对话 Web3 安全超级独角兽 CertiK：「誉满天下，谤满天下」

在 Web3 跌入熊市遇冷、并被 ChatGPT 代表的 AI 浪潮夺走关注后——有一条赛道依旧火热，那就是 Web3 安全。

由于区块链的合约更公开、透明，因此也更容易被攻击。智能合约一经部署之后，由于它的不可篡改和不可停止，一旦出现漏洞，黑客就能根据源代码实时攻击，致使用户蒙受金钱损失。曾有投资人将 Web3 安全比作「军队」，没有它的守护，Web3「国将不存」。它是 Web3 最重要的基础设施之一，被认为会占到 Web3 价值的 5%-10%。

这一赛道不仅未在熊市遇冷，反而更热了。当牛市的「泡沫」套利消散后，黑客攻击的套利会更猖獗。需求带来行业爆发。据极客公园统计，自 2022 年中旬熊市以来，Web3 安全领域涌现了十余家创业公司，融资额达上千万美元。

而作为上一轮 Web3 熊市中涌现出来的公司——CertiK 是目前全球 Web3 安全赛道的第一名。

你可以将 CertiK 形容为「明星公司」。它的创始人是两位安全领域的顶尖学者，分别为耶鲁大学计算机系主任、终身教授邵中，及其学生、 现哥伦比亚大学计算机系教授顾荣辉。2016 年，他们研发出了全球首个「无漏洞、不可攻破」的安全操作系统 CertiKOS，并于 2017 年创立公司、将这一技术应用到了 Web3 领域。

直至 2020 年 DeFi（去中心化金融）爆发，带动 Web3 安全公司的业务水涨船高，2021 年 CertiK 也迅速成为全球第一。据 CoinMarketCap（知名的加密货币价格跟踪网站）数据，在其所有经安全审计的 DeFi 项目中，CertiK 的市占率达 70%。远远超过同行。

CertiK 拥有称得上「明星」级别的融资待遇。2021 年，在不到一年时间内，CertiK 拿了五轮融资，高盛、老虎基金、软银愿景、红杉、高瓴等最豪华的资方争相竞投。公司的估值也迅速飙升至 20 亿美金，成为超级独角兽——这还是它不断「say no」后的结果。

不久前，我们在北京见到了 CertiK 的联合创始人顾荣辉——这位「哥大教授」只有 33 岁，身着一件咖色的西装，热情地跟我们握手。由于日常穿梭于中美之间，这是他少有的媒体见面。他的表达欲很丰沛，又处处透露着技术实用主义的影子，正如他的投资人和高管形容的那样，「少有的将创始人和学者身份合一的人」。

「我们（CertiK）几乎是靠一己之力把区块链安全变成一个赛道，吸引了很多关注。」他骄傲地说。

但这不是一个只关乎「成功」的故事。根据极客公园调研，一些 Web3 安全行业的同行，对这家公司的看法争议颇多。最核心的指责关乎 CertiK 的安全审计服务，包括为什么有些项目通过安全审计还会出事、谁来审计 CertiK 的审计等等。当我们将这些质疑抛向顾荣辉时，他并不意外，并打趣道，CertiK 是「誉满天下，谤满天下」。

这位创业者面临的核心困境在于，作为一个中心化的机构（安全是传统行业、无法实现数据的公开透明，且 CertiK 又是行业巨头），该如何在 Web3 这个强调去中心化的世界里，获取信任。这和币安（目前最大的中心化交易所）面临的困境相似。

对此，CertiK 的解决方法也是像币安一样，尽可能地公开透明——目前，CertiK 是唯一将安全审计报告全部公开透明的 Web3 安全公司。

但顾荣辉也承认，CertiK 仍有许多需要改进的地方。尤其是在 Web3 安全的领域，在教育用户方面，这条道路更是漫长的。

以下是经过整理的对话全文：

01 安全攻防之外，更要防止「公信力」被滥用

极客公园：2 月 3 日，DeFi 项目 Orion Protocol遭到黑客攻击，损失近 300 万美元。而这个项目是 CertiK 审计的，为什么 CertiK 没有审出它的代码漏洞？

顾荣辉：出问题的代码并不在我们审计的范围以内。比如项目方有两万行代码，出于各种考虑，它只把自认为最核心的代码进行了审计，但剩下的上万行代码没有审计，会有很大概率出问题。如果（代码）不在审计范围内，审计方不应该受到指责。这听起来很像「甩锅」，但确实是审计公司最无奈的地方。

极客公园：所以这本质是因为项目方自己的问题？

顾荣辉：因为安全审计是一笔不小的开支，很多项目方只想把最核心的代码做安全审计，其余的代码就不做审计了。或者只给第一版代码做审计，更新的代码就不做审计了（注：智能合约上链后无法更改，但可以加新模块）。

这也是为什么，尽管 Web3 安全公司这么多，但还是有项目不断被盗、安全事件还是越来越多。因为项目方对安全的重视程度还是不够。大家虽然在安全上花了钱，但花得还不够，应该做完整的代码审计。

极客公园：为什么在最重要的安全问题上，项目方会舍不得投入？

顾荣辉：因为目前很多项目方做安全审计的目的，并不是真的为了「安全」，而是给投资人、用户、交易所「交差」。「你们看我是愿意花钱的，我是做了安全审计的，我都找了 CertiK，最好最贵的审计公司。」那它只做一部分代码审计，也可以有相同的陈述。

极客公园：听起来项目方是让审计公司背了「锅」？

顾荣辉：用一个不恰当的比喻，在 CertiK 这么大市场占有率的情况下，我们的「锅」都快背不过来了。

这也是我们强烈要把安全审计报告公开透明的原因之一。到目前为止，整个区块链行业除了 CertiK 之外，没有任何一家安全公司会把所有审计报告完全透明公开。因为我们希望用户在网上清楚地看到，项目方有哪些代码审计了，哪些代码没有审计。我们不希望 CertiK 变成一个「章」、一个防盗的「证书」，公信力被滥用。

极客公园：你什么时候做出的将审计报告公开透明的决定？

顾荣辉：2020 年下半年。那时候 DeFi 非常火爆，Web3 安全公司业务增长很快，我们很快就变成了全球第一。紧接着，很多项目都宣称是找 CertiK 做的安全审计，但其实并不是（不在审计范围内）。所以我就在想，应该让这个事情变得公开透明，不要让用户被误导。

极客公园：这个决定有效吗？普通用户真的会去看你们的报告吗？

顾荣辉：大部分普通用户不会去看。甚至我们公开之后，反而有很多人骂我们。因为我们公开之后，任何我们的关联项目出事后都是公开的，而用户如果在这个项目上受损失了，他不会去管这是不是在你的审计范围之内，他一定会很生气、要来骂你。所以即使到今天，很多我们公司内部的人、包括投资人，都不赞同我们将报告完全公开。

不过对于专业的机构来说，大家还是会去看审计报告并做出准确的判断。2 月，CertiK 的市占率第一次超过了 70%，我们客户问卷的调查满意程度也在 90% 以上。很多客户还给我们写了衷心感谢的话。但这些客户不会去社交平台上发言，他们只会一次次和你合作。

Twitter 上关于 CertiK 的讨论 | 图片来源：Twitter

极客公园：如何让普通用户更好地意识到这点？

顾荣辉：我们一直在努力地去完成这个行业的用户教育。2018 年，我们刚创业的时候，主要是教用户去看项目方「有没有」安全审计。但到了 2020 年，我们开始推出安全展示板（CertiK Security Board），就是去教育普通用户，安全审计不是一个「章」，而应该是一个「动态的指标」。

我们会综合各项指标，给项目方打安全分（Security Score）。这个安全评分每 15 分钟会更新一次，比如你现在代码没有问题，但如果更新了代码，评分就会实时变化。用户还可以在安全展示板上，订阅关于项目方的几项关键安全指标，随时收到变化通知。

我们希望一步一步地帮用户转变对 Web3 安全的观念。但这是一条很长的路，而且很难很难很难。

CertiK 安全展示板 | 图片来源：CertiK

极客公园：去年，你们安全展示板的官方推特说，「你知道吗？@orion_protocol是CertiK 官网上唯一安全评分为 100/100 的项目。」项目出事后，很多人在推特评论里骂你们。

顾荣辉：是的。因为在那个时间段，这个项目确实是排名最高的安全评分。但这个安全评分是动态的，每 15 分钟都会发生变化，更不要说横跨一年之久。

极客公园：有Web3同行评价你们是用真正的互联网思维在做产品。你赞同这个评价吗？

顾荣辉：我觉得我们的出发点，还是在思考用户和行业的需求和痛点。

说白了，安全攻防只是第一步，但你不能只做安全攻防。就像大家现在看 CertiK，是安全攻防为基础，但更看重的是我们的「公信力」。

那么如何防止别人利用你的「公信力」来做不好的事？这导致我们不停地思考，到底该怎么往前走。这个行业绝大多数公司还没有「公信力」的困扰，没有用户在推特里骂他们的压力。我觉得我们真的是被逼出来的。

02 监测到有异常的项目，我们主动曝光出来

极客公园：Web3 安全审计不只是技术层面，也包括人性层面。比如有些项目方会「监守自盗」，故意设计代码漏洞，卷走用户的钱。人性是不是比技术更难审计？

顾荣辉：我们永远相信去中心化、代码，但代码也会出现人性的问题。比如这种俗称的「土狗项目」，我们称之为高风险项目，它们可能因为本身的设计问题、或者代码问题实在太多，最后会导致投资者损失惨重。

今天，Web3 世界被（项目方）诈骗的钱甚至多过了被（黑客）盗的钱。

极客公园：这种「土狗项目」该如何识别？

顾荣辉：其实纯靠看代码是非常困难的。尤其是他们给我们的代码，可能和真实部署的代码都不一致。

所以我们推出了 KYC（Know Your Client，客户背景调查）服务。我们内部有两个 KYC 团队，一个是常规的 KYC，比如一个项目过来了，我们能不能签约，要做最基础的评估。但这能做到的有限。而另一种是目前行业内最严格的 KYC 服务，会有很严格的审查流程，我们会为通过的项目方颁发 KYC 专属徽章并公开展示在官网上，目前从来没有拿到 KYC 徽章的项目出问题。但我们无法强制项目方申请这种严格的 KYC 徽章。

CertiK 的 KYC 服务 | 图片来源：CertiK

这两支 KYC 团队加起来有 20 多人，比一些小的安全审计公司人还多，成本很大。我们为什么要这样投入？就是希望尽可能避免这种高风险项目。

极客公园：你们对高风险项目的判别是主观的、还是有根据现实和规律推导出的标准？

顾荣辉：和审计类似，KYC 既有主观的判断、也有客观的规律。其实通过 KYC 服务，我们已经拒绝了 30% 以上的客户。要不然我们的市场范围会更广。

极客公园：但 2022 年 1 月，经你们审计的项目 Arbix Finance 被标记为「Rug Pull」（诈骗跑路），当时是没识别出来吗？

顾荣辉：我们要根据项目方提供的客观信息做判断，这本身的难度就比较大。在项目方刻意隐瞒造假之下，挖掘蛛丝马迹的难度更是直线上升。

但我想强调，Arbix Finance 这个事，是我们自己监测到异常之后，主动曝光出来的。这对我们来说是不利的，你不会看到其他服务公司去做这种事情。但我们就公开在自己的官网上，因为这是应该去做的事情。

极客公园：在客户利益和公众利益之间，你会选择后者？

顾荣辉：对。如果你发现一个项目可能有问题，你要不要大声说出来？我觉得要，哪怕是我们自己的客户。

包括我们的审计报告里，会单独写一章项目方的「中心化问题」，核心就是如何让公众了解项目的中心化风险。很多服务公司不会这么做，因为会得罪客户，但我们坚持要这么做。

极客公园：你不怕跟项目方的关系很尴尬吗？

顾荣辉：客户肯定不开心，这肯定对我们的业绩有负面影响。而且你报了这个项目有问题，项目的投资人恨不恨你？参与人恨不恨你？合作伙伴恨不恨你？真的负反馈很大。

在推特上，其实大部分关于 CertiK 的负面内容和黑客攻击没什么关系，主要是针对我们披露了项目方的负面信息。比如我们曝出这个项目有中心化风险，项目的用户就开始骂我们，甚至组织水军给我们打低分。

但还是那句话，如果这是对行业有利的事情，我们就应该去做。

极客公园：你会去社交平台上看那些负面评论吗？

顾荣辉：我是真的都会看。外界觉得，CertiK 好厉害，这么好的数字、这么多的融资。但实际上，外界对我们也有很多负面评价和报道，我们赚的是压力很大的钱。

我之前听到一句话叫「誉满天下、谤满天下」，很多事情都是有两面性的。誉满天下指的是他在用你的产品，谤满天下指的是他边用边骂。我觉得是好事，这样才知道哪里不足、怎么提高。

极客公园：关于 KYC，我看到有传言说，你们某个项目方跑路之后，用户联系 CertiK，CertiK 说联系不上项目方。这是真的吗？

顾荣辉：这是有的。因为常规的 KYC 太容易造假了，你要了一套 KYC 的东西，但出了事谁都找不到。如果项目方通过的是我们最严苛的 KYC，有 KYC 徽章的就不同了，这种情况下我们一定能和执法机构配合。

极客公园：当用户的钱被卷走后，追回的可能性大吗？

顾荣辉：我们和很多监管部门聊过，得出的结论是，追回资金最大的问题是必须要有执法力。但很多时候我们没有执法力。

03 从学术圈到 Web3 世界，技术实用主义与去中心化信仰

极客公园：你最早接触区块链是什么时候？

顾荣辉：大概是 2012、2013 年。当时我刚从清华本科毕业，进入耶鲁大学计算机系「高可信软件联合研究中心」，跟着邵中教授（注：邵中为中科大－耶鲁高可信软件联合研究中心主任）读博。

当时跟我在同一个办公室的师兄叫蒋信予，他的化名叫「Friedcat 烤猫」（注：烤猫被称为「国内币圈第一人」）。我第一次对区块链产生兴趣，就是从他那知道的。

极客公园：烤猫在区块链世界非常有名，是国内比特币最早的布道者。

顾荣辉：他是比较早一批开始用 ASIC 机器去挖矿的，做矿机做的很成功，对整个区块链世界影响很大。最后他博士辍学，回国做了这个。

回过头来，为什么烤猫在区块链世界做的很成功，我觉得可能是一种科研的思维方式。我们会从一个更基础的层面考虑这些问题，所以大家会做出很多创新性的东西。

极客公园：当时你自己买币吗？

顾荣辉：当时没有买过。

极客公园：像烤猫这样一个偏原教旨主义的人，他对你有什么影响吗？

顾荣辉：我觉得他对我学术上影响大一点。因为他是我的师兄，在科研上他帮助我很多，包括形式化验证（formal verification）的很多知识。我们甚至在同一个项目 CertiKOS，但是他后来离开了。

极客公园：CertiKOS 也是你后来创业的重要技术基础。

顾荣辉：对。我们研究的形式化验证技术，简而言之就是通过数学方法，证明你的代码和你的设计是等价的，没有漏洞（bug）。

这项技术在软件（操作系统）上的应用一直是学术痛点。它过去一直被应用在硬件上，因为硬件是固定的，证明空间有限。但软件是可编程的，证明空间可以到无穷大。我在读博的时候，就想解决这个问题。

2016 年，我们终于完成了这个技术突破，做出了 CertiKOS。这是目前世界上第一个、也是唯一一个完全经过形式化验证的多核操作系统内核。当时我们把它用在了无人车 Landshark 上面，被评价为「无懈可击」。2018 年我们创立了 CertiK，希望把这项技术用于实际生产中。

极客公园：这项技术可以应用的领域有很多，为什么最终你选择应用到区块链或 Web3 领域？

顾荣辉：因为当年 Web3 发生了几起很大的安全事件。2016 年，The DAO attack，被认为几乎是人类历史上最大的一起攻击事件，超过几百万枚以太币被盗，换算到现在就是几十亿美金的损失。那时候区块链才刚刚开始火，这些攻击事件让大家意识到，Web3 安全非常非常重要。大家希望能改变区块链的安全状况。

当时以太坊基金会也好，包括 V 神（以太坊创始人）本人，都做了很多调研。然后他们发现同一时期有一个技术突破，就是 CertiKOS。当时很多人找我们聊了很多轮，探索把这个技术用到区块链领域、智能合约领域的可能性。后来我们成立了 CertiK，还拿到了以太网基金会的拨款。

极客公园：感觉 CertiK 的诞生是新技术成果和市场需求的碰撞。

顾荣辉：因为区块链面对的安全挑战是前所未有的，区块链的合约公开、透明，导致它更容易被攻击。

传统的安全平台看到漏洞后，可以打补丁、升级系统。但区块链是一个世界计算机（world computer），没有人可以停掉它，智能合约一旦部署之后，就很难改了——就像打开潘多拉的魔盒。

这个场景就像什么？假设我是黑客，我可以看着你的源代码找漏洞，实时攻击。而你甚至没有办法打补丁阻止攻击，只能眼睁睁看着我把钱取走。传统安全损失的只是一些用户数据，但区块链直接损失的是钱。由于这些原因，我们的形式化验证技术就很适合用于区块链世界的防御。

极客公园：但很多 Web3 安全公司都宣称有形式化验证技术。

顾荣辉：我们、尤其是邵中教授是形式化验证技术的世界级权威专家，CertiK 也是最先把形式化验证技术应用到 Web3 领域的。系统形式化验证过去十年很多里程碑式的科研成果，都是邵中教授实验室和我在哥大的实验室做出来的。现在很多安全公司都会宣称有形式化验证技术，但是大部分都是宣传目的，技术储备并不充足。

极客公园：我听你的投资人说，这项技术成果也可以用于很多别的安全领域？

顾荣辉：没错，我们已经应用到了芯片、云、操作系统等领域。比如 ARM（全球领先的芯片公司）V9 处理器上隐私计算架构（CCA）的安全验证、蚂蚁云原生的 HyperEnclave（蚂蚁隐私计算一体机的核心技术）的安全验证都是我们做的。因为这些也都是底层的构建，需要在部署之前就做到尽可能安全，安全率要达到 99% 以上。

但我们现在的主营业务还是在 Web3 领域，我认为能把一件事情干好，就已经非常难了。我没有办法眼睁睁地看着这么大的痛点，还去做别的事。

极客公园：从研究技术的学者，到开公司的创业者，这种身份跨越有难度吗？

顾荣辉：在创业之前，我还在谷歌呆了一年。当时我刚从耶鲁博士毕业（2016 年），推迟了一年哥大给我的助理教授 offer。我当时觉得，如果我以后去创业，会有很大的 gap（差距），因为我一直在学术圈呆着、没有工作经验。所以我决定去谷歌这家顶级互联网公司体验一下。

这段经历对我创办 CertiK 的帮助很大。它让我思考，「当你在做一件别人没做过的事情时，你应该怎么做？」谷歌是第一家做搜索引擎的公司，这个东西到底是什么、应该做成什么样子，都需要它自己回答。这跟我创立 CertiK 的感受是一样的。

CertiK 的审计报告 | 图片来源：CertiK

极客公园：学者和创业者都是不容易做的工作，你怎么能兼顾两者？

顾荣辉：教授和创业者几乎是大家认为最忙的两个职业。但我认为，这两重身份有一样的底色，就是找到有挑战性的问题，再将自己全身心的精力投入进去、将问题攻克。对我来说，这两者的目标几乎是统一的。这也是我能够坚持下来的原因。

当然，这两个身份的不同之处在于，学者不太用考虑什么时候商业化落地的问题，但创业者需要在一定时间内、至少给出一个商业上可以接受的答案。这也是很多学者企业的挑战。但很多投资机构都说，我们算是它们见到的比较成功的学者企业。

极客公园：作为 Web3 创业者，你有去中心化信仰吗？

顾荣辉：Web3 的去中心化是「in code we trust」（信任代码），但是如果这个 code（代码）本身并不 trustworthy（值得信任）怎么办？也就是 code bug（代码漏洞），这是 CertiK 要去解决的问题。你要说信仰，我们的信仰就是这个。

极客公园：你的同行说，做 Web3 安全也离不开「正义感」。你有这个东西吗？

顾荣辉：我理解的正义感就是关于所做的事情到底是不是正确的，对这个世界产生了什么价值？

我可以很自豪的说，我们通过 ARM 的 V9 处理器的 CCA 架构的安全验证，未来可以为上千万台设备保障隐私安全。我们在 Web3 的智能合约和区块链系统里找到了 6 万个 bug，为项目降低了风险。这些是正确的，也是我们创造的价值。而且这不是别人通过我的论文帮我实现的，而是我自己实现的。

这些贡献，不管是把学术往前推进了一点点，还是让用户损失减少了一点点，都可以说是由正义感驱动的。

04 吃下七成市场，靠的是机审提高效率

极客公园：和 CertiK 同批成立的 Web3 安全公司有很多，为什么最后 CertiK 成了行业第一、吃下了 70% 的市场份额？

顾荣辉：我们对 Web3 安全行业的看法非常不同。

其他所有的公司，它们想做的是比较「手工式」的小团队模式，比如组建「白帽」（注：指从事安全防御的技术人员）团队，参加攻防大赛，找代码漏洞、拿赏金等等。

但我们最开始想的是，希望从根本上去改善整个行业的安全现状。我们希望服务大量有安全需求的公司，提供规模化的技术服务。所以我们从一开始就很注重工具和安全引擎的开发。

极客公园：规模化的愿景是怎么诞生的？

顾荣辉：因为我们看到整个 Web3 或者区块链行业的创新，大部分都是来自很小的团队。从中本聪（注：比特币创造者）开始，没有哪个创新是来自大的公司。因此我们希望通过规模化，降低审计成本，服务好大量的中小团队。

比如 Sandbox（注：区块链游戏服务商），算是元宇宙的发起项目之一了。但 2019 年他们找我们做安全的时候，这个公司的估值只有 600 万美金，钱非常少。如果我们不能服务这样的小公司，那这样的项目可能经历一次安全事件就「死」了，很多 Web3 的创新就不会有了。

所以我们认为，如果 Web3 行业要发展，就必须让中小型的机构也能享受到这种最高级的安全服务。而且也只有这样，CertiK 才有可能做成一个非常大的企业。

极客公园：通过规模化，CertiK把审计成本降低了多少？

顾荣辉：2019 年，美国传统的安全企业做一次 Web3 安全审计，只是部署非常简单的智能合约，报价都是几十万美金。而现在，对普通客户，我们的报价可以到压到几万甚至几千美金（对于简单合约）一次。我们把 Web3 安全审计的费用降低了 90% 以上，并且我们还在继续降低。

极客公园：规模化不仅是一种意愿，更需要能力。你们是怎么规模化获客的？

顾荣辉：其实获客更多是项目方来找我们。很有意思，2021 年 11 月，CertiK 刚刚完成独角兽那轮融资、估值达到 10 亿美金的时候，我和 McAfee（注：全球最大的专业安全技术公司）的前 CEO 吃饭。他问我说，你们有多少个 Sales BD（商务拓展人员）？我说我们大概有 6 个，我说你们有多少？他说他们有 4000 个。

极客公园：你们如何有能力承接大规模订单？

顾荣辉：我们是创造了一套安全引擎（机器），尽量减少安全专家（人工）的工作，从而提高审计效率。但是所有的报告、所有的条目都会通过安全专家的审核。我们只是不让安全专家简简单单的直接读源代码。

极客公园：所以你们的核心优势是这套安全引擎？

顾荣辉：对。这个安全引擎类似于ChatGPT（注：风靡全球的大型语言模型）。它会自动检查源代码的问题、甚至模拟攻击，接着安全工程师会对它提出的问题进行反馈，是对的还是错的、为什么，你可以理解为这是一种标注后的数据。而这些数据会回到引擎、不断地训练引擎。

也就是说，即使我们的技术不发展，但只要我们能见到更多的代码、有更多的人对它进行标注，我们的引擎就会变得越来越好。然后我们的安全程度会越来越高，并有越来越多的客户，而这又会让引擎越来越好。就是这样一个正循环。

极客公园：有人说，Web3 行业大部分代码都是 copy 的、没有什么创新，所以可以大规模去做审计。

顾荣辉：目前整个区块链的 building block（真正有建设性的区块）确实没有那么多，这也是为什么我们认为这个行业可以实现自动化。如果不存在这个特性，这条路最开始是很难走的。

但这并不代表我们的审计工作轻松。因为往往被攻击的都是仿盘项目，它就改了 10 行代码，这 10 行代码就改出问题来了。

而且我们也做了很多极具创新性、极难的项目。比如 2022 年区块链安全事件就围绕两个字，跨链。跨 N 条链，就是 N*N 的复杂度，它的技术难度远远超过我们以前见过的所有项目。但很多小团队没有同时覆盖多条链的能力，反而是 CertiK，因为在所有链上都有很多客户，积累了比较全的跨链数据，才能去做。现在很多跨链项目的安全保障都是 CertiK 在做。

CertiK 的市场占有率 | 数据来源：CMC

极客公园：大量的自动化审计，如何保证审计质量？

顾荣辉：这是一个好问题。为什么传统安全公司一直是小团队模式？因为规模化之后，很难保证安全率、安全质量。因为你一个月接 500 个订单，就算你的安全率达到 99%，平均每个月也会有 5 个项目爆雷。公司一下就不行了。

CertiK 是有一套监控系统（monitoring system），去监控我们的自动化审计+人工核对的工作是不是合格。每一份报告，我们都会根据安全专家的行为、报告结果、跟同类项目的比较，评出一个「自信分」（confident score）。一旦这份报告的自信分低于某个阈值，我们会启动相应流程处理。

极客公园：那为什么 2020 年「LIEN FINANCE」这个项目的漏洞，还是有人在网上帮你们找到的？

顾荣辉：理论上没有一种技术可以确保软件 100% 的安全。

我们从来不强调「CertiK 就是万无一失的」。这也是我们把所有审计报告公开的原因。公开的审计结果，给了所有人都可以来检查的机会，让更多人可以找到代码问题，让项目更安全，这比 CertiK 的品牌声誉重要得多的多。

极客公园：有项目方说，它找了好几家审计公司，CertiK 审出来的漏洞是最少的。

顾荣辉：我相信绝大部分情况不是这样的，目前市面上公开的报告可以佐证我们的观点。

不过确实有一些情况，比如有的项目方在和小团队合作时，小团队会把所有人都扑在一个项目上，会有非常频繁的沟通，很多小的问题也都会和项目方反复确认，有非常多的反馈和交互。但是 CertiK 是规模化的，是一次性的直接出报告，自动化程度高，会忽略我们认为不重要的问题，也缺少和项目方反复确认的过程。体验确实不同。

目前我们在针对这个问题进行改进，比如利用 ChatGPT，在实现规模化的同时带给客户更好的服务体验。

极客公园：因为 CertiK 审核过的代码出现漏洞，导致项目方损失，你们会承担什么责任吗？你们会跟项目方道歉吗？

顾荣辉：首先，这样的情况并不多。其次，如果出现损失，我们第一时间是帮用户减少损失、追回被盗资金。之后我们会出具很详细的报告，说明为什么会发生这个情况。责任的话，就像我们一直强调的，审计报告不是一枚章，不是「防弹证书」，而是一个动态的安全评估。

极客公园：你的同行表示，CertiK 审计了近 6000 个项目，暴雷了好几个。但它们审计了 2000 多个项目，却没有一个出问题。你怎么回应这个观点？

顾荣辉：我不太清楚这里提到的 2000 多个项目的报告是否公开。没有公开的话，我们很难进行分析和回应。这也是我们一直提倡大家公开审计报告的原因。

Rekt（Web3 安全攻击事件统计网站）是一个第三方的权威统计网站，它会看攻击漏洞是否在审计范围。在 Rekt 统计的一百多起 Web3 安全爆雷事件中，在 CertiK 审计范围内的一共就三起。而从我们的市占率来看，我们的事故率要远远低于行业水平，安全系数应该是最高的。

极客公园：你们作为审计机构，其实并没有来自监管的压力。这很难让人相信你们会有动力把审计做好。

顾荣辉：2022 年，我被邀请去达沃斯经济论坛。当时 Circle（稳定币 USDC 开发商）的 CEO、Ripple（领先的企业加密解决方案提供商）的 CEO，Coinbase（加密货币交易所）的 COO、Animoca（区块链游戏公司）的 CEO，几个人和我开玩笑说，「CertiK 的市占率这么高，会不会变成去中心化世界里的一个新中心呢？」

这和大家对中心化机构的担忧是一样的，就是当你做大之后，别人怎么相信你？怎么保证你们每一单的审计都是好好做的？就像大家怎么才能相信中心化交易所不挪用用户资金呢？

对于交易所来说，它们可以使用「merkle-tree」（「默克尔树」）来公开储备证明、透明公示平台的资产状况。类似的，我们认为对安全审计的监管，最好的解决方案就是公开透明，这样才能引入外界的监督。

极客公园：公开透明能够替代监管的压力吗？

顾荣辉：这可能比监管的压力更大。CertiK 公开了所有报告，如果我们的报告出了一个漏洞，任何人都能发现，所有不好的东西都永远留在互联网的记忆里。

回到那个问题，CertiK 到底好在哪、为什么以这么快的速度变成行业第一？抛开所有技术不谈，CertiK 坚持公开透明，在巨大压力下倒逼自己，这不就是一个很直观的「好」的地方吗？

05 不缺钱，但反而要拿很多很多钱

极客公园：从 2021 年开始，CertiK 在不到一年的时间内拿了五次融资，囊括了高盛、老虎、软银、红杉、高瓴等最豪华的资方，成为 Web3 安全领域的超级独角兽。为什么当时融资这么「猛」？

顾荣辉：因为从 2020 年开始，DeFi 迎来大爆发，很多资本希望进入 Web3 行业，但它们认为上层应用的不确定性比较高，所以更看好基础设施。而安全是非常重要的基础设施，我们又是公认的龙头企业，所以引入了很多国际、国内的大型投资机构。

Web3安全领域的投资 | 数据来源：Crunchbase）

极客公园：为什么其它 Web3 安全公司的融资额和估值远远不及你们？

顾荣辉：套句俗话，「资本永不眠」，它会不断追逐有价值的企业。

一方面我们有超强的财务数据和市占率，另一方面可能还是信任问题，基于我们坚持的公开透明的准则。举个例子，高盛是全球最成功的投行，高盛投资部门的审查非常严格，很多 Web3 公司都未能通过审核（比如 FTX）。CertiK 是为数不多通过高盛投资审核的 Web3 公司，这对我们是很大的认可。

极客公园：其实在 2021 年市场非常好的时候，Web3 安全公司并不缺钱，所以你的同行决定不拿钱。但你们想的反而是不仅要拿钱，还要拿很多很多钱。你是怎么考虑的？

顾荣辉：这是非常好的问题。CertiK 从最开始就是正向现金流，并不缺钱，融资的决策也和很多 Web3 公司不同。

首先，因为我们是学者创业，都没有创业经验，而 CertiK 和行业面临的未知太多太多了。我们需要很专业的、最好的投资机构来帮助我们。

其次，虽然 CertiK 的安全产品得到了广泛认可，但还远远不够。因为我们的黑客对手非常强，甚至有背靠国家的黑客组织。我们希望开发出下一代的安全产品，比如链上主动防御技术。这需要大量的投入，这也是我们融资的最重要原因。

极客公园：所以外界觉得你们拿的钱多，但你觉得跟对手相比，这个钱并没有很多？

顾荣辉：对。我们融资了 2.4 亿美金，但这跟我们的黑客对手、和面临的挑战相比并不算多。

事实上，我们在融资上已经非常克制了。2021 年到 2022 年，一直在对潜在投资机构 say no、say no、say no。有很多的（投资）offer 非常有吸引力，但我们都没有接。

极客公园：资本扭曲公司发展的事例不算少，引入这么多豪华投资方，你不会有这样担忧吗？

顾荣辉：我们的投资方都是专业、顶级的大型投资机构。到目前为止，他们从来没有干涉过我们，而是很尊重我们的想法。我记得有位投资人和我开玩笑说，「他如果要指手画脚，还不如自己去创立公司呢」。

极客公园：关于上市，你有自己的时间表吗？

顾荣辉：上市肯定是 CertiK 非常重要的发展节点，我们的很多投资机构比如高盛都很专业，我们会听取它们的建议。

极客公园：你们赚了这么多钱，又拿了这么多钱，准备怎么花？

顾荣辉：首先，最重要的还是开发下一代 Web3 安全产品，更好的解决用户痛点。比如基于 CertiK 的安全引擎，我们会大规模投入数据能力，包括区块链数据的处理、分析、响应能力等。比如在合约上链后发现漏洞，该怎么跟黑客抢跑资金等等，目前还是比较早期的构想。

其次，我们也在看比较好的潜在收购标的。比如跟我们形成技术互补的、生态呼应的公司，能拓展我们在 Web3 安全赛道的布局。

最后是开拓市场。CertiK 现在全球各个市场的份额应该都是最大的。但因为安全需要 24 小时响应，靠一个纯美国团队来支撑这点很累（时差），同事经常加班到夜里两三点钟。所以接下来我们要组建当地团队，去解决时区问题。

极客公园：CertiK 的全球化做得很好。有国内同行说，你们团队的海外背景天然有更大优势？

顾荣辉：CertiK 的国际化背景可能给我们加分，但应该不是决定性因素。

极客公园：很多国内同行做全球化市场遇阻，你觉得可能原因是什么？

顾荣辉：国内公司出海确实挺难的。首先是语言问题。比如我去韩国，那边的客户就问我能不能出韩文版报告？所以很多时候，你觉得英文已经可以全球化了，但其实不是。语言问题会带来很多限制。

其次是观念的冲突。国内的安全团队主要是小团队模式，员工层级分明、管理严格，这带来的好处是效率比较高。但欧美市场主张管理扁平化。出海时会有管理观念冲突。

极客公园：安全方面的人才很稀缺，你们怎么吸纳人才？

顾荣辉：通过一种使命感去凝聚。比如黑客的获利更大，但绝大部分安全人才都还是选择做白帽（注：安全攻防人员有做黑客的能力），因为他们是有追求的。

比如我们的李康教授（CertiK 首席安全官），他是世界闻名的白帽，放弃了收入更高的工作来到 CertiK。所以我们只有做对行业有利的事情、树立使命感，才能够凝聚他们。

极客公园：回过头看，上波熊市跟你们同期创立的 Web3 安全公司，活到现在的不多了。这种大浪淘沙可以学到什么？

顾荣辉：我觉得跟风是很危险的。

包括因为我们的融资很好，这轮熊市又出现很多新的 Web3 安全公司。但我觉得目前这个赛道已经非常拥挤了，也很难再有规模化的机会。因为这需要大量的代码数据、做大量的（人工）标注，它们很难超过现有公司的技术积累。

还有些初创 Web3 安全公司，它们提出了新的审计模式。比如让项目方在平台上公开代码，通过赏金吸引白帽等来审计。但这只对低风险漏洞有效，而那些高风险漏洞，会因为利益诱惑巨大而很难通过赏金找出来。所以这些模式我们都不太认同。

极客公园：听起来你并不看好这批新成立的 Web3 安全创业公司？

顾荣辉：我们还是坚持认为技术创新比模式创新更加可靠。