在加密產業中，安全性是每個專案和平台的基石。隨著區塊鏈技術的發展和數位資產的廣泛應用，安全問題也日益成為關注的焦點。

在2024 年新加坡金融科技節（SFF）上，CertiK 聯合創始人、哥倫比亞大學計算機科學教授顧榮輝發表了題為《超越代碼，引領信任》的主題演講。顧教授在演講中回顧了自己的學術之旅，以及從學術研究到創辦 Web3 安全公司 CertiK 的跨越，強調了「安全不僅是競爭優勢，更是共同責任」的核心理念。

顧榮輝教授在演講中提到，2023 年4 月DeFi 協定Merlin 遭遇的200 萬美元駭客攻擊，為整個區塊鏈產業帶來了深刻的警示。

新加坡金融科技節（SFF）作為全球金融科技的頂級年度活動，由新加坡金融管理局（MAS）和 Elevandi 共同主辦。藉著這台契機，BlockBeats 和 CertiK 共同創辦人顧榮輝聊了一下。

學術起始與CertiK的誕生

2010 年代的清華園裡，電腦科學逐漸成為菁英學子的熱選。然而，與眾多追逐熱點研究的學生不同，顧榮輝選擇了一條冷門但極具深度的方向——形式化驗證。這一領域專注於透過數學證明確保軟體系統的正確性，是編譯器、作業系統等基礎設施的核心保障。儘管在國內起步較晚，形式化驗證一直有高需求，尤其是在保障系統安全與穩定方面。

在清華時，顧榮輝師從董淵教授，初次接觸形式化驗證技術。他參與的研究項目 RA（Region-based Allocation）為他奠定了理論基礎。清華的四年時光，讓他對學術研究產生了濃厚興趣，也促使他追尋更高層次的學術突破。 2012 年在清華畢業後，顧榮輝選擇前往耶魯大學，跟隨著名學者邵中教授繼續深造。

耶魯的實驗室不僅是顧榮輝的學術發源地，也是他與區塊鏈產業初次接觸的地方。在邵中教授實驗室中，顧榮輝遇到了加密產業的傳奇人物－烤貓。在 2013 年消失前，烤貓就已經創造了一個比特幣礦機帝國，而顧榮輝正是那段時期的早期歷史見證者。

具體地說，烤貓是CertiK 聯合創始人邵中教授的博士生、耶魯中科大聯合實驗室的學生，同時也是顧榮輝的學長與耶魯計算機系301 辦公室的office mate。 「當時我在學習XCAP framework（CertiK CTO 倪兆中博士的工作成果），很多Coq 代碼都讀不懂，有問題的時候都會去問烤貓。那個時候在耶魯，烤貓就在佈道比特幣了。”顧榮輝回憶道。

不過對於烤貓傳奇的消失經歷，顧榮輝也並沒有什麼內幕，「2013 年回國在蘇州（耶魯中科大實驗室所在地），烤貓還請我單獨吃了一頓火鍋。到CertiK

在耶魯的研究經驗讓顧榮輝敏銳地察覺到形式化驗證的潛力。 2016 年，他與團隊成功研發了 CertiKOS，這是全球首個完全形式化驗證的多核心作業系統核心。

此外，顧榮輝的團隊還研發了首個被完全驗證的商用雲hypervisor 系統SeKVM；與Arm 合作完成了Confidential Computing Architecture (CCA) 的驗證工作，此成果將會應用到下一代Arm V9 晶片上；與螞蟻集團合作完成了HyperEnclave 系統的驗證工作。

這些成果不僅引起了學術界的矚目，也讓顧榮輝看到了形式化驗證技術在現實世界的廣泛應用可能性。 「CertiKOS 的成功讓我意識到，形式化驗證不應該只停留在實驗室裡，它完全可以為區塊鏈和 Web3 領域提供強有力的安全保障。」顧榮輝說。

因此顧榮輝與邵中教授於 2018 年 1 月聯合創立了 CertiK。公司名稱來自“CertiKOS”，寓意“可證明的安全”，這也成為了公司核心理念的象徵。 CertiK 的目標，是將形式化驗證的嚴謹性帶入區塊鏈領域，為數位資產提供頂級安全保障。

在邵中教授和多位清華、耶魯校友的支持下，CertiK 組建了一支堪稱「豪華」的新創團隊。團隊成員不僅學術背景突出，更有豐富的產業經驗。共同創辦人邵中教授，中科大少年班，不只是耶魯大學電腦系主任，更是普林斯頓大學博士、世界級學術權威；CTO 倪兆中博士則是顧榮輝清華和耶魯的學長，曾擔任全球資訊學奧賽總教練，並多次指導學生獲得金牌。團隊中的多位主管和技術骨幹同樣出身於清華，並在資訊學競賽、電腦領域中屢獲殊榮。這種深厚的學術累積與技術實力，使得 CertiK 從成立之初便在業界備受矚目。

創立後的短短兩個月，CertiK 便獲得了 350 萬美元種子輪融資，由 Lightspeed Venture Partner 領投。公司發展迅猛，不斷獲得資本青睞：2020 年 6 月，IDG Capital 領投了 700 萬美元的 A 輪融資；2021 年至 2022 年間，CertiK 連續完成四輪融資，總估值一躍達到 20 億美元。根據公開資訊顯示，截至 2021 年 12 月，CertiK 完成了 20 倍的收入成長，員工人數增加了 4 倍。

儘管發展迅猛、融資節奏快、金額大，CertiK 卻始終保持克制。 「2021 年和2022 年期間，確實有很多投資機構找到我們希望投錢，我們也確實拒絕了很大一部分。因為CertiK 的現金流一直很健康，我們更希望獲得戰略投資，能夠在業務上助力我們，而不僅僅是為了引入財務投資，因此我們是有選擇地接納投資。

從產品創新到產業影響：CertiK 的崛起之路

能成為業界獨角獸，肯定不只豪華的團隊，還得有過硬的產品創新。

在發展過程中，CertiK 不斷推出創新產品，以因應區塊鏈產業不斷變化的需求。其中，2022 年上線的 CertiK Skynet for Community，是為 Web3 使用者打造的專案安全資訊搜尋引擎。該平台為一般用戶提供安全評分，幫助他們更好地評估專案風險，為業界普及安全意識奠定了基礎。

2023 年，CertiK 進一步推出了 SkyInsights，一個為專案方量身定制的即時監控工具。 SkyInsights 不僅高效，還具備成本優勢，它能夠協助專案方在快速變化的市場中保持安全性和合規性。這項工具迅速成為專案團隊在複雜的 Web3 環境中確保安全運作的利器。

2024 年，CertiK 再度升級產品矩陣，推出了兩個頗具影響力的新項目。 CertiK Quest 以問答和知識卡的形式，向用戶科普Web3 相關的安全知識，為行業培養了更廣泛的安全意識；與此同時，CertiK Ventures 宣布了4500 萬美元的投資計劃，旨在透過資金、技術和人才支持，協助Web3 領域的潛在明星計畫成長。這個策略性佈局，不僅提升了 CertiK 在業界的影響力，也鞏固了其作為安全領域領導者的地位。

此外，CertiK 也升級了產品線，提出了「全生命週期安全解決方案」的理念。這個解決方案涵蓋專案從初創到成功的每一個成長階段，將安全深度嵌入到 Web3 生態系統的每一個環節，並輔以新的 Slogan：「Elevating Your Entire Web3 Journey」。 CertiK 將安全服務聚焦到更具體的對象，如專案方、交易平台、錢包以及終端用戶，透過客製化解決方案確保全方位的安全保障。

「很多專案會覺得安全是上線之前一次性的安全審計，會把它當成一個時間點的服務，但安全需要伴隨整個專案的生命週期，我們希望可以陪伴用戶從早期一直到上線、上鍊、上幣，再到成熟期的運作。其技術競爭力的核心體現。這具引擎依賴先進的形式化驗證、自動化掃描和深度規範分析等技術，幫助安全專家有效率地發現程式碼中的潛在問題。顧榮輝教授形容它為“安全專家的智慧助理”，類似於 ChatGPT 在文字處理領域的角色。

該引擎的模型資料來自CertiK 多年來累積的審計經驗和知識庫，涵蓋了4700 家客戶的程式碼樣本、15 萬個安全漏洞以及超過40 個大型漏洞的詳細報告。這些數據為引擎提供了強大的分析能力，使其能夠快速識別智慧合約和區塊鏈應用中的隱患。

以 TON 公鏈為例，CertiK 不僅為其提供了程式碼審計和形式化驗證，還在上線後幫助進行了性能測試和社區建設。這種全流程的支援已超越傳統安全領域，進一步為專案方提供了多維度的加值服務。這也反映出 CertiK 從單一服務提供者向「安全合作夥伴」角色的轉型。

此外，隨著區塊鏈產業的普及，CertiK 逐步將目光從 2B（面向企業）擴展到 2C（面向消費者）領域。 2024 年，CertiK 推出了免費的社群安全工具 Token Scan 和 Wallet Scan，為一般使用者提供了簡單易用的安全偵測服務。這些工具的推出，不僅降低了安全技術的使用門檻，也讓更多人參與 Web3 安全生態的建置。

CertiK 希望透過這些工具，讓 C 端使用者俱備更強的安全意識和防範能力。顧榮輝坦言：「CertiK 服務了4700 家客戶，找到了15 萬個安全漏洞，匯報了超過40 個大型漏洞，可以說我們對社區做了非常大的貢獻，但是我們對於C 端以及開發者社群還是不夠的。

澄清與回應：「蓋章式審計」的誤解

在一個技術快速迭代且安全需求複雜多變的領域裡，爭議在所難免。從「蓋章式」審計的批評，到部分項目出現問題後的輿論質疑，CertiK 經歷了公眾和行業的多重考驗。如何正視這些問題，解釋背後的原因，同時為產業發展做出更大貢獻，成為 CertiK 不可迴避的使命。

安全審計，本質上來說，是對特定時間點程式碼安全性的專業評估，而非對整個專案生命週期的全面保護。 CertiK 身為審計服務的提供者，面臨幾個現實挑戰：

1、程式碼範圍的限制：許多專案方在提交審計時，只提供了部分程式碼或測試版本的程式碼。這意味著，審計只能基於這些內容進行風險評估，而無法涵蓋整個專案的程式碼庫。專案上線後，如果代碼有改動但未經審計，就可能導致安全隱患。

2、稽核後的變更：有些專案方在稽核後為了快速上線，會對程式碼進行修改或新增功能，但這些變更未經過安全審計。這種「後續變動」往往是安全事件的主要原因，而非初期審計的疏漏。

3、成本與資源：全面深入的安全審計成本高昂，並非每個專案都能負擔得起。即使是知名項目，有時也會因預算問題選擇局部審計而非全代碼覆蓋，這進一步加大了潛在風險。

4、審計與執行的斷層：即使 CertiK 提供了詳盡的風險建議和最佳化方案，最終的實施仍由專案方負責。然而，有些專案方並未完全執行審計建議或整改方案，這也成為安全問題發生的另一個重要原因。

面對質疑，CertiK 也給了自己的回應。例如，自 2020 年以來，CertiK 將所有審計報告公開，供使用者和社區監督。公開審計報告的決定在當時遭到廣泛反對，無論是公司內部、合作夥伴，甚至投資機構都非常抗拒。

「因為一旦公開，任何安全事故發生時，大家都會將其與CertiK 聯繫起來。目前還沒有其他安全公司敢於公開所有審計信息，因為這意味著面對問題將無所遁形。

「我們堅持即使這種選擇對CertiK 帶來挑戰，但只要對產業有益，CertiK 也會堅定執行。從2020 年至今，CertiK 始終保持初心，即便有專案方出現問題，CertiK 也承擔了隨之而來的負面影響。

此外，為了解決這些問題，CertiK 推出了 CertiK Skynet 排行榜和安全評分系統，以增強稽核報告的透明度和真實性。透過排行榜和項目資訊頁面來確保審計報告的可訪問性和真實性，避免了被篡改或偽造的風險。 CertiK 的安全評級系統綜合考慮了鏈上資料、GitHub 程式碼庫、稽核資訊和社群狀況等多個維度，為使用者提供了更全面的專案安全資訊。

另一方面，CertiK 也推出了 Quest 功能，這是一種問答獎勵機制，旨在向社群展示更多技術細節、安全知識。透過這種方式幫助使用者更深入地了解專案的安全相關訊息，並理解安全的作用。

Web3 安全領域從來都不是「完美安全」的保障，而是科技與風險賽局的動態平衡。 CertiK 在這個過程中，既要直面技術侷限與專案方執行問題，也要承擔公眾質疑的壓力。

危機中的責任

在Web3 的世界裡，駭客行為的界線比傳統網路更加模糊。傳統意義上的「黑帽」與「白帽子」之間，在 Web3 中存在大量灰色地帶。例如，部分駭客聲稱為了「公共利益」而曝光漏洞，但他們的行為未必符合現有法律法規。這種複雜性為安全公司帶來了更多挑戰。

自2020 年以來，CertiK 已進行70 多次白帽行動，透過嚴格遵守白帽守則，並在不損害用戶或公眾利益的前提下，發現並修復了數萬個安全漏洞。例如，CertiK 因發現關鍵漏洞獲得了Sui 專案的最高漏洞賞金，CertiK 具有業界領先的鏈上即時攻擊監測和預警能力，並重點追蹤拉撒路集團相關案件的資金流轉，為業界提供了寶貴的安全防護經驗。

然而，CertiK 也深知，僅靠技術方法不足以全面解決問題，Web3 的安全問題不僅存在於技術層面，更涉及人性與信任的複雜交互。

例如，在 Merlin 事件中，幕後黑手並非程式碼漏洞，而是專案內部人員的惡意行為。 CertiK 透過嚴格的背景調查與即時監控，進一步完善了防範內部威脅的機制。

此外，CertiK 曾向另一個交易平台報告了任意指定兌換價格的漏洞，而這次預警幾乎是無償提供的服務。如果這項漏洞未被發現，交易平台可能會面臨生存危機。顧榮輝教授在訪談中表示：「很多時候，我們的工作並不被外界看到，但正是這些看不見的努力，防止了許多潛在的重大損失。」

在 Web3 的安全戰場上，駭客組織的攻擊手段日益複雜，Lazarus 集團就是其中的典型代表。這個組織以其高超的社會工程攻擊、供應鏈攻擊，以及假扮開發者植入漏洞等手法，在全球製造了大量安全事件。

CertiK 不僅在技術上與 Lazarus 集團展開對抗，還透過資金追蹤和反洗錢工具，持續監控其涉案資金的流動。 2022 年，Merlin 事件中幕後黑手被聯合國確認與 Lazarus 集團有關，而 CertiK 在這一事件中的調查工作被視為與駭客「0 距離交鋒」的典範。這也促使 CertiK 在資金追蹤、漏洞掃描和 KYC（身份認證）等領域進行了全面升級。

「Web3 安全產業是一個需要7x24 高度警備，隨時和黑客短兵相接，隨時鬥智斗勇捍衛客戶和社區利益。雖然這場戰爭可能永遠沒有辦法一勞永逸地止息，但也正是這個特質讓CertiK 有了強烈的使命感，我們會秉承初心，貫穿始終地守護Web3 安全。

初心未改，CertiK 將引領區塊鏈安全與合規，共建Web3 生態新未來

在之後的道路上，致力於推動區塊鏈產業向善並堅守白帽精神的CertiK，不僅將繼續其作為區塊鏈產業獨角獸的地位，也將積極承擔起新的責任與角色。目前，CertiK 已與五個國家和地區的監管機構建立了合作關係，在政策制定和合規支持上發揮了重要作用。

顧榮輝教授作為新加坡金融管理局（MAS）國際技術諮詢委員會的成員，參與了多個重要框架的討論。他也受邀成為香港 Web3 發展專責小組的成員，協助推動數位資產管理規則的形成。

在新加坡金融科技節上，顧榮輝教授以主講嘉賓身分分享了他的觀點。他表示：「監管的核心在於『管得住、看得見、能執行』。在鏈上交易愈發複雜的今天，安全問題已成為監管的關鍵支柱之一。」

CertiK 的政府合作範圍廣泛且深入。例如，CertiK 為香港金管局和財庫局聯合發布的穩定幣監管制度建議提供了專業意見；參與了日本金融廳（FSA）關於日元穩定幣合規政策的起草工作；與馬來西亞數字經濟發展局合作，共同製定Metaverse 和Web3 的政策文件；也與韓國首爾和釜山市政府簽署了合作備忘錄，提供區塊鏈安全和風險防控的技術支援。這些努力不僅鞏固了 CertiK 在業界的領導地位，也彰顯了對產業發展的深刻責任感。

同時，CertiK 宣布推出旗下創投部門 CertiK Ventures，並設立了 4,500 萬美元的投資計劃，旨在支持 Web3 生態中具有高潛力的新興項目。該計劃不僅是對產業未來的承諾，也是 CertiK 從技術提供者轉型為生態推動者的重要一步。

CertiK Ventures 的投資重點放在安全和基礎設施相關的項目，尤其是那些具有可持續和可擴展商業模式的企業。 CertiK 希望透過資金和技術支持，幫助這些項目在快速發展的賽道中脫穎而出，並為其建立長期的技術合作關係。 CertiK Ventures 預計從 2024 年第四季起開始分配資金，計劃持續至 2025 年底，為更多專案提供全方位的成長助力。

除了政府合作與VC 部門的建設，CertiK 還透露了CertiK 的最新計劃——“21 計劃”，目標是在21 個月內達到上市標準，並將客戶體驗管理（Client Insights First）作為核心策略。透過深入挖掘客戶需求，CertiK 致力於打造以客戶回饋為導向的產品最佳化和服務提升系統。

在這項計畫的指導下，CertiK 推出了全生命週期安全解決方案。這套方案涵蓋了專案從概念階段到上線後的整個成長過程，從最初的設計審查到程式碼審計，再到上線後的社群管理與效能最佳化。 CertiK 已將安全服務從防禦擴展到支持，讓 Web3 專案方能夠在安全的基礎上實現持續的創新。

CertiK 對未來的展望也超越了傳統的安全領域。在 Web3 逐步成為主流的背景下，CertiK 計畫將服務範圍拓展到更多的傳統企業，幫助它們順利進入區塊鏈生態。在面對產業多頭市場和熊市交替的環境下，CertiK 透過優化團隊結構、強化技術能力，為持續成長奠定了基礎。

欢迎加入律动 BlockBeats 官方社群：

Telegram 订阅群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方账号：https://twitter.com/BlockBeatsAsia