韓媒專訪CertiK審計合伙人：Web3安全關鍵在“事前防御”

在韓國IXO?區(qū)塊鏈大會期間，CertiK審計合伙人Matt Wang接受韓國知名區(qū)塊鏈媒體TokenPost專訪。作為兼具傳統(tǒng)ICT背景與區(qū)塊鏈實戰(zhàn)經驗的專家，他在采訪中強調“安全是生態(tài)共同責任”，并介紹了CertiK如何依托AI驅動的審計、形式化驗證及與全球監(jiān)管機構的緊密合作，為Web3項目提供全生命周期安全解決方案。

在本次專訪中，Matt Wang不僅系統(tǒng)闡述了CertiK的技術戰(zhàn)略與“安全優(yōu)先”理念，還提到了CertiK近期因在zkEVM研究中的突出表現(xiàn)，獲得了以太坊基金會資助，并在“Ethereum Attackathon 2025”中取得第三名的佳績。

作為Web3安全公司，CertiK將不斷拓展技術邊界，優(yōu)化全生命周期安全服務，持續(xù)護航全球Web3生態(tài)的創(chuàng)新與合規(guī)發(fā)展。

以下為專訪全文：

TokenPost專訪Matt Wang：“Web3安全的關鍵在于事前防御，CertiK是生態(tài)系統(tǒng)的盾牌”

在數(shù)字資產市場迅速擴張的當下，Web3安全仍是關鍵課題。一位兼具傳統(tǒng)ICT與區(qū)塊鏈經驗的CertiK安全專家，強調“安全是生態(tài)共同的責任，單次審計遠遠不夠”。通過AI應用、形式化驗證以及與監(jiān)管機構的深度合作，CertiK正在助力全球Web3項目提升可信度與安全性。

隨著數(shù)字資產行業(yè)的高速發(fā)展，作為Web3生態(tài)核心基礎的區(qū)塊鏈技術，仍然面臨著“安全”這一根本挑戰(zhàn)。智能合約、跨鏈橋、去中心化應用等技術不斷演進，攻擊面也隨之擴大，一次安全事故便可能成為項目生死存亡的轉折點。

在此背景下，擁有14年ICT與區(qū)塊鏈行業(yè)經驗的實戰(zhàn)型安全專家Matt Wang，現(xiàn)作為CertiK的審計合伙人，在IXO?的演講引發(fā)了業(yè)界的廣泛關注。他指出：“Web3安全是整個生態(tài)的共同責任”，并強調構建具備事前預防、實時響應能力的結構性安全體系至關重要。

在本次專訪中，Matt Wang深入分享了CertiK的技術戰(zhàn)略、AI驅動的審計系統(tǒng)、與全球監(jiān)管機構的合作經驗以及公司的中長期發(fā)展路線圖。

Q：請您簡單介紹一下自己和CertiK。

我曾在移動通信核心網(wǎng)絡領域工作了7年，隨后在區(qū)塊鏈行業(yè)積累了7年經驗，涉及DApp、協(xié)議開發(fā)、中心化交易所及安全等多個方向。我擁有傳統(tǒng)ICT體系和去中心化環(huán)境的實戰(zhàn)經驗，在區(qū)塊鏈領域，我最初擔任核心開發(fā)人員，目前是CertiK的安全專家。

CertiK成立于2017年12月，由耶魯大學和哥倫比亞大學的兩位教授共同創(chuàng)辦，是一家全球領先的Web3安全服務公司。公司提供智能合約審計、鏈上監(jiān)控、實時威脅響應等全方位的安全解決方案，覆蓋項目從早期孵化到成熟階段的整個開發(fā)生命周期，服務規(guī)模在行業(yè)中首屈一指。

Q：是什么契機讓您投身區(qū)塊鏈安全并加入CertiK？您最重視的Web3安全理念是什么？

起初，作為Cosmos生態(tài)的核心開發(fā)者，我被Web3技術的開放性與創(chuàng)新性深深吸引。但在反復目睹黑客攻擊和漏洞帶來的嚴重后果后，我逐漸意識到，保護生態(tài)系統(tǒng)的安全與建設生態(tài)本身同等重要。正是在這一過程中，我與CertiK結緣，并堅定了為守護生態(tài)根本安全性貢獻力量的信念。

我始終認為Web3安全是一種“共同責任”。要領先于攻擊者一步，就需要持續(xù)且前置的防御投入。在我看來，審計人員是Web3世界中的“平衡者”，肩負著保障公平與穩(wěn)定的重要角色。

Q：盡管安全技術不斷發(fā)展，但交易所遭受攻擊的事件仍頻頻發(fā)生。您認為主要原因是什么？根本性的解決思路又是什么？

造成這一現(xiàn)象的原因有很多，但我認為主要包括以下四點：

• 系統(tǒng)結構過于復雜：隨著鏈上與鏈下組件、跨鏈橋、API、托管服務等功能高度集成，攻擊面不斷擴大。

• 攻擊手法持續(xù)演化：黑客不再僅依賴代碼漏洞，還使用網(wǎng)絡釣魚、內部人員威脅、社會工程學攻擊等多種方式進行攻擊。

• 運營層面存在空白：密鑰管理薄弱、權限控制不嚴、事故響應流程缺失等問題尤為致命。

• 安全態(tài)度過于被動：很多團隊誤以為“一次審計就夠了”，忽視了安全的持續(xù)性和動態(tài)性。

作為解決方案，我想強調以下幾點：

• 將安全理念貫穿于開發(fā)與運維全過程，落實“安全優(yōu)先（Security by Design）”原則；

• 建立分層防御體系，包括基于AI的監(jiān)測、形式化驗證、訪問控制和團隊身份驗證等多層防御體系；

• 構建具備實時發(fā)現(xiàn)與響應能力的安全響應機制，快速遏制與恢復問題；

• 面向全體員工開展持續(xù)培訓，了解最新的攻擊方式。

Q：當前AI與區(qū)塊鏈正在加速融合，CertiK是如何將AI應用于審計流程的？

AI已成為CertiK審計戰(zhàn)略的核心，我們主要聚焦兩個方向：

漏洞檢測：CertiK利用AI技術對鏈上攻擊的預警數(shù)據(jù)進行解析，提供漏洞成因和攻擊手法的技術分析。

審計流程優(yōu)化：CertiK利用AI進行已知漏洞模式掃描、代碼邏輯輔助分析和報告生成優(yōu)化，從而提升專家審計的效率。

鑒于攻擊者也在積極使用AI，我們認為防御方必須借助AI實現(xiàn)前瞻性防御與自動化分析，才能真正建立優(yōu)勢。

Q：近年來，美國、韓國等地紛紛加快穩(wěn)定幣監(jiān)管步伐。您認為最基本的安全標準是什么？CertiK又如何制定審計策略？

各國監(jiān)管正迅速落地，新加坡金融管理局 (MAS)、歐洲金融監(jiān)管局 (MiCA) 和中國香港金融管理局 (HKMA)等機構已發(fā)布穩(wěn)定幣監(jiān)管指南，其共同目標是：用戶保護、法律清晰性與金融體系穩(wěn)定。

CertiK在這一趨勢下采取以下策略：通過智能合約安全審計，確保技術架構的穩(wěn)定性；協(xié)助完善白皮書、風險管理政策與贖回機制等合規(guī)文檔；借助與MAS、HKMA等機構的合作經驗，為不同地區(qū)項目提供本地化的指導方案。

我們希望成為連接技術與合規(guī)之間的橋梁，幫助穩(wěn)定幣項目兼顧安全性與合規(guī)性。

Q：據(jù)悉，CertiK與多家監(jiān)管機構有深入合作，能否分享一次印象深刻的合作經歷？

讓我印象最深的是與中國香港金融監(jiān)管機構的合作。CertiK曾向中國香港金融管理局（HKMA）和財經事務及庫務局（FSTB）提交了兩份穩(wěn)定幣監(jiān)管框架建議書，均被采納。

此外，我們還與數(shù)碼港合作，面向本地Web3企業(yè)開展安全教育培訓。許多企業(yè)在申請牌照過程中，均獲得了CertiK在安全架構設計與審計方面的支持。

這些經歷表明，安全專家不僅在項目中至關重要，在監(jiān)管政策的制定過程中同樣能發(fā)揮重要作用。

Q：目前CertiK在安全技術方面的重點聚焦領域有哪些？是否可以分享一些最新成果？

我們正在將形式化驗證技術從智能合約拓展至更復雜的結構，例如共識機制、跨鏈橋與零知識證明。代表性成果包括zkWasm、TON主鏈、以及螞蟻集團的HyperEnclave TEE項目。

此外，CertiK還獲得了以太坊基金會關于zkEVM形式化驗證的兩項研究資助，并在“Ethereum Attackathon 2025”中提交了20份有效漏洞報告，榮獲總排名第三。作為比賽中唯一一支覆蓋三大執(zhí)行層節(jié)點客戶端的安全團隊，CertiK的這一成就意義非凡。

Q：最后，請談談CertiK未來的中長期發(fā)展方向。

面向未來，CertiK將聚焦三大核心方向，持續(xù)推進安全能力的演進。首先，在安全技術縱深發(fā)展方面，我們將把形式化驗證從智能合約拓展至共識協(xié)議、跨鏈架構等更復雜的系統(tǒng)；其次，在AI集成方面，我們正致力于構建融合AI分析、靜態(tài)分析與形式化驗證的智能反饋系統(tǒng)，全面提升審計效率與準確性；最后，在實時響應體系上，我們將打造具備智能檢測與自適應防護能力的可擴展架構，實現(xiàn)對安全威脅的即時發(fā)現(xiàn)與動態(tài)應對。

隨著客戶需求的持續(xù)演進，安全服務也必須不斷精進。CertiK將繼續(xù)拓展全生命周期的安全解決方案，助力生態(tài)參與者在保障安全的基礎上實現(xiàn)創(chuàng)新突破。