韓媒專訪CertiK審計(jì)合伙人：Web3安全關(guān)鍵在“事前防御”

在韓國IXO?區(qū)塊鏈大會期間，CertiK審計(jì)合伙人Matt Wang接受韓國知名區(qū)塊鏈媒體TokenPost專訪。作為兼具傳統(tǒng)ICT背景與區(qū)塊鏈實(shí)戰(zhàn)經(jīng)驗(yàn)的專家，他在采訪中強(qiáng)調(diào)“安全是生態(tài)共同責(zé)任”，并介紹了CertiK如何依托AI驅(qū)動的審計(jì)、形式化驗(yàn)證及與全球監(jiān)管機(jī)構(gòu)的緊密合作，為Web3項(xiàng)目提供全生命周期安全解決方案。

在本次專訪中，Matt Wang不僅系統(tǒng)闡述了CertiK的技術(shù)戰(zhàn)略與“安全優(yōu)先”理念，還提到了CertiK近期因在zkEVM研究中的突出表現(xiàn)，獲得了以太坊基金會資助，并在“Ethereum Attackathon 2025”中取得第三名的佳績。

作為Web3安全公司，CertiK將不斷拓展技術(shù)邊界，優(yōu)化全生命周期安全服務(wù)，持續(xù)護(hù)航全球Web3生態(tài)的創(chuàng)新與合規(guī)發(fā)展。

以下為專訪全文：

TokenPost專訪Matt Wang：“Web3安全的關(guān)鍵在于事前防御，CertiK是生態(tài)系統(tǒng)的盾牌”

在數(shù)字資產(chǎn)市場迅速擴(kuò)張的當(dāng)下，Web3安全仍是關(guān)鍵課題。一位兼具傳統(tǒng)ICT與區(qū)塊鏈經(jīng)驗(yàn)的CertiK安全專家，強(qiáng)調(diào)“安全是生態(tài)共同的責(zé)任，單次審計(jì)遠(yuǎn)遠(yuǎn)不夠”。通過AI應(yīng)用、形式化驗(yàn)證以及與監(jiān)管機(jī)構(gòu)的深度合作，CertiK正在助力全球Web3項(xiàng)目提升可信度與安全性。

隨著數(shù)字資產(chǎn)行業(yè)的高速發(fā)展，作為Web3生態(tài)核心基礎(chǔ)的區(qū)塊鏈技術(shù)，仍然面臨著“安全”這一根本挑戰(zhàn)。智能合約、跨鏈橋、去中心化應(yīng)用等技術(shù)不斷演進(jìn)，攻擊面也隨之?dāng)U大，一次安全事故便可能成為項(xiàng)目生死存亡的轉(zhuǎn)折點(diǎn)。

在此背景下，擁有14年ICT與區(qū)塊鏈行業(yè)經(jīng)驗(yàn)的實(shí)戰(zhàn)型安全專家Matt Wang，現(xiàn)作為CertiK的審計(jì)合伙人，在IXO?的演講引發(fā)了業(yè)界的廣泛關(guān)注。他指出：“Web3安全是整個生態(tài)的共同責(zé)任”，并強(qiáng)調(diào)構(gòu)建具備事前預(yù)防、實(shí)時響應(yīng)能力的結(jié)構(gòu)性安全體系至關(guān)重要。

在本次專訪中，Matt Wang深入分享了CertiK的技術(shù)戰(zhàn)略、AI驅(qū)動的審計(jì)系統(tǒng)、與全球監(jiān)管機(jī)構(gòu)的合作經(jīng)驗(yàn)以及公司的中長期發(fā)展路線圖。

Q：請您簡單介紹一下自己和CertiK。

我曾在移動通信核心網(wǎng)絡(luò)領(lǐng)域工作了7年，隨后在區(qū)塊鏈行業(yè)積累了7年經(jīng)驗(yàn)，涉及DApp、協(xié)議開發(fā)、中心化交易所及安全等多個方向。我擁有傳統(tǒng)ICT體系和去中心化環(huán)境的實(shí)戰(zhàn)經(jīng)驗(yàn)，在區(qū)塊鏈領(lǐng)域，我最初擔(dān)任核心開發(fā)人員，目前是CertiK的安全專家。

CertiK成立于2017年12月，由耶魯大學(xué)和哥倫比亞大學(xué)的兩位教授共同創(chuàng)辦，是一家全球領(lǐng)先的Web3安全服務(wù)公司。公司提供智能合約審計(jì)、鏈上監(jiān)控、實(shí)時威脅響應(yīng)等全方位的安全解決方案，覆蓋項(xiàng)目從早期孵化到成熟階段的整個開發(fā)生命周期，服務(wù)規(guī)模在行業(yè)中首屈一指。

Q：是什么契機(jī)讓您投身區(qū)塊鏈安全并加入CertiK？您最重視的Web3安全理念是什么？

起初，作為Cosmos生態(tài)的核心開發(fā)者，我被Web3技術(shù)的開放性與創(chuàng)新性深深吸引。但在反復(fù)目睹黑客攻擊和漏洞帶來的嚴(yán)重后果后，我逐漸意識到，保護(hù)生態(tài)系統(tǒng)的安全與建設(shè)生態(tài)本身同等重要。正是在這一過程中，我與CertiK結(jié)緣，并堅(jiān)定了為守護(hù)生態(tài)根本安全性貢獻(xiàn)力量的信念。

我始終認(rèn)為Web3安全是一種“共同責(zé)任”。要領(lǐng)先于攻擊者一步，就需要持續(xù)且前置的防御投入。在我看來，審計(jì)人員是Web3世界中的“平衡者”，肩負(fù)著保障公平與穩(wěn)定的重要角色。

Q：盡管安全技術(shù)不斷發(fā)展，但交易所遭受攻擊的事件仍頻頻發(fā)生。您認(rèn)為主要原因是什么？根本性的解決思路又是什么？

造成這一現(xiàn)象的原因有很多，但我認(rèn)為主要包括以下四點(diǎn)：

• 系統(tǒng)結(jié)構(gòu)過于復(fù)雜：隨著鏈上與鏈下組件、跨鏈橋、API、托管服務(wù)等功能高度集成，攻擊面不斷擴(kuò)大。

• 攻擊手法持續(xù)演化：黑客不再僅依賴代碼漏洞，還使用網(wǎng)絡(luò)釣魚、內(nèi)部人員威脅、社會工程學(xué)攻擊等多種方式進(jìn)行攻擊。

• 運(yùn)營層面存在空白：密鑰管理薄弱、權(quán)限控制不嚴(yán)、事故響應(yīng)流程缺失等問題尤為致命。

• 安全態(tài)度過于被動：很多團(tuán)隊(duì)誤以為“一次審計(jì)就夠了”，忽視了安全的持續(xù)性和動態(tài)性。

作為解決方案，我想強(qiáng)調(diào)以下幾點(diǎn)：

• 將安全理念貫穿于開發(fā)與運(yùn)維全過程，落實(shí)“安全優(yōu)先（Security by Design）”原則；

• 建立分層防御體系，包括基于AI的監(jiān)測、形式化驗(yàn)證、訪問控制和團(tuán)隊(duì)身份驗(yàn)證等多層防御體系；

• 構(gòu)建具備實(shí)時發(fā)現(xiàn)與響應(yīng)能力的安全響應(yīng)機(jī)制，快速遏制與恢復(fù)問題；

• 面向全體員工開展持續(xù)培訓(xùn)，了解最新的攻擊方式。

Q：當(dāng)前AI與區(qū)塊鏈正在加速融合，CertiK是如何將AI應(yīng)用于審計(jì)流程的？

AI已成為CertiK審計(jì)戰(zhàn)略的核心，我們主要聚焦兩個方向：

漏洞檢測：CertiK利用AI技術(shù)對鏈上攻擊的預(yù)警數(shù)據(jù)進(jìn)行解析，提供漏洞成因和攻擊手法的技術(shù)分析。

審計(jì)流程優(yōu)化：CertiK利用AI進(jìn)行已知漏洞模式掃描、代碼邏輯輔助分析和報告生成優(yōu)化，從而提升專家審計(jì)的效率。

鑒于攻擊者也在積極使用AI，我們認(rèn)為防御方必須借助AI實(shí)現(xiàn)前瞻性防御與自動化分析，才能真正建立優(yōu)勢。

Q：近年來，美國、韓國等地紛紛加快穩(wěn)定幣監(jiān)管步伐。您認(rèn)為最基本的安全標(biāo)準(zhǔn)是什么？CertiK又如何制定審計(jì)策略？

各國監(jiān)管正迅速落地，新加坡金融管理局 (MAS)、歐洲金融監(jiān)管局 (MiCA) 和中國香港金融管理局 (HKMA)等機(jī)構(gòu)已發(fā)布穩(wěn)定幣監(jiān)管指南，其共同目標(biāo)是：用戶保護(hù)、法律清晰性與金融體系穩(wěn)定。

CertiK在這一趨勢下采取以下策略：通過智能合約安全審計(jì)，確保技術(shù)架構(gòu)的穩(wěn)定性；協(xié)助完善白皮書、風(fēng)險管理政策與贖回機(jī)制等合規(guī)文檔；借助與MAS、HKMA等機(jī)構(gòu)的合作經(jīng)驗(yàn)，為不同地區(qū)項(xiàng)目提供本地化的指導(dǎo)方案。

我們希望成為連接技術(shù)與合規(guī)之間的橋梁，幫助穩(wěn)定幣項(xiàng)目兼顧安全性與合規(guī)性。

Q：據(jù)悉，CertiK與多家監(jiān)管機(jī)構(gòu)有深入合作，能否分享一次印象深刻的合作經(jīng)歷？

讓我印象最深的是與中國香港金融監(jiān)管機(jī)構(gòu)的合作。CertiK曾向中國香港金融管理局（HKMA）和財(cái)經(jīng)事務(wù)及庫務(wù)局（FSTB）提交了兩份穩(wěn)定幣監(jiān)管框架建議書，均被采納。

此外，我們還與數(shù)碼港合作，面向本地Web3企業(yè)開展安全教育培訓(xùn)。許多企業(yè)在申請牌照過程中，均獲得了CertiK在安全架構(gòu)設(shè)計(jì)與審計(jì)方面的支持。

這些經(jīng)歷表明，安全專家不僅在項(xiàng)目中至關(guān)重要，在監(jiān)管政策的制定過程中同樣能發(fā)揮重要作用。

Q：目前CertiK在安全技術(shù)方面的重點(diǎn)聚焦領(lǐng)域有哪些？是否可以分享一些最新成果？

我們正在將形式化驗(yàn)證技術(shù)從智能合約拓展至更復(fù)雜的結(jié)構(gòu)，例如共識機(jī)制、跨鏈橋與零知識證明。代表性成果包括zkWasm、TON主鏈、以及螞蟻集團(tuán)的HyperEnclave TEE項(xiàng)目。

此外，CertiK還獲得了以太坊基金會關(guān)于zkEVM形式化驗(yàn)證的兩項(xiàng)研究資助，并在“Ethereum Attackathon 2025”中提交了20份有效漏洞報告，榮獲總排名第三。作為比賽中唯一一支覆蓋三大執(zhí)行層節(jié)點(diǎn)客戶端的安全團(tuán)隊(duì)，CertiK的這一成就意義非凡。

Q：最后，請談?wù)凜ertiK未來的中長期發(fā)展方向。

面向未來，CertiK將聚焦三大核心方向，持續(xù)推進(jìn)安全能力的演進(jìn)。首先，在安全技術(shù)縱深發(fā)展方面，我們將把形式化驗(yàn)證從智能合約拓展至共識協(xié)議、跨鏈架構(gòu)等更復(fù)雜的系統(tǒng)；其次，在AI集成方面，我們正致力于構(gòu)建融合AI分析、靜態(tài)分析與形式化驗(yàn)證的智能反饋系統(tǒng)，全面提升審計(jì)效率與準(zhǔn)確性；最后，在實(shí)時響應(yīng)體系上，我們將打造具備智能檢測與自適應(yīng)防護(hù)能力的可擴(kuò)展架構(gòu)，實(shí)現(xiàn)對安全威脅的即時發(fā)現(xiàn)與動態(tài)應(yīng)對。

隨著客戶需求的持續(xù)演進(jìn)，安全服務(wù)也必須不斷精進(jìn)。CertiK將繼續(xù)拓展全生命周期的安全解決方案，助力生態(tài)參與者在保障安全的基礎(chǔ)上實(shí)現(xiàn)創(chuàng)新突破。