CertiK联合创始人探讨Web3.0安全威胁与防御策略

近日，一家知名科技媒体对CertiK联合创始人兼CEO进行了专访。双方就该公司最新发布的安全报告，深入探讨了黑客攻击手法的演变以及安全防御技术的创新路径。

这位CEO强调，安全应被视为一项基础原则，而非事后的补救措施。他倡导在项目启动之初就将安全融入整体战略，认为"安全优先"的主动策略对于构建可信的Web3.0应用至关重要。具体而言，他建议积极运用形式化验证、零知识证明、多方计算等前沿技术，全面增强区块链协议和智能合约的防护能力。

这种对安全的坚持并非短期市场趋势的产物，而是源自该CEO对技术理想的长期探索与实践。从参与研发被誉为"无懈可击"的操作系统，到如今为超5300亿美元的数字资产筑起安全护城河，他始终致力于守护行业安全，提升行业信任。

这位CEO多次表示，安全不是竞争优势，而是共同责任。他将实验室的学术成果转化为行业落地的安全实践，也将"共同责任"的理念融入行业协作。这位从顶尖学院走出的技术领袖，正以数学逻辑的可验证性对抗黑客攻击的不确定性，在技术理想与现实之间锚定Web3.0时代的安全坐标。

专访内容：守护Web3.0前沿阵地——区块链安全威胁与防御解析

在快速发展的Web3.0领域，区块链安全已成为重中之重。CertiK由一位哥伦比亚大学计算机科学教授领导，致力于全面强化区块链生态系统的安全防护。该公司通过形式化验证技术提升区块链和智能合约的安全性，已成为Web3.0安全的行业领跑者。

最新发布的安全报告揭示了数字资产盗窃和安全威胁的新趋势。报告还探讨了零知识证明、多方计算等前沿技术，向区块链开发者提供实用建议，并分析了AI在安全领域的双重角色。随着传统金融机构逐步涉足区块链，安全挑战也随之升级，主动措施保护用户和维护生态系统的完整性变得至关重要。

Q：请简单介绍一下您自己以及CertiK的核心使命。

A：我是CertiK的联合创始人兼CEO，同时也是哥伦比亚大学的教授。我与CertiK的使命都深深植根于加强Web3.0生态系统的安全性。

CertiK成立于2017年，核心理念是利用形式化验证技术，持续监控和强化区块链协议与智能合约的安全，确保其安全、正确的运行。我们整合来自学术界与产业界的前沿方案，助力Web3.0应用在保障安全的前提下实现可持续扩展。至今，我们已为超过4,900家企业客户提供服务，累计保护超5,300亿美元的数字资产，识别出超过11.5万个代码漏洞。

Q：CertiK最近发布的安全报告有哪些关键发现？

A：2025年第一季度，链上诈骗事件导致的损失约为16.6亿美元，较上一季度暴涨了303%。这主要归因于2月底某交易所被黑事件，黑客从中窃取了约14亿美元。与前几个季度类似，本季度以太坊仍是主要遭受攻击的目标，3起安全事件共造成15.4亿美元的资产损失。更令人震惊的是，我们发现第一季度仅有0.38%被盗资产被成功追回。

Q：相比之前的季度，区块链攻击的主要目标是否发生了变化？

A：2025年第一季度的趋势延续了2024年末的态势，以太坊仍是攻击重灾区。2024年第四季度以太坊上共发生99起安全事件，而第一季度为93起。这是一个持续的主题：在整个2024年，基于以太坊的项目经历了最多的安全事件；展望2025年，这个情况似乎还在持续。

某交易所被黑事件也是一例典型案例：基于以太坊生态的钱包遭到入侵，蒙受重大损失。以太坊成为攻击焦点的原因在于其DeFi协议众多，锁仓资产规模巨大；另一方面，以太坊上众多的智能合约中，不少都存在漏洞。

Q：面对愈加复杂的攻击手法，区块链安全行业如何应对？

A：攻击者越来越多地利用社会工程学、AI技术、智能合约操纵等复杂的策略，来绕过现有的安全防护机制。随着数字资产的广泛应用和估值提升，行业必须适应新的形势，确保项目完整性与用户资产安全。

行业正积极应对挑战，推动包括零知识证明（ZKP）和链上安全等创新技术的发展，这些技术为日益严峻的安全问题提供了富有前景的解决方案，可在保护隐私的同时实现交易可审计、攻击溯源以及资产追回的可能性。多方计算（MPC）则通过将私钥的控制权限分散至多个参与方，进一步强化了密钥管理，从而消除了单点故障风险，并显著提升了攻击者未经授权访问钱包的难度。随着这些安全技术的不断演进，在抵御黑客攻击、维护去中心化生态系统完整性方面将发挥至关重要的作用。

Q：您会给区块链开发者和项目团队哪些安全建议？

A：从一开始就将安全放在优先位置，应该是一项不可妥协的原则。将安全融入开发的每一个阶段，而不是事后补救，有助于提早发现潜在漏洞，从长远来看能够节省大量时间和资源。这种"安全优先"的主动策略，对于打造可信Web3.0应用的基础至关重要。将安全融入开发全流程，有助于提前发现漏洞，节省后期修复成本。

此外，寻求区块链安全机构进行全面、公正的第三方审计，也能提供独立视角，发现内部团队可能忽视的潜在风险。这类外部评估提供了关键的审查环节，有助于及时识别并修复漏洞，从而增强项目整体的安全性，进一步提升用户的信任。

Q：AI在区块链安全中扮演怎样的角色？是积极的影响还是带来了新风险？

A：AI是我们安全体系的重要工具，我们也已将其纳入保障区块链系统安全的核心战略之一。我们利用AI技术分析智能合约中的漏洞和潜在的安全缺陷，帮助我们以比以往更高效的方式完成全面审计，但它并不能取代人工专家审计团队。

然而，攻击者同样可以利用AI来强化其攻击手段。例如，AI可被用来识别代码弱点、规避共识机制、防御系统。这意味着安全对抗的门槛被抬高，随着AI应用的日益普及，行业必须投入更强大的安全解决方案。

Q：什么是形式化验证？它如何提升区块链审计的效果？

A：形式化验证是一种通过数学手段证明计算机程序按预期运行的方法。它通过将程序的属性表达为数学公式，并借助自动化工具对其进行验证。

该技术可广泛应用于技术行业的各个领域，包括硬件设计、软件工程、网络安全、AI以及智能合约审计。但需要强调的是，形式化验证并非用于取代人工审计。对于智能合约而言，形式化验证依赖自动化方法来评估合约逻辑和行为，而人工审计则由安全专家对代码、设计和部署进行全面检查，以识别潜在的安全风险。两者相辅相成，共同提升智能合约的整体安全性。

Q：随着传统金融机构进入区块链赛道，您认为安全威胁的类型或复杂程度会发生变化吗？

A：在Web3.0和区块链行业的早期阶段，攻击者通常以个人用户或小型项目为目标，手段包括钓鱼攻击、RugPull和钱包漏洞利用等。据我们发布的最新季度报告显示，这些挑战依然存在。然而，随着传统机构和大型企业的加入，网络完整性的安全风险也将进入新阶段。这一转变背后，既有项目资产体量的上升，也涉及企业级应用的独特安全需求、监管要求，以及区块链与传统金融体系的深度融合。

鉴于大多数传统机构具备应对网络威胁的经验，我们预计恶意行为者也将提升攻击手段的复杂性，从以往对通用钱包漏洞的攻击，转向更具针对性的企业级弱点，例如配置错误、自定义智能合约漏洞，以及与传统系统集成接口中的安全缺陷。