CertiK聯合創始人顧榮輝談區塊鏈安全：從學術理想到行業實踐

近日，一家科技媒體對CertiK聯合創始人兼CEO顧榮輝教授進行了專訪。雙方圍繞該公司最新發布的安全報告，深入探討了黑客攻擊手法的演變和安全防御技術的創新路徑。

顧榮輝強調，安全應被視爲一項基礎原則，而非事後的補救措施。他提倡將安全理念融入項目的整體戰略中，從一開始就貫徹"安全優先"的理念。具體而言，他建議積極運用形式化驗證、零知識證明、多方計算等前沿技術，全面提升區塊鏈協議和智能合約的防護能力。這也正是他創立CertiK的初衷和願景——通過嚴謹的形式化驗證技術，構建一個更加安全可信的Web3.0生態系統。

顧榮輝對安全的堅持源於他長期以來對技術理想的探索與實踐。從在耶魯大學攻讀博士期間參與研發被譽爲"無懈可擊"的操作系統，到如今爲數萬億美元的數字資產提供安全保障，他始終致力於守護行業安全，提升整個生態系統的可信度。

作爲一位從頂尖學府走出的技術領袖，顧榮輝正將數學邏輯的可驗證性與黑客攻擊的不確定性進行對抗，在理想與現實之間爲Web3.0時代定義新的安全標準。他多次強調，安全不應被視爲競爭優勢，而是整個行業的共同責任。這一理念不僅體現在將學術成果轉化爲實際應用上，更融入了他對行業協作的倡導中。

以下是專訪的主要內容：

區塊鏈安全：Web3.0發展的基石

在快速演進的Web3.0領域，區塊鏈安全已成爲至關重要的話題。CertiK作爲行業領先的安全公司，致力於通過創新技術全面強化區塊鏈生態系統的安全防護。公司採用形式化驗證等先進方法，不斷提升區塊鏈和智能合約的安全性，已成爲Web3.0安全領域的標杆。

最新發布的季度安全報告揭示了數字資產盜竊和安全威脅的新趨勢。報告還探討了零知識證明、多方計算等前沿技術在安全防御中的應用，爲區塊鏈開發者提供了實用建議。隨着傳統金融機構逐步進入區塊鏈領域，安全挑戰也隨之升級，採取主動防御措施以保護用戶和維護生態系統完整性變得愈發重要。

CertiK的使命與成就

顧榮輝介紹，CertiK成立於2017年，核心理念是利用形式化驗證技術，持續監控和強化區塊鏈協議與智能合約的安全，確保其安全、正確的運行。公司整合了學術界與產業界的前沿方案，助力Web3.0應用在保障安全的前提下實現可持續擴展。

迄今爲止，CertiK已爲近5000家企業客戶提供服務，累計保護超5000億美元的數字資產，識別出超11萬個代碼漏洞。這些成就充分展現了公司在區塊鏈安全領域的領先地位和影響力。

2025年第一季度安全報告要點

根據CertiK最新發布的季度報告，2025年第一季度鏈上詐騙事件導致的損失約爲16.6億美元，較上一季度大幅增長303%。這主要歸因於2月底發生的一起重大交易所黑客事件，造成約14億美元的損失。

以太坊仍然是黑客攻擊的主要目標，本季度共發生3起重大安全事件，造成15.4億美元的資產損失。更令人擔憂的是，僅有0.38%的被盜資產成功追回，凸顯了資產追回的困難性。

攻擊趨勢與安全策略

2025年第一季度的攻擊趨勢延續了2024年末的態勢，以太坊生態系統仍是黑客的主要目標。這主要是因爲以太坊上存在大量DeFi協議和巨額鎖倉資產，同時許多智能合約中仍存在漏洞。

面對日益復雜的攻擊手法，區塊鏈安全行業正積極應對。零知識證明、多方計算等創新技術正被廣泛應用，以增強交易的隱私保護和可審計性，同時提高資產追回的可能性。這些技術的發展將在抵御黑客攻擊、維護去中心化生態系統完整性方面發揮關鍵作用。

給開發者的建議

顧榮輝強調，將安全理念融入開發的每一個階段至關重要。他建議開發者和項目團隊：

1. 從項目啓動之初就將安全放在首要位置
2. 將安全考慮融入開發的全過程，而非事後補救
3. 尋求專業安全機構進行全面、公正的第三方審計

這種"安全優先"的策略不僅有助於及早發現潛在漏洞，長遠來看還能節省大量時間和資源。同時，第三方審計能提供獨立視角，發現內部團隊可能忽視的風險，進一步增強項目的整體安全性和用戶信任。

AI在區塊鏈安全中的雙刃劍效應

AI技術在區塊鏈安全領域扮演着越來越重要的角色。CertiK已將AI納入其核心安全戰略，利用AI技術分析智能合約中的漏洞和潛在安全缺陷，提高審計效率。然而，AI並不能完全取代人工專家審計團隊的作用。

同時，攻擊者也可能利用AI來強化攻擊手段，如識別代碼弱點、規避共識機制等。這意味着安全對抗的門檻被抬高，行業需要投入更強大的安全解決方案來應對這一挑戰。

形式化驗證的作用

形式化驗證是一種通過數學手段證明計算機程序按預期運行的方法。它通過將程序的屬性表達爲數學公式，並借助自動化工具進行驗證。這一技術可廣泛應用於硬件設計、軟件工程、網路安全、AI以及智能合約審計等領域。

對於智能合約而言，形式化驗證能自動評估合約邏輯和行爲，而人工審計則由安全專家全面檢查代碼、設計和部署，以識別潛在風險。兩種方法相輔相成，共同提升智能合約的整體安全性。

傳統金融機構進入帶來的新挑戰

隨着傳統金融機構進入區塊鏈領域，安全威脅的類型和復雜程度也在發生變化。早期階段的攻擊主要針對個人用戶或小型項目，如釣魚攻擊、RugPull等。然而，隨着大型機構的加入，網路安全風險將進入新階段。

這一轉變不僅涉及項目資產規模的增長，還包括企業級應用的獨特安全需求、監管要求，以及區塊鏈與傳統金融系統的深度融合所帶來的挑戰。

預計未來攻擊者將提升攻擊手段的復雜性，從針對通用錢包漏洞轉向更具針對性的企業級弱點，如配置錯誤、自定義智能合約漏洞，以及與傳統系統集成接口中的安全缺陷。這要求安全行業不斷創新，開發更先進的防御策略來應對這些新興威脅。