专访 CertiK 创始人：黑客攻击激增 300%，安全优先的破局之路

撰文： Monica Younsoo Chung，IT Times

4 月 17 日，韩国知名科技媒体《韩国 IT 时报》(Korea IT Times) 发布了对 CertiK 联合创始人兼 CEO 顾荣辉教授的专访。双方围绕 CertiK 一季度《HACK3D》安全报告，就黑客攻击手法的迭代和安全防御技术的创新路径等，展开深度对话。

顾荣辉认为，安全应被视为一项基础原则，而非事后的补救措施，应当自项目启动之初便融入整体战略，「『安全优先』的主动策略，对于打造可信 Web3.0 应用的基础至关重要」。具体而言，他提倡主动运用形式化验证、零知识证明、多方计算等前沿技术，全面增强区块链协议和智能合约的防护能力。这也正是其创立 CertiK 的初心和愿景，即通过严谨的形式化验证技术，让 Web3.0 世界更加安全，更值得信赖。

这种对安全的坚守并非短期市场趋势的产物，而是源自顾荣辉对技术理想的长期探索与实践，从耶鲁读博期间参与研发被谷歌团队誉为「无懈可击」的 CertiKOS 系统，到如今为超 5300 亿美元的数字资产筑起安全护城河，他始终致力于守护行业安全，提升行业信任。

顾荣辉曾多次提出，安全不是竞争优势，而是共同责任。他将实验室的学术成果转化为行业落地的安全实践，也将「共同责任」的理念融入行业协作。这位从顶尖学院走出的技术领袖，正以数学逻辑的可验证对抗黑客攻击的不确定性，在技术理想与现实之间锚定 Web3.0 时代的安全坐标。

在快速发展的 Web3.0 领域，区块链安全已成为重中之重。本文聚焦 CertiK 的使命——由其联合创始人、哥伦比亚大学计算机科学教授领导，致力于全面强化区块链生态系统的安全防护。CertiK 致力于通过形式化验证技术提升区块链和智能合约的安全性，已成为 Web3.0 安全的行业领跑者。

《韩国 IT 时报》深入解读了 CertiK 发布的《Hack3d：2025 第一季度安全报告》，揭示了数字资产盗窃和安全威胁的新趋势。文章还探讨了零知识证明、多方计算等前沿技术，向区块链开发者提供实用建议，并探讨了 AI 在安全领域的双重角色。随着传统金融机构逐步涉足区块链，安全挑战也随之升级，主动措施保护用户和维护生态系统的完整性变得至关重要。本文旨在为从业者提供关键见解，助力他们在复杂的区块链安全环境中稳步前行。

问：请简单介绍一下您自己以及 CertiK 的核心使命。

答：我是 CertiK 的联合创始人兼 CEO，同时也是哥伦比亚大学的教授。我与 CertiK 的使命都深深植根于加强 Web3.0 生态系统的安全性。

CertiK 成立于 2017 年，核心理念是利用形式化验证技术，持续监控和强化区块链协议与智能合约的安全，确保其安全、正确的运行。我们整合来自学术界与产业界的前沿方案，助力 Web3.0 应用在保障安全的前提下实现可持续扩展。至今，我们已为超过 4,900 家企业客户提供服务，累计保护超 5,300 亿美元的数字资产，识别出超过 11.5 万个代码漏洞。

问：CertiK 最近发布了《Hack3d：2025 第一季度安全报告》，有哪些关键发现？

答：2025 年第一季度，链上诈骗事件导致的损失约为 16.6 亿美元，较上一季度暴涨了 303%。这主要归因于 2 月底 Bybit 交易所被黑事件，黑客从中窃取了约 14 亿美元。与前几个季度类似，本季度以太坊仍是主要遭受攻击的目标，3 起安全事件共造成 15.4 亿美元的资产损失。更令人震惊的是，我们发现第一季度仅有 0.38% 被盗资产被成功追回。

问：相比之前的季度，区块链攻击的主要目标是否发生了变化？

答：2025 年第一季度的趋势延续了 2024 年末的态势，以太坊仍是攻击重灾区。2024 年第四季度以太坊上共发生 99 起安全事件，而第一季度为 93 起。这是一个持续的主题：在整个 2024 年，基于以太坊的项目经历了最多的安全事件；展望 2025 年，这个情况似乎还在持续。

Bybit 被黑事件也是一例典型案例：基于以太坊生态的 Safe-Wallet 钱包遭到入侵，蒙受重大损失。以太坊成为攻击焦点的原因在于其 DeFi 协议众多，锁仓资产规模巨大；另一方面，以太坊上众多的智能合约中，不少都存在漏洞。

问：面对愈加复杂的攻击手法，区块链安全行业如何应对？

答：攻击者越来越多地利用社会工程学、AI 技术、智能合约操纵等复杂的策略，来绕过现有的安全防护机制。随着数字资产的广泛应用和估值提升，行业必须适应新的形势，确保项目完整性与用户资产安全。

行业正积极应对挑战，推动包括零知识证明（ZKP）和链上安全等创新技术的发展，这些技术为日益严峻的安全问题提供了富有前景的解决方案，可在保护隐私的同时实现交易可审计、攻击溯源以及资产追回的可能性。多方计算（MPC）则通过将私钥的控制权限分散至多个参与方，进一步强化了密钥管理，从而消除了单点故障风险，并显著提升了攻击者未经授权访问钱包的难度。随着这些安全技术的不断演进，在抵御黑客攻击、维护去中心化生态系统完整性方面将发挥至关重要的作用。

问：您会给区块链开发者和项目团队哪些安全建议？

答：从一开始就将安全放在优先位置，应该是一项不可妥协的原则。将安全融入开发的每一个阶段，而不是事后补救，有助于提早发现潜在漏洞，从长远来看能够节省大量时间和资源。这种「安全优先」的主动策略，对于打造可信 Web3.0 应用的基础至关重要。将安全融入开发全流程，有助于提前发现漏洞，节省后期修复成本。

此外，寻求区块链安全机构进行全面、公正的第三方审计，也能提供独立视角，发现内部团队可能忽视的潜在风险。这类外部评估提供了关键的审查环节，有助于及时识别并修复漏洞，从而增强项目整体的安全性，进一步提升用户的信任。

问：AI 在区块链安全中扮演怎样的角色？是积极的影响还是带来了新风险？

答：AI 是 CertiK 安全体系的重要工具，我们也已将其纳入保障区块链系统安全的核心战略之一。CertiK 利用 AI 技术分析智能合约中的漏洞和潜在的安全缺陷，帮助我们以比以往更高效的方式完成全面审计，但它并不能取代人工专家审计团队。

然而，攻击者同样可以利用 AI 来强化其攻击手段。例如，AI 可被用来识别代码弱点、规避共识机制、防御系统。这意味着安全对抗的门槛被抬高，随着 AI 应用的日益普及，行业必须投入更强大的安全解决方案。

问：什么是形式化验证？它如何提升区块链审计的效果？

答：形式化验证是一种通过数学手段证明计算机程序按预期运行的方法。它通过将程序的属性表达为数学公式，并借助自动化工具对其进行验证。

该技术可广泛应用于技术行业的各个领域，包括硬件设计、软件工程、网络安全、AI 以及智能合约审计。但需要强调的是，形式化验证并非用于取代人工审计。对于智能合约而言，形式化验证依赖自动化方法来评估合约逻辑和行为，而人工审计则由安全专家对代码、设计和部署进行全面检查，以识别潜在的安全风险。两者相辅相成，共同提升智能合约的整体安全性。

问：随着传统金融机构进入区块链赛道，您认为安全威胁的类型或复杂程度会发生变化吗？

答：在 Web3.0 和区块链行业的早期阶段，攻击者通常以个人用户或小型项目为目标，手段包括钓鱼攻击、RugPull 和钱包漏洞利用等。据我们发布的《2025 年第一季度 Hack3d 报告》显示，这些挑战依然存在。然而，随着传统机构和大型企业的加入，网络完整性的安全风险也将进入新阶段。这一转变背后，既有项目资产体量的上升，也涉及企业级应用的独特安全需求、监管要求，以及区块链与传统金融体系的深度融合。

鉴于大多数传统机构具备应对网络威胁的经验，我们预计恶意行为者也将提升攻击手段的复杂性，从以往对通用钱包漏洞的攻击，转向更具针对性的企业级弱点，例如配置错误、自定义智能合约漏洞，以及与传统系统集成接口中的安全缺陷。

文章来源于互联网:专访 CertiK 创始人：黑客攻击激增 300%，安全优先的破局之路