Соучредитель CertiK обсуждает угрозы безопасности Веб 3.0 и стратегии защиты

Недавно известное технологическое СМИ провело эксклюзивное интервью с соучредителем и CEO CertiK. Стороны глубоко обсудили недавно опубликованный отчет о безопасности компании, эволюцию методов хакерских атак и инновационные пути технологий безопасности.

Этот CEO подчеркивает, что безопасность должна рассматриваться как основополагающий принцип, а не как мера, принимаемая после происшествия. Он выступает за то, чтобы безопасность была интегрирована в общую стратегию с самого начала запуска проекта, считая, что проактивная стратегия «безопасность прежде всего» имеет решающее значение для создания надежных приложений Веб 3.0. В частности, он рекомендует активно использовать формальную верификацию, доказательства с нулевым разглашением, многопартийные вычисления и другие передовые технологии для комплексного повышения защитных возможностей блокчейн-протоколов и смарт-контрактов.

Это настойчивое внимание к безопасности является не продуктом краткосрочных рыночных тенденций, а результатом долгосрочных исследований и практики CEO, стремящегося к технологическому идеалу. От участия в разработке операционной системы, которая была признана "безупречной", до создания безопасного защищенного периметра для цифровых активов стоимостью более 5300 миллиардов долларов, он всегда стремился сохранить безопасность отрасли и повысить доверие к ней.

Этот CEO многократно заявлял, что безопасность не является конкурентным преимуществом, а общей ответственностью. Он преобразует академические достижения лаборатории в практики безопасности, применимые в отрасли, и внедряет концепцию "общей ответственности" в сотрудничество в отрасли. Этот технический лидер, вышедший из лучших академий, борется с неопределенностью хакерских атак с помощью проверяемости математической логики, закрепляя координаты безопасности в эпоху Веб 3.0 между техническими идеалами и реальностью.

Содержание интервью: Защита передового фронта Веб 3.0 — Анализ угроз и защиты безопасности блокчейна

В быстро развивающейся области Веб 3.0 безопасность блокчейна стала приоритетом. CertiK, возглавляемая профессором компьютерных наук Колумбийского университета, стремится комплексно укрепить защиту экосистемы блокчейна. Компания улучшает безопасность блокчейна и смарт-контрактов с помощью формальной верификации и стала лидером отрасли в области безопасности Веб 3.0.

Недавно опубликованный отчет о безопасности выявил новые тенденции в кражах цифровых активов и угрозах безопасности. Отчет также исследует передовые технологии, такие как нулевое раскрытие информации и многопартийные вычисления, предоставляя практические рекомендации для разработчиков блокчейна, а также анализирует двусмысленную роль ИИ в области безопасности. Поскольку традиционные финансовые учреждения постепенно начинают работать с блокчейном, вызовы безопасности также усиливаются, и становится жизненно важным принимать проактивные меры для защиты пользователей и поддержания целостности экосистемы.

В: Пожалуйста, кратко расскажите о себе и о ключевой миссии CertiK.

A: Я являюсь соучредителем и CEO CertiK, а также профессором Колумбийского университета. Моя миссия с CertiK глубоко укоренена в укреплении безопасности экосистемы Веб 3.0.

CertiK была основана в 2017 году, её основная идея заключается в использовании технологий формальной верификации для постоянного мониторинга и укрепления безопасности блокчейн-протоколов и смарт-контрактов, чтобы обеспечить их безопасную и корректную работу. Мы объединяем передовые решения из академической и промышленной сфер, чтобы помочь приложениям Веб 3.0 достичь устойчивого масштабирования при гарантии безопасности. На сегодняшний день мы предоставили услуги более чем 4,900 корпоративным клиентам, защитив более 530 миллиардов долларов цифровых активов и выявив более 115,000 уязвимостей в коде.

В: Какие ключевые выводы были сделаны в недавнем отчете о безопасности от CertiK?

A: В первом квартале 2025 года убытки от мошенничества в блокчейне составили около 1,66 миллиарда долларов, что на 303% больше, чем в предыдущем квартале. Это в основном связано с атакой на одну из бирж в конце февраля, в результате которой хакеры похитили около 1,4 миллиарда долларов. Как и в предыдущие кварталы, в этом квартале основным объектом атак по-прежнему оставался Ethereum, три инцидента безопасности привели к потере активов на сумму 1,54 миллиарда долларов. Более шокирующим является то, что мы обнаружили, что в первом квартале лишь 0,38% украденных активов были успешно возвращены.

В: Изменились ли основные цели атак на блокчейн по сравнению с предыдущими кварталами?

A: Тренды первого квартала 2025 года продолжают тенденции конца 2024 года, где Эфириум по-прежнему остается зоной повышенного риска для атак. В четвертом квартале 2024 года на Эфириуме произошло 99 инцидентов безопасности, в то время как в первом квартале - 93. Это продолжающаяся тема: на протяжении всего 2024 года проекты на базе Эфириума пережили наибольшее количество инцидентов безопасности; с прогнозом на 2025 год эта ситуация, похоже, продолжится.

Случай с хакерской атакой на одну из бирж также является典型案例: кошелек, основанный на экосистеме Ethereum, был взломан, понес значительные убытки. Причина, по которой Ethereum стал объектом атаки, заключается в большом количестве его DeFi протоколов и огромной капитализации заблокированных активов; с другой стороны, во множестве смарт-контрактов на Ethereum есть уязвимости.

В: Как индустрия безопасности блокчейна реагирует на все более сложные методы атак?

A: Атакующие все чаще используют сложные стратегии, такие как социальная инженерия, технологии ИИ и манипуляция смарт-контрактами, чтобы обойти существующие механизмы защиты. С учетом широкого применения цифровых активов и повышения их стоимости, отрасли необходимо адаптироваться к новым условиям, обеспечивая целостность проектов и безопасность активов пользователей.

Отрасль активно реагирует на вызовы, продвигая развитие таких инновационных технологий, как нулевые знания (ZKP) и безопасность на цепи, которые предлагают многообещающие решения для все более серьезных проблем безопасности, позволяя осуществлять аудируемость транзакций, отслеживание атак и возможность возврата активов при защите конфиденциальности. Многосторонние вычисления (MPC) еще больше усиливают управление ключами, распределяя контроль над приватными ключами среди нескольких участников, что устраняет риски единой точки отказа и значительно усложняет несанкционированный доступ злоумышленников к кошелькам. С развитием этих технологий безопасности они будут играть жизненно важную роль в защите от хакерских атак и поддержании целостности децентрализованных экосистем.

Q: Какие рекомендации по безопасности вы бы дали разработчикам блокчейна и командам проектов?

A: С самого начала безопасность должна быть приоритетом, это должно быть непоколебимым принципом. Интеграция безопасности на каждом этапе разработки, а не исправление проблем после их возникновения, помогает заранее выявить потенциальные уязвимости и в долгосрочной перспективе сэкономить массу времени и ресурсов. Эта проактивная стратегия "приоритет безопасности" имеет решающее значение для создания надежных приложений для Веб 3.0. Интеграция безопасности на весь процесс разработки помогает заранее обнаружить уязвимости и сэкономить затраты на последующее исправление.

Кроме того, обращение к специализированным учреждениям по безопасности блокчейна для проведения全面、公正ных независимых аудитов может предоставить независимую точку зрения, выявляя потенциальные риски, которые могут быть упущены внутренней командой. Такие внешние оценки предоставляют ключевые этапы проверки, что помогает своевременно выявлять и исправлять уязвимости, тем самым повышая общую безопасность проекта и укрепляя доверие пользователей.

В: Какую роль искусственный интеллект играет в безопасности блокчейна? Это положительное влияние или новые риски?

A: ИИ является важным инструментом нашей системы безопасности, и мы также включили его в одну из ключевых стратегий обеспечения безопасности блокчейн-системы. Мы используем технологии ИИ для анализа уязвимостей и потенциальных недостатков безопасности в смарт-контрактах, что помогает нам проводить полные аудиты более эффективно, чем когда-либо, но он не может заменить команды аудиторов-экспертов.

Однако злоумышленники также могут использовать ИИ для усиления своих атакующих методов. Например, ИИ может быть использован для выявления уязвимостей в коде, обхода механизмов консенсуса и защитных систем. Это означает, что порог безопасности повышается, и с растущей популярностью применения ИИ отрасли необходимо инвестировать в более мощные решения безопасности.

В: Что такое формальная верификация? Как она повышает эффективность аудита блокчейна?

A: Формальная верификация — это метод, с помощью которого математическими средствами доказывается, что компьютерная программа работает как ожидалось. Она выражает свойства программы в виде математических формул и использует автоматизированные инструменты для их проверки.

Эта технология может быть широко применена в различных областях технической отрасли, включая проектирование аппаратного обеспечения, программную инженерию, кибербезопасность, ИИ и аудит смарт-контрактов. Однако необходимо подчеркнуть, что формальная верификация не предназначена для замены ручного аудита. Для смарт-контрактов формальная верификация полагается на автоматизированные методы для оценки логики и поведения контракта, в то время как ручной аудит включает в себя полную проверку кода, дизайна и развертывания экспертами по безопасности для выявления потенциальных рисков безопасности. Оба подхода дополняют друг друга, совместно повышая общую безопасность смарт-контрактов.

Q: С учетом того, что традиционные финансовые учреждения входят в блокчейн-сферу, как вы думаете, изменится ли тип или степень сложности угроз безопасности?

A: На ранних стадиях Web3.0 и блокчейн-индустрии злоумышленники часто нацеливались на отдельных пользователей или небольшие проекты, используя методы, такие как фишинг, RugPull и уязвимости кошельков. Согласно нашему последнему квартальному отчету, эти проблемы все еще существуют. Однако, с учетом вступления традиционных учреждений и крупных компаний, риски безопасности сетевой целостности также войдут в новую стадию. За этой трансформацией стоит как рост объемов активов проектов, так и уникальные потребности в безопасности корпоративных приложений, требования к регулированию, а также глубокая интеграция блокчейна с традиционной финансовой системой.

Учитывая, что большинство традиционных организаций обладают опытом борьбы с киберугрозами, мы ожидаем, что злоумышленники также повысят сложность своих атак, перейдя от атак на уязвимости общих кошельков к более целенаправленным корпоративным уязвимостям, таким как неправильная конфигурация, уязвимости пользовательских смарт-контрактов и недостатки безопасности в интерфейсах интеграции с традиционными системами.