 güvenlik açığı tespit etti ve 40'tan fazla büyük güvenlik açığını raporladı, topluluğa önemli katkılarda bulundu. Ancak, son kullanıcılar ve geliştirici topluluklarına sunduğumuz çıktının yetersiz olduğunu düşünüyorum—son birkaç yıldaki topluluk geri bildirimlerimiz, geliştirebileceğimiz bir alanı temsil ediyor.

"Web3 Dünyasını Güvence Altına Almak" başlangıçta tüm Web3 endüstrisini ve ekosistemini koruma niyetimizi yansıtıyordu. Ama kendime sormak zorunda kaldım: Müşterilerimiz nerede? Topluluğumuz nerede? Bu slogan bu unsurları etkili bir şekilde yansıtmıyordu. Vizyonumuz o kadar büyük olduğunda—tüm bir endüstriyi veya dünyayı kapsadığında—bazen belirli toplulukları, müşterileri ve son kullanıcıları göz ardı edebiliyor. Bu yüzden yeni sloganımız "Web3 Yolculuğunuz"u içeriyor—endüstriden bireyleri ve toplulukları düşüncelerimize dahil etmek istiyoruz, böylece yaklaşımımızı soyut makro odaklı olmaktan daha somut hale getiriyoruz.

İkincisi, birçok müşteri güvenliği lansmandan önce tek seferlik bir güvenlik denetimi olarak görmekte ve bunu anlık bir hizmet olarak değerlendirmektedir. Ancak, güvenliğin bir projenin tüm yaşam döngüsü boyunca onunla birlikte olması gerektiğine inanıyoruz. Kullanıcıları erken aşamalardan lansmana, blok zinciri dağıtımına, token listelemeye ve olgun operasyonlara kadar desteklemeyi hedefliyoruz.

Üçüncüsü, slogan güncellemesi güvenliğin sadece saldırıları önlemekle ilgili olmadığı inancımızı yansıtıyor. Bir projenin yaşam döngüsü boyunca, proje ekiplerini yetenek geliştirme ile güçlendiriyoruz. CertiK artık geleneksel güvenliğin ötesinde birçok hizmet sunarak daha geniş güvenlik yan alanlarına yayılmaktadır. Bu yan alanların ötesinde, ayrıca "Tasarım İncelemesi" danışmanlık hizmetleri sunuyoruz. Örneğin, TON blok zinciri ile başlangıçta kod denetimleri ve resmi doğrulama gerçekleştirdik. Lansmandan sonra, TON'a performans testleri ve topluluk oluşturma konularında yardımcı olduk - bu faaliyetler güvenlik alanlarının ötesine uzanmaktadır.