BlockBeatsは、CertiKの創設者である顧栄輝教授へのインタビューを公開しました。

2024年11月29日、Web3業界の権威的なメディア、Blockbeatsは、CertiKの創設者である顧栄輝教授へのインタビューを公開し、CertiKの独特な歴史を初期創設から発展まで紹介し、業界内の敏感な問題について回答しました。

以下はBlockbeatsのインタビュー全文です:

CertiKの共同創設者である顧荣辉教授へのインタビュー：

「盖章式审计」の波乱の中、CertiKの行く末はどうなるのか

暗号化業界では、セキュリティは各プロジェクトやプラットフォームの基盤です。ブロックチェーン技術の発展とデジタル資産の広範な利用に伴い、セキュリティの問題はますます注目されています。

2024年のシンガポール金融テクノロジーフェス（SFF）で、CertiKの共同創設者であり、コロンビア大学のコンピュータサイエンス教授である顧荣辉氏が、「コードを超え、信頼をリードする」と題した基調講演を行いました。顧教授は自身の学術的な旅や学術研究からWeb3セキュリティ企業CertiKを立ち上げるまでの経験を振り返り、「安全は競争上の優位性にとどまらず、共同の責任である」という核心的な理念を強調しました。

顧栄輝教授は講演で、2023年4月に分散型金融プロトコルMerlinが直面した200万ドルのハッカー攻撃が、ブロックチェーン業界全体に深刻な警告をもたらしたと述べました。

シンガポールフィンテックフェスティバルは、世界のフィンテックのトップイベントとして、シンガポール金融管理局（MAS）とElevandiの共催で開催されています。この機会に、BlockBeatsとCertiKの共同創設者である顧栄輝氏と話をしました。

アカデミックな始まりとCertiKの誕生

2010年代の清華園では、コンピュータサイエンスが徐々にエリート学生の熱い選択肢になっていました。しかし、多くのホットな研究を追求する学生たちとは異なり、顧荣辉はマイナーながらもデプスのある方向、つまり形式的認証を選択しました。この領域は、数学的証明を通じてソフトウェアシステムの正確性を保証することに焦点を当てており、コンパイラやオペレーティングシステムなどの基本的なインフラの中核的な保証となっています。国内でのスタートは遅れていましたが、形式的認証は常に高い需要があり、特にシステムのセキュリティと安定性の保証において重要な役割を果たしています。

清華大学在学中、顧栄輝は董元教授に師事し、初めて形式認証技術に触れた。 RA(Region-based Allocation)に参加した研究プロジェクトは、彼の理論的基礎を築きました。 清華大学での4年間は、学術研究に強い関心を抱き、より高いレベルの学術的ブレークスルーを追求するきっかけとなりました。 2012年に清華大学を卒業した後、顧栄輝はイェール大学に進学し、有名な学者である邵忠教授の下で研究を続けることを選びました。

イェール大学の研究室は、顧栄輝の学問的発祥の地であるだけでなく、彼が最初にブロックチェーン業界と接触した場所でもあります。 Shao Zhong教授の研究室で、Gu Ronghuiは暗号業界の伝説であるローストキャットに会いました。 2013年に姿を消す前に、Roast CatはすでにBTCマイニングリグ帝国を築いており、Gu Ronghuiはその時代の初期の歴史的証人でした。

具体的に言えば、焼き猫はCertiKの共同創設者である博士生、イェール中科大学の学生であり、顧栄輝の学長であり、イェール大学のコンピュータサイエンス301室のオフィスメイトでもある、邵中教授です。"当時、私はXCAPフレームワーク（CertiKのCTOである倪兆中博士の成果）を学んでおり、多くのCoqコードが理解できず、問題があるときはいつも焼き猫に尋ねていました。その当時のイェールでは、焼き猫はBTCを説いていました。"と顧栄輝は回想しています。

烤猫伝説の消失について、顧栄輝は何の内幕も知らない。「2013年に中国に戻り、蘇州（イェール中科大の実験室がある場所）で、烤猫は私を単独で火鍋に招待してくれました。それが最後に彼に会った時でした。その後、連絡がありませんでした。」

アカデミックイノベーションの商業化:CertiKOSからCertiKへ

イェール大学での研究経験は、顧氏が形式的認証の潜在的な可能性に敏感に気づくことを可能にしました。彼と彼のチームは、2016年にCertiKOSを成功裏に開発しました。これは、完全な形式的認証のマルチコアオペレーティングシステムカーネルとして世界で初めてのものです。

また、顧荣辉のチームは、完全に検証された商用クラウドハイパーバイザーシステムSeKVMを開発しました。Armとの協力により、Confidential Computing Architecture（CCA）の検証作業を完了しました。この成果は次世代ArmV9チップに適用されます。また、アリババグループとの協力により、HyperEnclaveシステムの検証作業も完了しました。

これらの成果は学界だけでなく、顧荣辉にも形式的認証技術が現実世界で広範に活用される可能性を見せました。CertiKOSの成功により、形式的認証は実験室に留まるべきではないことがわかりました。それは完全にブロックチェーンとWeb3領域に強力なセキュリティ保護を提供することができるのです。

そのため、顧荣辉と邵中教授は2018年1月にCertiKを共同設立しました。会社名は「CertiKOS」から来ており、「証明可能なセキュリティ」という意味を持っています。これは会社の核心的な理念の象徴でもあります。CertiKの目標は、形式的な認証の厳密さをブロックチェーンの領域にもたらし、デジタル資産に最高水準のセキュリティ保護を提供することです。

邵中教授と多くの清華大学とイエール大学の卒業生たちの支援を受けて、CertiKは「豪華」と言えるスタートアップチームを結成しました。チームメンバーは学術的なバックグラウンドだけでなく、豊富な業界経験も持っています。共同創設者の邵中教授は、中科大の少年クラス出身で、イエール大学のコンピューターサイエンス学科の学科長だけでなく、プリンストン大学の博士号を持つ世界的な学術権威でもあります。CTOの倪兆中博士は、清華大学とイエール大学の卒業生であり、世界情報オリンピックの総監督を務め、何度も学生を金メダルに導いてきました。チームの多くの重役や技術エキスパートも清華大学出身であり、情報学競技やコンピューター分野で何度も栄誉を受けています。こうした深い学術的な積み重ねと技術力により、CertiKは設立当初から業界内で注目されています。

創立後わずか2か月で、CertiKは種子ラウンドで350万ドルの資金調達を達成し、Lightspeed Venture Partnerがリードしました。急速な成長を遂げ、資本からの支持を受け続けています：2020年6月、IDG Capitalが700万ドルのシリーズAラウンドをリードしました；2021年から2022年にかけて、CertiKは4回の資金調達を連続して達成し、総評価額は200億ドルに跳ね上がりました。公開情報によると、2021年12月までにCertiKは収入が20倍に増加し、従業員数も4倍に増加しました。

急速な成長、迅速な資金調達、大規模な金額にもかかわらず、CertiKは控えめな姿勢を保ち続けています。 “2021年と2022年には、多くの投資家が私たちに資金提供を希望していましたが、私たちは大部分を拒否しました。CertiKのキャッシュフローは常に健全であり、戦略的な投資を求め、ビジネスを支援してくれるパートナーを歓迎しています。財務的な投資を得るためではなく、選択的に投資を受け入れています”と、顧荣辉は振り返ります。

製品のイノベーションから業界への影響まで：CertiKの台頭

業界のユニコーンになるには、豪華なチームだけでなく、優れた製品革新も必要です。

その過程で、CertiKはブロックチェーン業界の絶え間なく変化するニーズに応えて革新的な製品を発売し続けてきました。 その中で、2022年にローンチした「CertiK Skynet for Community」は、Web3ユーザー向けのプロジェクトセキュリティ情報検索エンジンです。 このプラットフォームは、一般ユーザーにセキュリティスコアを提供し、プロジェクトのリスクをより適切に評価するのに役立ち、業界がセキュリティ意識を普及させるための基盤を築きます。

2023年、CertiKはSkyInsightsをさらに展開し、プロジェクト向けのリアルタイムモニタリングツールを提供しました。 SkyInsightsは効率的でコストメリットも備えており、プロジェクトが変動の激しい市場で安全性とコンプライアンスを維持するのを支援することができます。このツールは、プロジェクトチームが複雑なWeb3環境で安全な運用を確保するための重要な道具となりました。

2024年、CertiKは再び製品マトリックスをアップグレードし、2つの影響力のある新しいプロジェクトを立ち上げました。CertiK Questは、質問と知識カードの形式で、ユーザーにWeb3に関連するセキュリティ知識を普及し、業界全体により広範なセキュリティ意識を醸成しました。同時に、CertiK Venturesは4,500万ドルの投資計画を発表し、資金、技術、人材支援を通じてWeb3領域の有望なスタートアッププロジェクトの成長を支援することを目指しています。この戦略的布陣は、CertiKの業界内での影響力を高めるだけでなく、セキュリティ分野のリーダーとしての地位を強化しました。

さらに、CertiKは製品ラインをアップグレードし、"全生命周期セキュリティソリューション"の考え方を提案しました。このソリューションは、プロジェクトの初期段階から成功までの成長のすべての段階をカバーし、Web3エコシステムのすべての側面にセキュリティデプスを組み込み、「Elevating Your Entire Web3 Journey」という新しいスローガンを採用しています。CertiKはセキュリティサービスをより具体的な対象に焦点を当てており、プロジェクト、取引プラットフォーム、ウォレット、エンドユーザーなど、カスタマイズされたソリューションを提供することで、包括的なセキュリティ保護を確保しています。

多くのプロジェクトは、セキュリティをオンライン化する前の一度限りのセキュリティ監査と考えます。それを時間の経過点のサービスとして扱いますが、セキュリティはプロジェクト全体のライフサイクルに伴うものです。私たちは、ユーザーと一緒に早い段階からオンライン化、チェーン化、通貨化し、成熟期の運営までサポートできることを望んでいます。

CertiKのセキュリティエンジンは、その技術競争力の中核をなしています。このエンジンは、先進的な形式的認証、自動化スキャン、およびデプス規範分析などの技術に基づいており、セキュリティ専門家がコード中の潜在的な問題を効率的に発見するのを支援します。顧荣辉教授はこれを「セキュリティ専門家の知的な助手」と表現し、テキスト処理領域におけるChatGPTのような役割を果たしています。

このエンジンのモデルデータは、CertiKの多年にわたる監査の経験とナレッジベースに基づいています。これには、4700の顧客のコードサンプル、15万のセキュリティホール、および40以上の大規模な脆弱性の詳細なレポートが含まれています。これらのデータにより、エンジンはスマートコントラクトとブロックチェーンアプリケーションの潜在的な脆弱性を迅速に識別する強力な分析能力を提供します。

TON公链を例にとると、CertiKはコードの監査と形式的認証を提供するだけでなく、ローンチ後に性能テストやコミュニティの構築を支援しています。このような全体的なサポートは、従来のセキュリティ領域を超え、プロジェクトに多次元の付加価値を提供しています。これはCertiKが単一のサービスプロバイダーから「セキュリティパートナー」としての役割に転換していることを反映しています。

また、ブロックチェーン業界の普及とともに、CertiKは徐々にビジネス（企業向け）からコンシューマー（消費者向け）領域に視野を広げています。2024年、CertiKは無料のコミュニティセキュリティツールToken ScanとWallet Scanを導入し、一般ユーザーに簡単で使いやすいセキュリティ検査サービスを提供しました。これらのツールの導入により、セキュリティ技術の利用障壁が低くなっただけでなく、より多くの人々がWeb3セキュリティエコシステムの構築に参加できるようになりました。

CertiKは、これらのツールを通じて、C端ユーザーがより強力なセキュリティ意識と予防能力を持つことを望んでいます。 Gu Ronghui氏は率直に述べています:"CertiKは4700社の顧客にサービスを提供し、15万件のセキュリティの脆弱性を見つけ、40以上の重大な脆弱性を報告しました。私たちがコミュニティに非常に大きな貢献をしたと言えますが、C端および開発者コミュニティにとってはまだ不十分です。"将来、CertiKはさらに多くの無料セキュリティツールを提供し、コミュニティのサポートに報い、業界の健全な発展を促進する予定です。

明確化と対応:「スタンプ付き監査」に関する誤解。

技術の急速な進化と複雑で多様な安全要件が存在する領域では、論争は避けられません。 「押印方式」の監査に対する批判から、一部のプロジェクトに問題が発生した後の世論の疑問に至るまで、CertiKは一般市民と業界から多くの試練を経験してきました。これらの問題にどう向き合い、その背後にある原因を明らかにすると同時に、業界の発展により大きな貢献をするか、それがCertiKにとって避けられない使命となっています。

セキュリティ監査は、本質的には、特定の時点のコードのセキュリティの専門評価であり、プロジェクト全体のライフサイクルの総合的な保護ではありません。CertiKは監査サービスの提供者として、いくつかの現実的な課題に直面しています。

コード範囲の制限：多くのプロジェクトが、監査提出時に部分的なコードやテストバージョンのコードのみを提供しています。これは、監査がこれらの内容に基づいてリスク評価を行うことしかできず、プロジェクト全体のコードベースをカバーすることはできないことを意味します。プロジェクトが公開された後、監査されていないコードの変更があると、セキュリティ上のリスクを引き起こす可能性があります。01928374656574839201

監査後の変更: 監査後すぐに公開するために、コードにいくつかの変更または新機能が加えられますが、これらの変更は監査されていません。 この「フォローアップの変更」は、多くの場合、初期監査の省略ではなく、セキュリティインシデントの主な原因です。

コストとリソース：包括的で深いセキュリティ監査には高いコストがかかり、すべてのプロジェクトが負担できるわけではありません。有名なプロジェクトであっても、予算の問題から全体のコードを網羅するのではなく、一部の監査を選択することがあり、これにより潜在的なリスクがさらに増大します。

監査と実行の断層：CertiKが詳細なリスクアドバイスや最適化策を提供したとしても、最終的な実施はプロジェクトの責任です。ただし、一部のプロジェクトは監査アドバイスや改善策を完全に実施していないため、これも安全上の問題が発生する別の重要な原因となっています。

疑問に直面した場合、CertiKは自己の回答も提供しています。たとえば、2020年以降、CertiKはすべての監査報告を公開し、ユーザーやコミュニティによる監視を受けています。この監査報告を公開する決定は、当時、会社内部、パートナー、さらには投資機関からも広く反対されていました。

「一度公になると、セキュリティ事故が発生した場合、皆がそれをCertiKに関連付けるでしょう。現時点では、他のセキュリティ企業がすべての監査情報を公開することに敢えて挑戦しないのは、問題に直面することを意味するからです。CertiKにとっては、情報の公開と透明性は二重刃の剣ですが、業界にとっては積極的な推進力です。」と顧荣辉は説明しています。

「この選択がCertiKにとって挑戦をもたらす場合でも、業界にとって有益であれば、CertiKは断固として実行します。2020年から現在まで、CertiKは初心を守り続けており、プロジェクトに問題が発生しても、それに伴う負の影響を受け入れています。今日に至るまで、私たちは報告書をウェブサイトで公開し続けます。」と顧荣辉は述べています。

また、これらの問題を解決するために、CertiKはCertiKスカイネットランキングとセキュリティ評価システムを導入し、監査報告の透明性と真実性を高めています。ランキングとプロジェクト情報ページを通じて、監査報告のアクセス可能性と真実性を確保し、改ざんや偽造のリスクを回避しています。CertiKのセキュリティ評価システムは、オンチェーンデータ、GitHubのコードリポジトリ、監査情報、コミュニティの状況など、複数の側面を総合的に考慮し、ユーザーにより包括的なプロジェクトのセキュリティ情報を提供しています。

また、CertiKはQuest機能も導入しており、これは質問応答の報酬メカニズムであり、コミュニティにより多くの技術的な詳細やセキュリティに関する知識を提供することを目指しています。この方法により、ユーザーはプロジェクトのセキュリティに関する情報をより深く理解し、セキュリティの役割を理解することができます。

Web3のセキュリティ領域は常に「完全なセキュリティ」の保証ではなく、技術とリスクのゲームのダイナミックなバランスです。CertiKはこのプロセスで、技術的な制約やプロジェクトの実行上の問題に直面するだけでなく、一般の疑問にも対応する責任を負っています。

危機的状況における責任

Web3の世界では、ハッカー行為の境界は従来のインターネットよりも曖昧です。従来の「ホワイトハッカー」と「ブラックハッカー」の間には、Web3には多くのグレーゾーンが存在します。例えば、一部のハッカーは「公共利益」のために脆弱性を公開すると主張していますが、その行為が既存の法律に適合しているとは限りません。このような複雑さはセキュリティ企業にさらなる挑戦をもたらしています。

2020年以降、CertiKは70回以上のホワイトハットアクションを実施し、厳格なホワイトハットの原則を遵守し、ユーザーや一般の利益を損なわずに数万件のセキュリティの脆弱性を発見し修復してきました。例えば、CertiKは重大な脆弱性を発見したことでSUIプロジェクトから最高の豪華報酬を受け取りました。CertiKは業界をリードするオンチェーンでのリアルタイム攻撃監視および警告能力を持ち、特にラザルスグループ関連の事件の資金流れを重点的に追跡し、業界に貴重なセキュリティ保護の経験を提供しています。

しかし、CertiKは、技術だけでは問題を完全に解決することができないことを十分に理解しています。Web3のセキュリティの問題は、技術のレベルだけでなく、人間性と信頼の複雑な相互作用に関わっています。

例えば、Merlin事件では、裏で暗躍した犯人はコードの欠陥ではなく、プロジェクト内の人間の悪意のある行為でした。CertiKは厳格なバックグラウンド調査とリアルタイム監視により、内部の脅威を防ぐためのメカニズムをさらに改善しました。

さらに、CertiKは別の取引プラットフォームに任意の指定価格の脆弱性を報告しましたが、この警告はほぼ無料で提供されました。この脆弱性が見つからなかった場合、取引プラットフォームは存続の危機に直面する可能性があります。顧栄輝教授はあるインタビューで、「多くの場合、私たちの仕事は外部から見られないが、見えない努力こそが多くの潜在的な重大な損失を防止しています。」と述べています。

Web3というセキュリティの戦場において、ハッカー集団はますます巧妙化しており、Lazarus Groupはその代表格です。 このグループは、巧妙なソーシャルエンジニアリング攻撃、サプライチェーン攻撃、開発者になりすまして脆弱性を配置することで、世界中で多数のセキュリティインシデントを生み出しています。

CertiKは、Lazarus Groupと技術的に対峙するだけでなく、資金追跡ツールやアンチマネーロンダリングツールを通じて、資金の動きを継続的に監視しています。 2022年、Merlin事件の犯人がLazarusグループと関係があることが国連によって確認され、この事件におけるCertiKの調査作業は、ハッカーとの「0距離対決」のモデルと見なされました。 これにより、資金追跡、脆弱性スキャン、KYC(本人確認)などの分野でCertiKが包括的にアップグレードされました。

「Web3セキュリティ業界は、7x24の高度な警戒が必要であり、常にハッカーとの直接対決に備え、顧客とコミュニティの利益を守るために知恵と勇気を振り絞る必要があります。この戦いが永遠に終わることはないかもしれませんが、この特性こそがCertiKに強い使命感を与えています。私たちは初心を貫き、終始Web3の安全を守り抜くでしょう。」CertiKは述べています。

初心未改、CertiKはブロックチェーンの安全性とコンプライアンスをリードし、Web3エコシステムの新しい未来を共に築き上げます。

その後の道のりで、善を促進し、ホワイトハット精神を守ることに尽力しているCertiKは、ブロックチェーン業界の独角獣としての地位を維持するだけでなく、新たな責任と役割を積極的に担っています。現在、CertiKは5つの国と地域の規制当局との協力関係を築き、政策策定やコンプライアンス支援に重要な役割を果たしています。

顾荣辉教授はシンガポール金融管理局（MAS）国際技術コンサルティング委員会のメンバーとして、複数の重要なフレームワークの議論に参加しています。また、香港Web3開発専門チームのメンバーに招待され、デジタル資産管理規則の形成を推進するのを手伝っています。

シンガポールの金融技術フェアで、顧栄輝教授は講演者として彼の見解を共有しました。彼は「監視の核心は『管理できる、見える、実行可能』です。オンチェーン取引がますます複雑になる中で、安全問題は監視の重要な支柱の一つになっています。」と述べました。

CertiKの政府との協力は広範囲かつ深いものです。たとえば、CertiKは香港金融監督局および財務局と連携して、ステーブルコインの監督制度に関する提案に専門的な助言を提供しています。また、日本の金融庁（FSA）が行う日本円のステーブルコインコンプライアンス政策の草案作成に参加しています。マレーシアのデジタル経済開発局と協力し、MetaverseとWeb3の政策文書を共同で策定しています。さらに、韓国のソウル市および釜山市政府と提携し、ブロックチェーンセキュリティおよびリスク管理の技術サポートを提供しています。これらの取り組みは、CertiKの業界におけるリーダーシップを強化するだけでなく、業界の発展に対する深い責任感を示しています。

一方、 CertiK は、4500 万ドルの投資計画を立て、Web3 エコシステム内で高い潜在能力を持つ新興プロジェクトをサポートすることを目的とした、CertiK Ventures という投資部門を立ち上げると発表しました。この計画は、業界の将来に対する約束だけでなく、CertiK が技術プロバイダーからエコシステムの推進者への転換を果たすための重要な一歩です。

CertiK Venturesの投資の焦点は、安全性とインフラ関連プロジェクトにあり、特に持続可能でスケーラブルなビジネスモデルを持つ企業に焦点を当てています。CertiKは資金と技術支援を通じて、これらのプロジェクトが急速に成長する競争の激しい環境で目立ち、長期的な技術パートナーシップを構築する手助けをしたいと考えています。CertiK Venturesは2024年第四四半期から資金を配分し、2025年末まで継続的にプロジェクトを継続的にサポートする予定です。

政府の協力とVC部門の構築に加え、CertiKは最新の計画「21計画」を明らかにしました。この計画の目標は、21ヶ月以内に上場基準を達成し、クライアントインサイトファーストを中核戦略とすることです。CertiKは顧客のニーズに深く掘り下げ、顧客フィードバックに基づく製品の最適化とサービスの向上体系を構築することに努めています。

この計画のガイダンスのもと、CertiKは全生涯セキュリティーソリューションを立ち上げました。この罠案は、プロジェクトの概念段階からライブ化後の成長プロセス全体をカバーし、最初の設計レビューからコード監査、そしてライブ後のコミュニティ管理とパフォーマンス最適化までを含んでいます。CertiKはセキュリティーサービスを防御からサポートへと拡大し、Web3プロジェクトが安全な基盤の上で持続的なイノベーションを実現できるよう支援しています。

CertiKの将来に対する展望は、従来のセキュリティ領域を超えています。Web3が徐々に主流となる中、CertiKはサービス範囲を拡大し、より多くの伝統企業がブロックチェーンエコシステムにスムーズに参入するのを支援する予定です。ブル・マーケットとベア・マーケットが交互に訪れる環境に直面しても、CertiKはチーム構造を最適化し、技術力を強化することで持続的な上昇の基盤を築いています。