CertiK聯合創始人顧榮輝：爲什麼香港在監管演變下成爲首屈一指的Web3創新中心

高管簡介

郭榮輝擔任哥倫比亞大學計算機科學教授和CertiK聯合創始人。他是新加坡金融管理局國際技術顧問委員會成員(MAS)，以及香港政府Web3.0發展工作組成員。郭榮輝是清華大學畢業生，2016年獲得耶魯大學計算機科學博士學位。他專注於操作系統、軟件安全和形式驗證，領導CertiKOS的開發。

關鍵見解

• "香港仍然是Web3創業的最佳地點之一。對於講中文的創業者來說，無疑是最佳的創新中心。"

• "安全應伴隨項目的整個生命週期。我們旨在支持用戶從早期階段到發布、區塊鏈部署、代幣上市以及成熟運營的各個階段。"

• "我們不希望行業或項目團隊認爲通過CertiK的安全審計意味着他們的項目完全沒有安全問題。"

• "CertiK所做的一切旨在促進透明和開放。"

• "雖然透明度對CertiK來說是一把雙刃劍，但它無疑爲行業帶來了積極的結果。"

• "監管政策的三個最關鍵要素是可管理性、可見性和可執行性。"

• "香港的Web3發展已超越最初的蜜月期，進入了一個成長的陣痛期。"

• "CertiK 必須在這場本質上不平等的戰鬥中，全天候 24/7 不斷與黑客作鬥爭，通過持續的警惕保持我們的成功率。"

完整訪談

MetaEra: CertiK 於去年八月在香港的數碼港建立了其存在。您能分享您的個人經歷並爲仍在評估香港 Web3 發展的專業人士和項目提供指導嗎？

郭榮輝：我記得到2023年1月，香港已經實施了幾項相關政策，盡管大多數行業參與者仍處於觀察模式。CertiK受邀前往香港，並與財政司司長陳茂波會面，他分享了他對Web3金融政策的看法。這展現了香港政府在發展Web3方面的強大信心。

我們大約在那個時候開始建立CertiK在香港的公司。在此期間，美國對Web3的立場充滿了不確定性——美國證券交易委員會已發起超過十幾起訴訟，使美國對Web3的政策變得越來越模糊。這促使許多人將目光投向亞洲。亞洲的主要金融中心是新加坡和香港。當我收到香港的邀請時，我實際上正在新加坡擔任新加坡貨幣管理局的(MAS)國際技術顧問委員會的委員。新加坡的主權財富基金淡馬錫曾對FTX進行投資，而在FTX崩潰後，新加坡對Web3的政策變得猶豫不決。我相信香港有效地抓住了這個機會。

我們選擇在香港的數碼港建立我們的存在，這裏爲Web3企業家提供了實質性的支持——定期組織活動和孵化項目，促進有價值的交流。在這個過程中，我認識到香港獨特的地位以及政府發展Web3的決心，使其成爲Web3創業的卓越基地。

如果我要給其他Web3專業人士提供建議，我認爲香港仍然是Web3創業的最佳地點之一。對於講中文的創業者來說，毫無疑問，它是最好的創新中心。首先，它提供政策支持；其次，它得到了深圳的支持，能夠接觸到金融人才和高質量的程序員和開發者；第三，相關企業的日益增多使得尋找合作夥伴或客戶變得更加容易。此外，如果創業者考慮在香港設立公司，我強烈建議立即聯繫數碼港。CertiK正與數碼港合作，提供安全證書，幫助團隊申請數碼港的創業支持基金。

此外，香港的金融監管機構已經採納了CertiK的建議，以加強穩定幣的監管框架，這是一段非常積極的經歷！這表明政府如何傾聽來自各個行業領域的專業建議、想法和聲音，以改善其政策。我相信香港政府在這方面相比於其他司法管轄區表現更爲出色。

MetaEra：在香港的新加密政策下，許多Web3項目在當地落戶。您認爲這些項目如何看待區塊鏈安全？講中文的企業家與他們的西方同行在加密安全方面有不同的看法嗎？

Ronghui Gu: 作爲Web3安全領域的領導者，我們觀察到了一些持續的模式。首先，當你詢問任何企業或創始人關於項目安全的重要性時，他們無一例外地會說這是至關重要的！然而，關於如何增強項目安全、哪些方面涵蓋安全，或願意爲安全支付的意願，往往得到模糊和籠統的回答。雖然大家都承認安全的重要性，但在實施安全措施時，我們遇到了顯著的抵制。

首先，許多人認爲安全性是不必要的，保持樂觀的心態，假設他們的項目是安全的，不會遭受攻擊——這往往導致對項目安全的忽視。其次，關於區塊鏈安全，許多項目團隊並不完全理解他們應該解決哪些安全方面。在過去，代碼審計經常被提及——部分是由於CertiK的倡導，達成共識認爲項目代碼在內部測試後應該接受獨立第三方的安全審計。

然而，這並非一直如此。當去中心化金融（DeFi）在2020年開始出現時，代碼審計重要性的認知逐漸增加。近年來，一些項目由於高成本只審計其代碼的一部分，而其他項目則審計一個版本但跳過後續更新。這些方法根本上是有缺陷的——任何代碼修改，即使只是幾行的變化，也可能引入新的漏洞和攻擊向量。這個問題今天依然存在，行業內沒有達成共識，認爲所有代碼和所有版本都應該進行安全審計。

此外，代碼安全審計只是區塊鏈安全的一個小組成部分。全面的區塊鏈安全包括私鑰管理、非智能合約元素與智能合約之間交互的安全性。一些項目涉及節點安全，而使用錢包的企業——無論是多籤名錢包還是MPC錢包——都需要確保他們的錢包解決方案是安全的。這些方面超出了代碼審計的範圍，但許多項目在這些安全維度上幾乎沒有設計或保護——基本上是在沒有保護的情況下運作。因此，許多攻擊不再僅僅利用智能合約的漏洞。我們已與Cyberport合作推出針對企業家和商業所有者的安全培訓，包括考試和認證。此認證使項目有資格申請Cyberport的資金支持，幫助防止盜竊和損失事件。

MetaEra：講中文的企業家在加密安全方面與他們的西方同行有不同的看法嗎？

戎輝谷：整體觀點保持一致！在2021年前，安全性並不是主要關注點，但在2021年之後，安全意識顯著提高。可能存在細微差別——西方企業家可能稍微少一些樂觀偏見，而華語地區的企業家有時保持樂觀的心態，認爲他們的項目沒有安全問題。另一個小差別是，當我們發現西方項目的漏洞時，他們通常保持開放的態度。相反，當指出一些華語地區項目的問題時，我們偶爾會遇到抵觸——他們可能會堅持認爲他們的項目和代碼沒有問題，而CertiK的發現實際上對他們不利。當然，這些情況是極少數例外。我應該強調，安全審計的目的是幫助您識別和修復問題。

MetaEra：我們注意到CertiK的口號已經改變。是什麼原因導致了這一升級？CertiK爲社區發布了免費的安全工具，如Token Scan和Wallet Scan。作爲一家安全公司，CertiK是否會爲面向消費者的用戶投入更多資源？

Ronghui Gu: 我們先來討論一下口號。我們之前的口號是“保護 Web3 世界”，最近我們升級爲“提升您整個 Web3 旅程”——這代表了一個重要的轉變。

我將解釋我們爲什麼進行這個改變。CertiK 已經爲 4,700 個客戶提供服務，識別了 150,000 個安全漏洞，並報告了 40 多個重大漏洞，爲社區做出了實質性的貢獻。然而，我認爲我們對最終用戶和開發者社區的輸出仍然不足——我們在過去幾年的社區反饋顯示了我們可以改進的地方。

"保護Web3世界" 反映了我們最初簡單的意圖，即保護整個Web3行業和生態系統。但我不得不問自己：我們的客戶在哪裏？我們的社區在哪裏？這個口號沒有有效地反映這些元素。當我們的願景變得如此宏大——涵蓋整個行業或世界時，它有時會忽視特定的社區、客戶和最終用戶。這就是爲什麼我們新的口號包含了 "你的Web3旅程"——我們真正希望將行業中的個人和社區納入我們的思考，使我們的方式更加具體，而不是抽象的宏觀關注。

其次，許多客戶將安全視爲在發布前的一次性安全審計，把它當作一個時間點的服務。然而，我們認爲安全應該伴隨項目的整個生命週期。我們的目標是支持用戶從早期階段到發布、區塊鏈部署、代幣上市以及成熟運營。

第三，口號升級反映了我們的信念：安全不僅僅是防止攻擊。在項目生命週期內，我們通過能力建設來賦能項目團隊。CertiK 現在提供的服務超越了傳統安全，擴展到更廣泛的安全相關領域。除了這些相關領域，我們還提供 "設計審查" 諮詢服務。例如，在TON區塊鏈方面，我們最初進行了代碼審計和形式驗證。上線後，我們幫助TON進行性能測試和社區建設——這些活動超出了安全領域。