CertiK联合创始人顾荣辉谈区块链安全：从学术理想到行业实践

近日，一家科技媒体对CertiK联合创始人兼CEO顾荣辉教授进行了专访。双方围绕该公司最新发布的安全报告，深入探讨了黑客攻击手法的演变和安全防御技术的创新路径。

顾荣辉强调，安全应被视为一项基础原则，而非事后的补救措施。他提倡将安全理念融入项目的整体战略中，从一开始就贯彻"安全优先"的理念。具体而言，他建议积极运用形式化验证、零知识证明、多方计算等前沿技术，全面提升区块链协议和智能合约的防护能力。这也正是他创立CertiK的初衷和愿景——通过严谨的形式化验证技术，构建一个更加安全可信的Web3.0生态系统。

顾荣辉对安全的坚持源于他长期以来对技术理想的探索与实践。从在耶鲁大学攻读博士期间参与研发被誉为"无懈可击"的操作系统，到如今为数万亿美元的数字资产提供安全保障，他始终致力于守护行业安全，提升整个生态系统的可信度。

作为一位从顶尖学府走出的技术领袖，顾荣辉正将数学逻辑的可验证性与黑客攻击的不确定性进行对抗，在理想与现实之间为Web3.0时代定义新的安全标准。他多次强调，安全不应被视为竞争优势，而是整个行业的共同责任。这一理念不仅体现在将学术成果转化为实际应用上，更融入了他对行业协作的倡导中。

以下是专访的主要内容：

区块链安全：Web3.0发展的基石

在快速演进的Web3.0领域，区块链安全已成为至关重要的话题。CertiK作为行业领先的安全公司，致力于通过创新技术全面强化区块链生态系统的安全防护。公司采用形式化验证等先进方法，不断提升区块链和智能合约的安全性，已成为Web3.0安全领域的标杆。

最新发布的季度安全报告揭示了数字资产盗窃和安全威胁的新趋势。报告还探讨了零知识证明、多方计算等前沿技术在安全防御中的应用，为区块链开发者提供了实用建议。随着传统金融机构逐步进入区块链领域，安全挑战也随之升级，采取主动防御措施以保护用户和维护生态系统完整性变得愈发重要。

CertiK的使命与成就

顾荣辉介绍，CertiK成立于2017年，核心理念是利用形式化验证技术，持续监控和强化区块链协议与智能合约的安全，确保其安全、正确的运行。公司整合了学术界与产业界的前沿方案，助力Web3.0应用在保障安全的前提下实现可持续扩展。

迄今为止，CertiK已为近5000家企业客户提供服务，累计保护超5000亿美元的数字资产，识别出超11万个代码漏洞。这些成就充分展现了公司在区块链安全领域的领先地位和影响力。

2025年第一季度安全报告要点

根据CertiK最新发布的季度报告，2025年第一季度链上诈骗事件导致的损失约为16.6亿美元，较上一季度大幅增长303%。这主要归因于2月底发生的一起重大交易所黑客事件，造成约14亿美元的损失。

以太坊仍然是黑客攻击的主要目标，本季度共发生3起重大安全事件，造成15.4亿美元的资产损失。更令人担忧的是，仅有0.38%的被盗资产成功追回，凸显了资产追回的困难性。

攻击趋势与安全策略

2025年第一季度的攻击趋势延续了2024年末的态势，以太坊生态系统仍是黑客的主要目标。这主要是因为以太坊上存在大量DeFi协议和巨额锁仓资产，同时许多智能合约中仍存在漏洞。

面对日益复杂的攻击手法，区块链安全行业正积极应对。零知识证明、多方计算等创新技术正被广泛应用，以增强交易的隐私保护和可审计性，同时提高资产追回的可能性。这些技术的发展将在抵御黑客攻击、维护去中心化生态系统完整性方面发挥关键作用。

给开发者的建议

顾荣辉强调，将安全理念融入开发的每一个阶段至关重要。他建议开发者和项目团队：

1. 从项目启动之初就将安全放在首要位置
2. 将安全考虑融入开发的全过程，而非事后补救
3. 寻求专业安全机构进行全面、公正的第三方审计

这种"安全优先"的策略不仅有助于及早发现潜在漏洞，长远来看还能节省大量时间和资源。同时，第三方审计能提供独立视角，发现内部团队可能忽视的风险，进一步增强项目的整体安全性和用户信任。

AI在区块链安全中的双刃剑效应

AI技术在区块链安全领域扮演着越来越重要的角色。CertiK已将AI纳入其核心安全战略，利用AI技术分析智能合约中的漏洞和潜在安全缺陷，提高审计效率。然而，AI并不能完全取代人工专家审计团队的作用。

同时，攻击者也可能利用AI来强化攻击手段，如识别代码弱点、规避共识机制等。这意味着安全对抗的门槛被抬高，行业需要投入更强大的安全解决方案来应对这一挑战。

形式化验证的作用

形式化验证是一种通过数学手段证明计算机程序按预期运行的方法。它通过将程序的属性表达为数学公式，并借助自动化工具进行验证。这一技术可广泛应用于硬件设计、软件工程、网络安全、AI以及智能合约审计等领域。

对于智能合约而言，形式化验证能自动评估合约逻辑和行为，而人工审计则由安全专家全面检查代码、设计和部署，以识别潜在风险。两种方法相辅相成，共同提升智能合约的整体安全性。

传统金融机构进入带来的新挑战

随着传统金融机构进入区块链领域，安全威胁的类型和复杂程度也在发生变化。早期阶段的攻击主要针对个人用户或小型项目，如钓鱼攻击、RugPull等。然而，随着大型机构的加入，网络安全风险将进入新阶段。

这一转变不仅涉及项目资产规模的增长，还包括企业级应用的独特安全需求、监管要求，以及区块链与传统金融系统的深度融合所带来的挑战。

预计未来攻击者将提升攻击手段的复杂性，从针对通用钱包漏洞转向更具针对性的企业级弱点，如配置错误、自定义智能合约漏洞，以及与传统系统集成接口中的安全缺陷。这要求安全行业不断创新，开发更先进的防御策略来应对这些新兴威胁。