CertiK首席执行官顾荣辉教授接受权威韩国区块链媒体Decenter专访，针对近期获得三星认可、CertiK在韩国Web3.0安全领域的最新布局，以及CertiK在审计中所采用的前沿科技等话题提供了独到见解。

以下是采访翻译全文。

CertiK：定制化的安全审计

负责三星、WEMADE、Line等韩国主要区块链企业安全的CertiK今年正加速进军韩国市场。今年以来，大规模Web3.0资产黑客事件接连发生，区块链安全的重要性也愈加凸显。

2月23日，与Decenter会面的CertiK首席执行官顾荣辉教授解释了为什么他特别关注韩国市场，他说：“韩国是一个Web3.0资产采用率很高，且在保持区块链生态系统持续创新的国家。”

顾教授作为安全专家，同时现任美国哥伦比亚大学计算机系教授。他自区块链概念刚兴起之时就敏锐地注意到了安全对于这一领域的必要性，于是在美国纽约联合创立了全球Web3.0安全机构CertiK。他解释说：“区块链技术有潜力创造一个新的行业，但我认为在开发技术产品之前先建立安全性是重中之重。”

CertiK现已发展成为Web3.0行业中最头部的安全团队，凭借丰富的经验和强大的专家团队为Web3.0项目提供多层次的端到端安全服务——通过静态分析发现代码中的安全漏洞，通过动态分析在不同环境下执行代码，并使用数学模型进行形式化验证等方法，进行全面的安全审计及其他安全服务。

顾教授表示：“我们会根据每个项目的特点，提供定制化的安全审计”，他补充道，“而安全性一旦得出结论，我们会出具非常详细的审计报告，并就该项目未来的发展方向提出建议。”

同时，CertiK还负责Binance等头部Web3.0生态系统的安全，并为其链上的全球区块链项目提供安全服务，近年更是进军韩国市场。

近日，三星区块链密钥库（Samsung Blockchain Keystore）被发现存在7个安全漏洞，CertiK Skyfall团队入选《2023年三星移动安全名人堂》。

三星区块链密钥库是三星设备私钥管理的重要平台，需要完备的安全性作为保障。CertiK团队发现了该平台中的7个漏洞，其中4个被三星确认为关键级漏洞，可能会导致私钥丢失等严重后果，在漏洞发现后，三星迅速部署了安全补丁，并加入了重要的边界检查和保护机制来预防潜在风险。

除三星外，CertiK还负责WEMADE、Line、NHN等正在开展区块链业务的韩国各大企业项目的安全，并与首尔和釜山等地方政府签署了商业协议（MOU）以支持区块链技术。

顾教授指出，韩国区块链技术尤其是Web3.0游戏领域的发展非常活跃：“据说市场上出现的新韩国区块链项目较少，但事实并非如此，CertiK仍在与许多韩国客户以及例如首尔市政府和釜山市等政府层面进行合作，并且也在全球范围内支持区块链技术。韩国先进的数字基础设施和不断发展的监管框架正是安全领域的机遇。”

黑客趋势：私钥盗窃

来源：CertiK Hack3d 2023年年度报告

对于最近愈发频繁的Web3.0黑客事件，顾教授指出，与发生频率相比，黑客攻击的规模正在变小。

据他介绍，2022年发生了601起黑客事件，造成了37亿美元的损失，2023年发生了751起黑客事件，但损失金额却为18亿美元，相比于2022年减少了51%。这意味着近期的黑客攻击模式已转变为多起的小规模黑客事件。

顾教授分析称，这种变化是随着黑客的目标变得更广泛而发生的。他解释说：“即便是那些小型项目，如果其安全性薄弱，就同样会成为黑客的目标。”

其中，目前最常见的黑客手段就是窃取私钥。去年，该类型攻击事件发生了47起，造成了8.8亿美元的损失。顾教授说道：“该黑客行为通过攻击不安全的密钥操作系统或利用用户错误窃取私钥。以Lazarus为例，Lazarus有时就会运用精湛的技术手段获取私钥的访问权限。”

随着黑客技术的「日益升级」，CertiK今年计划继续忠于Web3.0安全这一最初的业务目标，顾教授说：“我们将根据新兴技术和平台的发展扩展全面的安全服务，进一步保护Web3.0世界生态系统的同时也将保持Web3.0安全市场中的领先地位。”