Người đồng sáng lập CertiK Ronghui Gu: Tại sao Hồng Kông đứng vững như trung tâm đổi mới Web3 hàng đầu dưới sự phát triển của quy định

Hồ sơ điều hành

Ronghui Gu là Giáo sư Khoa học Máy tính tại Đại học Columbia và là Đồng sáng lập CertiK. Ông giữ vị trí là thành viên của Ủy ban Tư vấn Công nghệ Quốc tế tại Cơ quan Tiền tệ Singapore (MAS) và là thành viên của Nhóm công tác Phát triển Web3.0 của Chính phủ Hồng Kông. Là một cựu sinh viên của Đại học Tsinghua, Gu đã nhận bằng Tiến sĩ Khoa học Máy tính từ Đại học Yale vào năm 2016. Ông chuyên về hệ điều hành, bảo mật phần mềm và xác minh hình thức, dẫn dắt sự phát triển của CertiKOS.

Những hiểu biết chính

• "Hồng Kông vẫn là một trong những nơi tốt nhất cho khởi nghiệp Web3. Đối với các doanh nhân nói tiếng Trung, có thể nói đây là trung tâm đổi mới tốt nhất mà không có ngoại lệ."

• "An ninh nên đồng hành cùng một dự án trong suốt vòng đời của nó. Chúng tôi hướng đến việc hỗ trợ người dùng từ những giai đoạn đầu cho đến khi ra mắt, triển khai blockchain, niêm yết token và hoạt động trưởng thành."

• "Chúng tôi không muốn ngành công nghiệp hoặc các nhóm dự án tin rằng việc vượt qua kiểm tra bảo mật của CertiK có nghĩa là dự án của họ hoàn toàn không có vấn đề bảo mật."

• "Mọi thứ CertiK làm đều nhằm thúc đẩy sự minh bạch và cởi mở."

• "Trong khi tính minh bạch tạo ra những thách thức cho CertiK như một con dao hai lưỡi, nó chắc chắn mang lại những kết quả tích cực cho ngành."

• "Ba yếu tố quan trọng nhất của chính sách quy định là khả năng quản lý, khả năng hiển thị và khả năng thực thi."

• "Sự phát triển Web3 của Hồng Kông đã vượt qua giai đoạn hưởng thụ ban đầu và bước vào thời kỳ đau đớn trong quá trình phát triển."

• "CertiK phải tham gia vào cuộc chiến liên tục 24/7 chống lại hacker trong trận chiến vốn không công bằng này, duy trì tỷ lệ thành công của chúng tôi thông qua sự cảnh giác liên tục."

Phỏng vấn đầy đủ

MetaEra: CertiK đã thiết lập sự hiện diện của mình tại Cyberport ở Hồng Kông vào tháng 8 năm ngoái. Bạn có thể chia sẻ trải nghiệm cá nhân của mình và cung cấp hướng dẫn cho các chuyên gia và dự án vẫn đang đánh giá sự phát triển Web3 của Hồng Kông không?

Ronghui Gu: Tôi nhớ rằng vào tháng 1 năm 2023, Hồng Kông đã thực hiện một số chính sách liên quan, mặc dù hầu hết các thành viên trong ngành vẫn ở chế độ quan sát. CertiK đã nhận được lời mời đến Hồng Kông và đã gặp gỡ Bộ trưởng Tài chính Paul Chan, người đã chia sẻ quan điểm của mình về các chính sách tài chính Web3. Điều này cho thấy sự tự tin mạnh mẽ của chính phủ Hồng Kông trong việc phát triển Web3.

Chúng tôi bắt đầu thành lập công ty CertiK tại Hong Kong vào khoảng thời gian đó. Trong giai đoạn này, lập trường của Mỹ đối với Web3 được đặc trưng bởi sự không chắc chắn - SEC đã khởi xướng hơn một tá vụ kiện, khiến chính sách của Mỹ đối với Web3 ngày càng mơ hồ. Điều này đã thúc đẩy nhiều người nhìn về châu Á. Các trung tâm tài chính chính ở châu Á là Singapore và Hong Kong. Khi tôi nhận được lời mời từ Hong Kong, tôi thực sự đang ở Singapore với tư cách là thành viên ủy ban của (MAS) Ủy ban Tư vấn Công nghệ Quốc tế của Cơ quan Tiền tệ Singapore. Quỹ đầu tư quốc gia của Singapore, Temasek, đã đầu tư vào FTX, và sau sự sụp đổ của FTX, cách tiếp cận chính sách của Singapore đối với Web3 trở nên do dự. Tôi tin rằng Hong Kong đã nắm bắt hiệu quả cơ hội này.

Chúng tôi đã chọn thiết lập sự hiện diện của mình tại Cyberport ở Hồng Kông, nơi cung cấp hỗ trợ đáng kể cho các doanh nhân Web3—thường xuyên tổ chức các sự kiện và ươm tạo các dự án, tạo điều kiện cho các trao đổi có giá trị. Trong suốt quá trình này, tôi đã nhận ra vị trí độc đáo của Hồng Kông kết hợp với quyết tâm của chính phủ trong việc phát triển Web3, tạo nên một nền tảng đặc biệt cho khởi nghiệp Web3.

Nếu tôi có thể đưa ra lời khuyên cho các chuyên gia Web3 khác, tôi tin rằng Hồng Kông vẫn là một trong những nơi tốt nhất cho khởi nghiệp Web3. Đối với các doanh nhân nói tiếng Trung, đây có thể nói là trung tâm đổi mới tốt nhất mà không có ngoại lệ. Thứ nhất, nó cung cấp hỗ trợ chính sách; thứ hai, nó được hỗ trợ bởi Thâm Quyến, cho phép tiếp cận với nhân tài tài chính và các lập trình viên, nhà phát triển chất lượng cao; thứ ba, sự hiện diện ngày càng tăng của các doanh nghiệp liên quan khiến việc tìm kiếm đối tác hoặc khách hàng dễ dàng hơn. Thêm vào đó, nếu các doanh nhân đang xem xét việc thành lập tại Hồng Kông, tôi rất khuyến khích liên hệ với Cyberport ngay lập tức. CertiK đang hợp tác với Cyberport để cung cấp chứng chỉ an ninh có thể giúp các nhóm nộp đơn xin quỹ hỗ trợ khởi nghiệp của Cyberport.

Hơn nữa, các cơ quan quản lý tài chính của Hong Kong đã áp dụng các khuyến nghị của CertiK để củng cố khung quy định về stablecoin, điều này đã mang lại một trải nghiệm rất tích cực! Điều này chứng tỏ rằng chính phủ lắng nghe lời khuyên, ý tưởng và tiếng nói từ nhiều lĩnh vực trong ngành để cải thiện chính sách của mình. Tôi tin rằng chính phủ Hong Kong xuất sắc trong khía cạnh này so với các khu vực pháp lý khác.

MetaEra: Dưới các chính sách tiền điện tử mới của Hồng Kông, nhiều dự án Web3 đã thiết lập sự hiện diện tại đó. Bạn nghĩ rằng các dự án này nhìn nhận về bảo mật blockchain như thế nào? Các doanh nhân nói tiếng Trung có quan điểm khác về bảo mật tiền điện tử so với các đối tác phương Tây của họ không?

Ronghui Gu: Là một nhà lãnh đạo trong lĩnh vực bảo mật Web3, chúng tôi đã quan sát thấy những mẫu hình nhất quán. Đầu tiên, khi bạn hỏi bất kỳ doanh nghiệp hoặc nhà sáng lập nào về tầm quan trọng của bảo mật dự án, họ chắc chắn sẽ nói rằng nó rất quan trọng! Tuy nhiên, những câu hỏi về cách cải thiện bảo mật dự án, những khía cạnh mà bảo mật bao gồm, hoặc sự sẵn lòng chi trả cho bảo mật thường nhận được những câu trả lời mơ hồ và chung chung. Trong khi mọi người đều công nhận tầm quan trọng của bảo mật, chúng tôi gặp phải sự kháng cự đáng kể khi thực hiện các biện pháp bảo mật.

Đầu tiên, nhiều người tin rằng an ninh là không cần thiết và duy trì tâm lý lạc quan, giả định rằng các dự án của họ là an toàn và sẽ không bị tấn công - điều này thường dẫn đến việc lơ là an ninh dự án. Thứ hai, về an ninh blockchain, nhiều nhóm dự án không hoàn toàn hiểu những khía cạnh nào của an ninh họ nên giải quyết. Trong quá khứ, việc kiểm toán mã thường được đề cập - một phần là do sự vận động của CertiK, thiết lập sự đồng thuận rằng mã dự án nên trải qua các cuộc kiểm toán an ninh của bên thứ ba độc lập sau khi kiểm tra nội bộ.

Tuy nhiên, điều này không phải lúc nào cũng đúng. Khi DeFi bắt đầu xuất hiện vào năm 2020, nhận thức về tầm quan trọng của việc kiểm toán mã dần dần tăng lên. Trong những năm gần đây, một số dự án chỉ kiểm toán một phần mã của họ do chi phí cao, trong khi những dự án khác kiểm toán một phiên bản nhưng bỏ qua các bản cập nhật sau. Những cách tiếp cận này về cơ bản là sai lầm—bất kỳ thay đổi nào trong mã, ngay cả những thay đổi chỉ vài dòng, có thể tạo ra các lỗ hổng và vectơ tấn công mới. Vấn đề này vẫn tồn tại cho đến hôm nay mà không có sự đồng thuận trong ngành rằng tất cả mã và tất cả phiên bản nên trải qua kiểm toán an ninh.

Hơn nữa, kiểm toán an ninh mã chỉ đại diện cho một phần nhỏ của an ninh blockchain. An ninh blockchain toàn diện bao gồm việc quản lý khóa riêng, bảo mật các tương tác giữa các yếu tố không phải hợp đồng thông minh và các hợp đồng thông minh. Một số dự án liên quan đến an ninh nút, trong khi các doanh nghiệp sử dụng ví—dù là ví đa chữ ký hay ví MPC—cần đảm bảo rằng các giải pháp ví của họ là an toàn. Những khía cạnh này vượt xa kiểm toán mã, nhưng nhiều dự án lại không có thiết kế hoặc bảo vệ cho những chiều hướng an ninh này—về cơ bản hoạt động mà không có sự bảo vệ. Do đó, nhiều cuộc tấn công không còn chỉ khai thác các lỗ hổng hợp đồng thông minh. Chúng tôi đã hợp tác với Cyberport để triển khai đào tạo an ninh cho các doanh nhân và chủ doanh nghiệp, bao gồm các kỳ thi và chứng nhận. Chứng nhận này đủ điều kiện cho các dự án nộp đơn xin hỗ trợ tài chính từ Cyberport, giúp ngăn ngừa các sự cố trộm cắp và mất mát.

MetaEra: Các doanh nhân nói tiếng Trung có quan điểm khác về an ninh tiền điện tử so với các đồng nghiệp phương Tây của họ không?

Ronghui Gu: Các quan điểm tổng thể vẫn nhất quán! Trước năm 2021, an ninh không phải là một yếu tố chính, nhưng sau năm 2021, nhận thức về an ninh đã tăng lên đáng kể. Có thể có những khác biệt tinh tế—các doanh nhân phương Tây có thể có thiên kiến ít lạc quan hơn một chút, trong khi các doanh nhân ở khu vực nói tiếng Trung đôi khi vẫn duy trì tâm lý lạc quan, tin rằng các dự án của họ không có vấn đề an ninh. Một khác biệt nhỏ khác là khi chúng tôi xác định các lỗ hổng trong các dự án phương Tây, họ thường duy trì một thái độ cởi mở. Ngược lại, khi chỉ ra vấn đề cho một số dự án ở khu vực nói tiếng Trung, chúng tôi đôi khi gặp phải sự kháng cự—họ có thể khăng khăng rằng các dự án và mã của họ không có vấn đề gì, và những phát hiện của CertiK thực sự gây bất lợi cho họ. Những trường hợp này tất nhiên là những ngoại lệ hiếm hoi. Tôi nên nhấn mạnh rằng các cuộc kiểm toán an ninh nhằm xác định và khắc phục các vấn đề cho bạn.

MetaEra: Chúng tôi nhận thấy khẩu hiệu của CertiK đã thay đổi. Những xem xét nào đã dẫn đến sự nâng cấp này? CertiK đã phát hành các công cụ bảo mật miễn phí như Token Scan và Wallet Scan cho cộng đồng. Là một công ty bảo mật, CertiK có dành nhiều nguồn lực hơn cho người dùng tiêu dùng không?

Ronghui Gu: Hãy thảo luận về khẩu hiệu trước. Khẩu hiệu trước đây của chúng tôi là "Bảo vệ Thế giới Web3," mà chúng tôi gần đây đã nâng cấp thành "Nâng cao Toàn bộ Hành trình Web3 của Bạn"—đại diện cho một sự chuyển mình quan trọng.

Tôi sẽ giải thích lý do tại sao chúng tôi đã thực hiện thay đổi này. CertiK đã phục vụ 4.700 khách hàng, xác định 150.000 lỗ hổng bảo mật và báo cáo hơn 40 lỗ hổng lớn, đóng góp đáng kể cho cộng đồng. Tuy nhiên, tôi tin rằng sản phẩm đầu ra của chúng tôi đến tay người dùng cuối và các cộng đồng nhà phát triển là chưa đủ—phản hồi từ cộng đồng trong vài năm qua đại diện cho một lĩnh vực mà chúng tôi có thể cải thiện.

"Bảo vệ Thế giới Web3" phản ánh ý định ban đầu của chúng tôi là bảo vệ toàn bộ ngành công nghiệp và hệ sinh thái Web3. Nhưng tôi phải tự hỏi: khách hàng của chúng tôi ở đâu? Cộng đồng của chúng tôi ở đâu? Slogan này không phản ánh hiệu quả những yếu tố này. Khi tầm nhìn của chúng tôi trở nên quá lớn—bao trùm toàn bộ ngành công nghiệp hoặc thế giới—thì đôi khi nó bỏ qua những cộng đồng cụ thể, khách hàng và người dùng cuối. Đó là lý do tại sao slogan mới của chúng tôi bao gồm "Hành trình Web3 của bạn"—chúng tôi thực sự muốn kết hợp các cá nhân và cộng đồng từ ngành vào suy nghĩ của chúng tôi, làm cho cách tiếp cận của chúng tôi trở nên cụ thể hơn thay vì chỉ tập trung vào khía cạnh vĩ mô.

Thứ hai, nhiều khách hàng coi bảo mật như một cuộc kiểm tra bảo mật một lần trước khi ra mắt, coi đó như một dịch vụ tại một thời điểm. Tuy nhiên, chúng tôi tin rằng bảo mật nên đồng hành cùng một dự án trong suốt vòng đời của nó. Chúng tôi nhằm mục đích hỗ trợ người dùng từ các giai đoạn đầu cho đến khi ra mắt, triển khai blockchain, niêm yết token và hoạt động trưởng thành.

Thứ ba, việc nâng cấp khẩu hiệu phản ánh niềm tin của chúng tôi rằng an ninh không chỉ đơn thuần là ngăn chặn các cuộc tấn công. Trong suốt vòng đời của một dự án, chúng tôi trao quyền cho các nhóm dự án thông qua việc xây dựng năng lực. CertiK hiện cung cấp nhiều dịch vụ vượt ra ngoài an ninh truyền thống, mở rộng sang các lĩnh vực liên quan đến an ninh rộng hơn. Ngoài những lĩnh vực liền kề này, chúng tôi cũng cung cấp dịch vụ tư vấn "Xem xét Thiết kế". Ví dụ, với blockchain TON, chúng tôi ban đầu thực hiện kiểm toán mã và xác minh chính thức. Sau khi ra mắt, chúng tôi đã hỗ trợ TON với việc kiểm tra hiệu suất và xây dựng cộng đồng—các hoạt động vượt ra ngoài lĩnh vực an ninh.