Co-fundador da CertiK discute ameaças de segurança do Web3.0 e estratégias de defesa

Recentemente, um conhecido meio de comunicação de tecnologia realizou uma entrevista com o cofundador e CEO da CertiK. Ambas as partes discutiram o mais recente relatório de segurança da empresa, explorando profundamente a evolução das técnicas de ataque dos hackers e os caminhos de inovação nas tecnologias de defesa de segurança.

Este CEO enfatizou que a segurança deve ser vista como um princípio fundamental, e não como uma medida corretiva posterior. Ele defende que a segurança deve ser integrada na estratégia global desde o início do projeto, acreditando que uma estratégia proativa de "segurança em primeiro lugar" é crucial para construir aplicações Web3.0 confiáveis. Especificamente, ele sugere o uso ativo de tecnologias de ponta como verificação formal, provas de conhecimento zero e computação multipartidária para melhorar completamente a capacidade de proteção dos protocolos de blockchain e contratos inteligentes.

Esta insistência na segurança não é um produto de uma tendência de mercado de curto prazo, mas sim originada da exploração e prática a longo prazo do CEO em relação aos ideais tecnológicos. Desde a participação no desenvolvimento de um sistema operativo considerado "à prova de falhas", até à construção de um fosso de segurança para ativos digitais que ultrapassam os 530 mil milhões de dólares, ele tem-se dedicado a preservar a segurança do setor e a aumentar a confiança na indústria.

Este CEO declarou várias vezes que a segurança não é uma vantagem competitiva, mas uma responsabilidade compartilhada. Ele transformou os resultados acadêmicos do laboratório em práticas de segurança aplicáveis à indústria e integrou o conceito de "responsabilidade compartilhada" na colaboração do setor. Este líder técnico, proveniente de uma instituição de elite, está a combater a incerteza dos ataques cibernéticos com a verificabilidade da lógica matemática, ancorando as coordenadas de segurança da era Web3.0 entre o ideal tecnológico e a realidade.

Conteúdo da Entrevista: Protegendo a Fronteira do Web3.0 — Análise das Ameaças à Segurança da Blockchain e Defesas

No campo em rápido desenvolvimento do Web3.0, a segurança da blockchain tornou-se uma prioridade. A CertiK, liderada por um professor de ciência da computação da Universidade de Columbia, está dedicada a reforçar a segurança do ecossistema blockchain de forma abrangente. A empresa utiliza técnicas de verificação formal para aumentar a segurança da blockchain e dos contratos inteligentes, tornando-se um líder da indústria em segurança no Web3.0.

O relatório de segurança mais recente revela novas tendências no roubo de ativos digitais e ameaças à segurança. O relatório também explora tecnologias de ponta como provas de conhecimento zero e computação multipartidária, oferecendo conselhos práticos para desenvolvedores de blockchain, além de analisar o duplo papel da IA na área de segurança. À medida que as instituições financeiras tradicionais começam a entrar no blockchain, os desafios de segurança também aumentam, tornando-se crucial tomar medidas proativas para proteger os usuários e manter a integridade do ecossistema.

Q: Por favor, apresente-se brevemente e fale sobre a missão central da CertiK.

A: Sou cofundador e CEO da CertiK, e também sou professor na Universidade de Columbia. Minha missão com a CertiK está profundamente enraizada em fortalecer a segurança do ecossistema Web3.0.

A CertiK foi fundada em 2017, e o seu conceito central é utilizar tecnologia de verificação formal para monitorizar continuamente e reforçar a segurança dos protocolos de blockchain e contratos inteligentes, garantindo o seu funcionamento seguro e correto. Integramos soluções de ponta provenientes do mundo académico e da indústria, apoiando as aplicações Web3.0 a alcançar uma escalabilidade sustentável, sob a premissa de garantir a segurança. Até agora, já prestámos serviços a mais de 4.900 clientes empresariais, protegendo um total de mais de 530 bilhões de dólares em ativos digitais e identificando mais de 115.000 vulnerabilidades de código.

Q: Quais são as principais descobertas do relatório de segurança recentemente publicado pela CertiK?

A: No primeiro trimestre de 2025, as perdas causadas por fraudes on-chain foram de cerca de 1,66 mil milhões de dólares, um aumento explosivo de 303% em relação ao trimestre anterior. Isso deve-se principalmente ao ataque a uma bolsa no final de fevereiro, onde os hackers roubaram cerca de 1,4 mil milhões de dólares. Semelhante aos trimestres anteriores, o Ethereum continuou a ser o principal alvo dos ataques neste trimestre, com 3 incidentes de segurança resultando em perdas de ativos de 1,54 mil milhões de dólares. Mais chocante é que descobrimos que, no primeiro trimestre, apenas 0,38% dos ativos roubados foram recuperados com sucesso.

Q: Em comparação com o trimestre anterior, os principais alvos dos ataques de blockchain mudaram?

A: A tendência do primeiro trimestre de 2025 continuou a situação do final de 2024, com o Ethereum ainda sendo uma área de ataque crítica. No quarto trimestre de 2024, ocorreram 99 eventos de segurança no Ethereum, enquanto no primeiro trimestre foram 93. Este é um tema contínuo: ao longo de 2024, os projetos baseados em Ethereum enfrentaram o maior número de eventos de segurança; olhando para 2025, essa situação parece continuar.

Um incidente de hack em uma exchange é também um exemplo típico: a carteira baseada no ecossistema Ethereum foi invadida, resultando em perdas significativas. A razão pela qual o Ethereum se tornou o foco do ataque está em seus numerosos protocolos DeFi, com um grande volume de ativos bloqueados; por outro lado, muitos dos contratos inteligentes no Ethereum têm vulnerabilidades.

Q: Como a indústria de segurança de blockchain está respondendo a técnicas de ataque cada vez mais complexas?

A: Os atacantes estão cada vez mais a utilizar engenharia social, tecnologia de IA, manipulação de contratos inteligentes e outras estratégias complexas para contornar os mecanismos de proteção de segurança existentes. Com a ampla aplicação e valorização dos ativos digitais, a indústria deve adaptar-se a novas circunstâncias para garantir a integridade dos projetos e a segurança dos ativos dos utilizadores.

A indústria está ativamente enfrentando desafios e promovendo o desenvolvimento de tecnologias inovadoras, incluindo prova de conhecimento zero (ZKP) e segurança em cadeia, que oferecem soluções promissoras para problemas de segurança cada vez mais severos, permitindo auditoria de transações, rastreamento de ataques e recuperação de ativos, ao mesmo tempo que protegem a privacidade. A computação multipartidária (MPC) fortalece ainda mais a gestão de chaves, descentralizando o controle das chaves privadas entre várias partes, eliminando o risco de falha de ponto único e aumentando significativamente a dificuldade de acesso não autorizado às carteiras por parte de atacantes. Com a contínua evolução dessas tecnologias de segurança, elas desempenharão um papel crucial na defesa contra ataques de hackers e na manutenção da integridade do ecossistema descentralizado.

Q: Que conselhos de segurança você daria aos desenvolvedores de blockchain e às equipes de projeto?

A: Colocar a segurança em primeiro lugar desde o início deve ser um princípio inegociável. Integrar a segurança em cada fase do desenvolvimento, em vez de remediar posteriormente, ajuda a identificar vulnerabilidades potenciais precocemente, economizando tempo e recursos a longo prazo. Essa estratégia proativa de "segurança em primeiro lugar" é crucial para construir a base de aplicações Web3.0 confiáveis. Integrar a segurança em todo o processo de desenvolvimento ajuda a identificar vulnerabilidades antecipadamente e a economizar custos de correção posterior.

Além disso, buscar agências de segurança blockchain para uma auditoria de terceiros abrangente e justa pode fornecer uma perspectiva independente, identificando riscos potenciais que a equipe interna pode ter ignorado. Essas avaliações externas oferecem um elemento crítico de revisão, ajudando a identificar e corrigir vulnerabilidades em tempo hábil, aumentando assim a segurança geral do projeto e fortalecendo a confiança dos usuários.

Q: Qual é o papel da IA na segurança da blockchain? Tem um impacto positivo ou trouxe novos riscos?

A: A IA é uma ferramenta importante para o nosso sistema de segurança, e já a incluímos como uma das estratégias centrais para garantir a segurança do sistema blockchain. Utilizamos tecnologia de IA para analisar vulnerabilidades e potenciais falhas de segurança em contratos inteligentes, ajudando-nos a realizar auditorias completas de forma mais eficiente do que nunca, mas não pode substituir a equipe de auditoria de especialistas humanos.

No entanto, os atacantes também podem usar IA para fortalecer seus métodos de ataque. Por exemplo, a IA pode ser utilizada para identificar vulnerabilidades de código, contornar mecanismos de consenso e sistemas de defesa. Isso significa que a barreira para a segurança está sendo elevada, e com a crescente popularidade das aplicações de IA, a indústria precisa investir em soluções de segurança mais robustas.

Q: O que é validação formal? Como isso melhora a eficácia da auditoria de blockchain?

A: A verificação formal é um método que prova, por meio de meios matemáticos, que um programa de computador opera como esperado. Ela expressa as propriedades do programa como fórmulas matemáticas e utiliza ferramentas automatizadas para sua verificação.

Esta tecnologia pode ser amplamente aplicada em vários campos da indústria tecnológica, incluindo design de hardware, engenharia de software, segurança cibernética, IA e auditoria de contratos inteligentes. Mas é importante enfatizar que a verificação formal não substitui a auditoria manual. Para contratos inteligentes, a verificação formal depende de métodos automatizados para avaliar a lógica e o comportamento do contrato, enquanto a auditoria manual é realizada por especialistas em segurança para realizar uma revisão abrangente do código, design e implementação, a fim de identificar potenciais riscos de segurança. Ambos são complementares e juntos melhoram a segurança geral dos contratos inteligentes.

Q: Com a entrada de instituições financeiras tradicionais na pista de blockchain, você acredita que os tipos ou a complexidade das ameaças à segurança irão mudar?

A：Na fase inicial da Web3.0 e da indústria de blockchain, os atacantes frequentemente tinham como alvo usuários individuais ou pequenos projetos, utilizando métodos como ataques de phishing, RugPull e exploração de vulnerabilidades em carteiras. De acordo com o nosso mais recente relatório trimestral, esses desafios ainda persistem. No entanto, com a entrada de instituições tradicionais e grandes empresas, os riscos de segurança da integridade da rede também entrarão em uma nova fase. Por trás dessa mudança, há não só o aumento do volume de ativos dos projetos, mas também as necessidades de segurança únicas de aplicações empresariais, requisitos regulatórios e a profunda integração entre blockchain e o sistema financeiro tradicional.

Dado que a maioria das instituições tradicionais possui experiência no enfrentamento de ameaças cibernéticas, prevemos que os agentes maliciosos também irão elevar a complexidade dos métodos de ataque, passando de ataques a vulnerabilidades de carteiras genéricas para fraquezas mais direcionadas em nível empresarial, como configurações incorretas, vulnerabilidades em contratos inteligentes personalizados e falhas de segurança nas interfaces de integração com sistemas tradicionais.