Співзасновник CertiK Ронгхуй Гу: Чому Гонконг є провідним хабом інновацій Web3 в умовах еволюції регулювання

Профіль виконавчого директора

Ронгхуй Гу є професором комп'ютерних наук Колумбійського університету та співзасновником CertiK. Він займає посади члена Міжнародного консультативного комітету з технологій при Грошовій владі Сінгапуру (MAS) та члена Робочої групи з розвитку Web3.0 уряду Гонконгу. Випускник Університету Цінхуа, Гу отримав ступінь доктора філософії з комп'ютерних наук у Єльському університеті в 2016 році. Він спеціалізується на операційних системах, безпеці програмного забезпечення та формальній верифікації, очолюючи розробку CertiKOS.

Ключові Висновки

• "Гонконг залишається одним з найкращих місць для підприємництва у Web3. Для підприємців, які говорять китайською, це, без сумніву, найкращий інноваційний центр."

• "Безпека повинна супроводжувати проект протягом усього його життєвого циклу. Ми прагнемо підтримувати користувачів від ранніх етапів до запуску, впровадження блокчейну, лістингу токенів та зрілих операцій."

• "Ми не хочемо, щоб індустрія чи команди проектів вважали, що проходження аудиту безпеки CertiK означає, що їхній проект повністю вільний від проблем безпеки."

• "Все, що робить CertiK, спрямоване на просування прозорості та відкритості."

• "Хоча прозорість створює виклики для CertiK як двосічний меч, вона безумовно приносить позитивні результати для галузі."

• "Три найважливіші елементи регуляторної політики - це керованість, видимість та забезпечуваність."

• "Розвиток Web3 у Гонконзі вийшов за межі початкової фази закоханості та увійшов у період зростання."

• "CertiK повинна постійно вести боротьбу з хакерами 24/7 у цій вкрай нерівній битві, підтримуючи наш рівень успіху завдяки постійній пильності."

Повне інтерв'ю

MetaEra: CertiK заснував свою присутність у кіберпорті Гонконгу минулого серпня. Чи можете ви поділитися своїм особистим досвідом та надати рекомендації для професіоналів і проектів, які ще оцінюють розвиток Web3 у Гонконгу?

Ронгхуй Гу: Я пам'ятаю, що до січня 2023 року Гонконг вже впровадив кілька відповідних політик, хоча більшість учасників індустрії залишалися в режимі спостереження. CertiK отримав запрошення до Гонконгу і зустрівся з фінансовим секретарем Полом Чаном, який поділився своїми поглядами на фінансові політики Web3. Це продемонструвало сильну впевненість уряду Гонконгу у розвитку Web3.

Ми почали засновувати компанію CertiK у Гонконзі приблизно в той час. У цей період позиція США щодо Web3 характеризувалася невизначеністю — SEC ініціювала понад десяток судових позовів, що робило політику США щодо Web3 дедалі більш неоднозначною. Це спонукало багатьох звернутися до Азії. Основними фінансовими центрами в Азії є Сінгапур і Гонконг. Коли я отримав запрошення з Гонконгу, я фактично був у Сінгапурі, працюючи членом комітету Міжнародного консультативного комітету з технологій (MAS) Грошової влади Сінгапуру. Суверенний фонд Сінгапуру Temasek інвестував у FTX, і після краху FTX політика Сінгапуру щодо Web3 стала коливатися. Я вважаю, що Гонконг ефективно скористався цією можливістю.

Ми вирішили створити нашу присутність у Cyberport в Гонконзі, який пропонує значну підтримку підприємцям Web3—регулярно організовуючи заходи та інкубуючи проекти, полегшуючи цінні обміни. Протягом цього процесу я усвідомив унікальне становище Гонконгу в поєднанні з рішучістю уряду розвивати Web3, що робить його винятковою базою для підприємництва у сфері Web3.

Якщо б я міг дати пораду іншим професіоналам Web3, я вважаю, що Гонконг залишається одним із найкращих місць для підприємництва в Web3. Для підприємців, які говорять китайською, це, мабуть, найкращий інноваційний центр без винятків. По-перше, він пропонує політичну підтримку; по-друге, він підтримується Шеньчженью, що дозволяє отримати доступ до фінансових талантів та високоякісних програмістів і розробників; по-третє, зростаюча присутність пов'язаних бізнесів полегшує пошук партнерів або клієнтів. Крім того, якщо підприємці розглядають можливість заснування в Гонконзі, я настійно рекомендую негайно зв'язатися з Cyberport. CertiK співпрацює з Cyberport, щоб надати сертифікати безпеки, які можуть допомогти командам подати заявки на фонди підтримки підприємництва Cyberport.

Крім того, фінансові регуляторні органи Гонконгу прийняли рекомендації CertiK щодо посилення регуляторних рамок для стейблкоїнів, що стало дуже позитивним досвідом! Це демонструє, як уряд слухає професійні поради, ідеї та думки з різних секторів індустрії для покращення своїх політик. Я вірю, що уряд Гонконгу перевершує в цьому аспекті інші юрисдикції.

MetaEra: З новими крипто політиками Гонконгу багато проектів Web3 закріпилися там. Як ви думаєте, як ці проекти сприймають безпеку блокчейну? Чи мають підприємці, які говорять китайською, інші погляди на безпеку криптовалют в порівнянні з їхніми західними колегами?

Ронгхуй Гу: Як лідер у секторі безпеки Web3, ми спостерігаємо постійні тенденції. По-перше, коли ви запитуєте будь-який бізнес чи засновника про важливість безпеки проекту, вони неодмінно скажуть, що це критично важливо! Проте питання про те, як покращити безпеку проекту, які аспекти охоплює безпека або готовність платити за безпеку часто отримують невизначені та загальні відповіді. Хоча всі визнають важливість безпеки, ми стикаємося з істотним опором під час впровадження заходів безпеки.

По-перше, багато хто вважає, що безпека є непотрібною і підтримує оптимістичний настрій, вважаючи, що їхні проекти безпечні і не піддадуться атакам — це часто призводить до нехтування безпекою проекту. По-друге, щодо безпеки блокчейну, багато команд проектів не повністю розуміють, які аспекти безпеки їм слід вирішувати. У минулому часто згадувалася перевірка коду — частково завдяки адвокації CertiK, що встановила консенсус, що код проекту повинен проходити незалежні сторонні перевірки безпеки після внутрішнього тестування.

Однак це не завжди було так. Коли DeFi почав з'являтися в 2020 році, усвідомлення важливості аудиту коду поступово зростало. В останні роки деякі проєкти аудиторували лише частини свого коду через високі витрати, тоді як інші аудиторують одну версію, але пропускають подальші оновлення. Ці підходи є фундаментально хибними — будь-яка модифікація коду, навіть зміни всього лише кількох рядків, може впровадити нові вразливості та вектори атаки. Ця проблема залишається актуальною і сьогодні без галузевої згоди щодо того, що весь код і всі версії повинні проходити перевірки безпеки.

Крім того, аудит безпеки коду є лише невеликою частиною безпеки блокчейну. Комплексна безпека блокчейну включає управління приватними ключами, безпеку взаємодії між елементами, які не є смарт-контрактами, та смарт-контрактами. Деякі проекти передбачають безпеку вузлів, тоді як підприємства, які використовують гаманці—незалежно від того, чи це багатопідписні, чи MPC гаманці—повинні забезпечити безпеку своїх рішень для гаманців. Ці аспекти виходять за межі аудиту коду, але багато проектів не мають жодного дизайну або захисту для цих вимірів безпеки—по суті, функціонуючи без захисту. Як наслідок, багато атак більше не експлуатують лише вразливості смарт-контрактів. Ми співпрацюємо з Cyberport, щоб запустити навчання з безпеки для підприємців та власників бізнесу, включаючи іспити та сертифікацію. Ця сертифікація дозволяє проектам подавати заявки на фінансову підтримку Cyberport, що допомагає запобігти крадіжкам і втратам.

MetaEra: Чи мають підприємці, які говорять китайською, інші погляди на безпеку криптовалют у порівнянні зі своїми західними колегами?

Ронгхуй Гу: Загальні перспективи залишаються послідовними! До 2021 року безпека не була основним пріоритетом, але після 2021 року обізнаність про безпеку значно зросла. Можуть бути незначні відмінності—західні підприємці можуть мати трохи менш оптимістичний настрій, тоді як підприємці в китайськомовних регіонах іноді зберігають оптимістичний підхід, вважаючи, що їх проекти не мають проблем з безпекою. Інша незначна відмінність полягає в тому, що коли ми виявляємо вразливості в західних проектах, вони зазвичай підтримують відкриту позицію. На відміну від цього, коли ми вказуємо на проблеми деяких проектів у китайськомовних регіонах, ми іноді стикаємося з опором—вони можуть наполягати, що їх проекти і код не мають проблем, а результати CertiK насправді шкодять їм. Ці випадки, звичайно, є рідкісними винятками. Я повинен підкреслити, що аудити безпеки мають на меті виявлення та виправлення проблем для вас.

MetaEra: Ми помітили, що слоган CertiK змінився. Які міркування призвели до цього оновлення? CertiK випустила безкоштовні інструменти безпеки, такі як Token Scan та Wallet Scan для спільноти. Як компанія з безпеки, чи витратить CertiK більше ресурсів на користувачів, які взаємодіють з продуктами?

Ронгхуй Гу: Давайте спочатку обговоримо слоган. Наш попередній слоган був "Захистимо світ Web3", який ми нещодавно оновили до "Підвищуючи вашу всю подорож Web3" — що представляє собою значний зсув.

Я поясню, чому ми внесли цю зміну. CertiK обслуговував 4,700 клієнтів, виявив 150,000 вразливостей у безпеці та повідомив про понад 40 серйозних вразливостей, роблячи значний внесок у спільноту. Проте я вважаю, що наші результати для кінцевих користувачів та розробницьких спільнот були недостатніми — відгуки нашої спільноти за останні кілька років вказують на область, в якій ми можемо покращитися.

"Забезпечення світу Web3" відобразило наше початкове просте намір захистити всю індустрію та екосистему Web3. Але я змушений був запитати себе: де наші клієнти? Де наша спільнота? Цей слоган не ефективно відображав ці елементи. Коли наше бачення стає таким грандіозним — охоплюючи цілу індустрію чи світ — воно іноді ігнорує конкретні спільноти, клієнтів та кінцевих користувачів. Ось чому наш новий слоган включає "Ваш шлях у Web3" — ми справді хочемо залучити осіб та спільноти з індустрії до нашого мислення, роблячи наш підхід більш конкретним, а не абстрактно макро-орієнтованим.

По-друге, багато клієнтів розглядають безпеку як одноразовий аудит безпеки перед запуском, сприймаючи це як послугу в певний момент часу. Однак ми вважаємо, що безпека повинна супроводжувати проект протягом усього його життєвого циклу. Ми прагнемо підтримувати користувачів з ранніх стадій до запуску, розгортання блокчейну, лістингу токенів та зрілих операцій.

По-третє, оновлення слогана відображає наше переконання в тому, що безпека не обмежується лише запобіганням атакам. Протягом життєвого циклу проекту ми надаємо командам проекту можливості для розвитку. CertiK тепер пропонує численні послуги, що виходять за рамки традиційної безпеки, розширюючись у більш широкі суміжні сфери безпеки. Крім цих суміжних областей, ми також пропонуємо консалтингові послуги "Огляд дизайну". Наприклад, з блокчейном TON ми спочатку провели аудит коду та формальну верифікацію. Після запуску ми допомогли TON з тестуванням продуктивності та побудовою спільноти — діяльністю, яка виходить за межі сфер безпеки.