重塑Web3信任:CertiK首席商务官在Proof of Talk深入探讨行业长期安全机制
6 月 11 日,在全球顶级Web3与 AI 峰会 Proof of Talk 期间,CertiK 首席商务官 Jason Jiang 受邀出席“构建Web3协议信任(Building Trust in Web3 Protocols)”主题圆桌论坛,与 Innerworks 的 CEO 兼联合创始人 Oliver Quie、Hacken 的 CPO Denis Ivanov 一起,讨论“如何为Web3项目建立真实、可持续的信任”。
当“安全审计”逐渐被包装成营销话术,Web3项目如何避免“审计洗白(audit-washing)”,构建面向未来的安全信任?
在论坛上,Jason Jiang 直言,当前行业存在显著的“审计洗白”现象。也就是说,一些项目仅凭发布一份审计报告,就声称自身“安全”;无论报告的时效性、范围或结果如何,就将审计报告当作“安全徽章”。
他指出,即使是高标准的静态代码验证,也只是安全模型中的一个环节。它是必要的,但远远不够。很多风险其实发生在审计之后:例如,可升级合约在审计后可能引入新的攻击面,治理机制的偏离,或是由外部账户(EOA)控制的管理功能,都可能导致审计时的假设失效。
此外,还有一些超出静态分析能力的风险:例如预言机、跨链桥、流动性变化和可组合性等因素,都会带来新的动态依赖。
因此,Jason Jiang 强调:“已审计”绝不等于“安全”。
CertiK 的模块化与实时安全模型
为应对这些挑战,Jason Jiang 详细阐述了 CertiK 正在积极构建和倡导的“可组合、持续性的验证与信任机制”。
首先,CertiK 正积极推动链上审计证明机制的建立。即审计报告经加密签名后链上存证,并与合约特定字节码的哈希绑定。CertiK 正致力于推动这一机制成为行业标准。
其次,是实时安全监控与风险评分。通过 Skynet 平台,CertiK 可动态监控合约交互行为(如闪电贷、权限提升)、金库行为、DAO 治理的风险点(如提案注入),以及代币经济的异常波动。这些数据可生成实时风险画像,为用户持续提供安全状态反馈。
第三,是建立持续验证流程。CertiK 将安全检查融入开发全生命周期(CI/CD)。包括在代码变更时进行差分模糊测试,使用模拟攻击模型测试(如 MEV 机器人、三明治攻击),以及在治理或升级事件发生时,触发新的审计流程。
第四,是探索 AI 辅助审计与协同验证。CertiK 正在探索 AI 模型,用于预审计筛查和大规模识别反模式。这样可以让人工审计师专注于协议核心逻辑、边缘场景以及协议上下文分析,从而实现“人机协同的大规模安全保证”。
协议设计:信任的架构基石
在谈及协议设计如何影响用户信任时,Jason Jiang 进一步指出,许多风险并非来自代码漏洞,而是源于架构假设。他特别提到对权限、控制权和升级机制中未明确的假设,是影响信任的重要因素。
他分析了几个关键设计向量对信任的具体影响:
在可升级性与不变性方面,如果项目需要保留升级能力,应强制使用多签控制,并结合具有时间延迟的链上治理机制。同时,应赋予社区明确的否决权。这样可以避免关键权限由少数外部账户(EOA)掌控,从而维护去中心化的承诺。
在模块化与开源方面,核心组件如核心算法、金库管理、治理模块等,应进行隔离设计。每个模块应支持独立测试和验证,以减少复杂依赖带来的风险。透明化的失效保护机制(如时间锁、可暂停合约、熔断机制),也必须配合清晰的应急流程,防止隐藏的“紧急权限”架空这些机制。
最后,治理实践应做到完全链上化,并具备可审计性。需要清晰披露:谁拥有何种升级权限、升级流程如何运作、时间限制如何设置。只有这样,治理才能真正落地,而不是停留在理论层面。
Web3信任公式:信任=代码 行为 文化 合规
面对Web3特有的挑战,一个高度去中心化且缺乏身份背书的环境,Jason Jiang 提出了构建信任的公式:信任=代码 行为 文化 合规。
他指出,协议赢得信任不仅依赖于代码质量,还在于项目在压力下的行为模式。其中,几个关键行动至关重要:
首先,项目应实施并持续维护漏洞赏金计划。这一机制是否资金充足、响应是否及时、支付是否高效,直接反映了项目的运营成熟度和对透明开放的承诺。
其次,在安全事件不可避免时,项目应发布透明、详实、技术严谨的复盘报告。报告应说明事件根本原因、明确承认失误、评估影响,并提出改进措施。即使在危机中,这样的处理也能积累制度性信任。
此外,项目还应通过时间证明自身韧性。表现包括:应对市场剧烈波动的承受力、对安全威胁的快速透明反应、以及不断适应新型攻击的能力。Jason Jiang 总结到:“在加密世界,一年相当于传统行业的八年。一个稳定运行六年的项目,等于赢得了半个世纪的信任。”
本次 Proof of Talk 峰会的圆桌讨论汇聚了行业顶尖安全专家。与会者一致认为,要重塑Web3信任的基石,并推动其可持续发展,必须在多个维度展开深度合作。这包括底层技术创新、协议设计优化,以及项目行为的长期验证。在此背景下,CertiK 提出的实时、模块化安全模型,以及对“代码 行为 文化 合规”信任框架的倡导,为行业指明了重要的发展方向。
作为Web3安全公司,CertiK 始终在推动行业发展,从“审计即安全”迈向“安全即服务”。CertiK 将继续凭借其全生命周期产品、社区协同及 AI 技术,为Web3构建者提供可信、安全、透明的基础保障。
版权说明:本文章来源于网络信息 ,不作为本网站提供的投资理财建议或其他任何类型的建议。 投资有风险,入市须谨慎。
