韩媒专访CertiK审计合伙人：Web3安全关键在事前防御

在韩国IXO™区块链大会期间，CertiK审计合伙人Matt Wang接受韩国知名区块链媒体TokenPost专访。作为兼具传统ICT背景与区块链实战经验的专家，他在采访中强调“安全是生态共同责任”，并介绍了CertiK如何依托AI驱动的审计、形式化验证及与全球监管机构的紧密合作，为Web3项目提供全生命周期安全解决方案。

在本次专访中，Matt Wang不仅系统阐述了CertiK的技术战略与“安全优先”理念，还提到了CertiK近期因在zkEVM研究中的突出表现，获得了以太坊基金会资助，并在“Ethereum Attackathon 2025”中取得第三名的佳绩。

作为最大的Web3安全公司，CertiK将不断拓展技术边界，优化全生命周期安全服务，持续护航全球Web3生态的创新与合规发展。

以下为专访全文：

[TokenPost专访] Matt Wang：“Web3安全的关键在于事前防御，CertiK是生态系统的盾牌”

在数字资产市场迅速扩张的当下，Web3安全仍是关键课题。一位兼具传统ICT与区块链经验的CertiK安全专家，强调“安全是生态共同的责任，单次审计远远不够”。通过AI应用、形式化验证以及与监管机构的深度合作，CertiK正在助力全球Web3项目提升可信度与安全性。

随着数字资产行业的高速发展，作为Web3生态核心基础的区块链技术，仍然面临着“安全”这一根本挑战。智能合约、跨链桥、去中心化应用等技术不断演进，攻击面也随之扩大，一次安全事故便可能成为项目生死存亡的转折点。

在此背景下，拥有14年ICT与区块链行业经验的实战型安全专家Matt Wang，现作为CertiK的审计合伙人，在IXO™的演讲引发了业界的广泛关注。他指出：“Web3安全是整个生态的共同责任”，并强调构建具备事前预防、实时响应能力的结构性安全体系至关重要。

在本次专访中，Matt Wang深入分享了CertiK的技术战略、AI驱动的审计系统、与全球监管机构的合作经验以及公司的中长期发展路线图。

Q：请您简单介绍一下自己和CertiK。

我曾在移动通信核心网络领域工作了7年，随后在区块链行业积累了7年经验，涉及DApp、协议开发、中心化交易所及安全等多个方向。我拥有传统ICT体系和去中心化环境的实战经验，在区块链领域，我最初担任核心开发人员，目前是CertiK的安全专家。

CertiK成立于2017年12月，由耶鲁大学和哥伦比亚大学的两位教授共同创办，是一家全球领先的Web3安全服务公司。公司提供智能合约审计、链上监控、实时威胁响应等全方位的安全解决方案，覆盖项目从早期孵化到成熟阶段的整个开发生命周期，服务规模在行业中首屈一指。

Q：是什么契机让您投身区块链安全并加入CertiK？您最重视的Web3安全理念是什么？

起初，作为Cosmos生态的核心开发者，我被Web3技术的开放性与创新性深深吸引。但在反复目睹黑客攻击和漏洞带来的严重后果后，我逐渐意识到，保护生态系统的安全与建设生态本身同等重要。正是在这一过程中，我与CertiK结缘，并坚定了为守护生态根本安全性贡献力量的信念。

我始终认为Web3安全是一种“共同责任”。要领先于攻击者一步，就需要持续且前置的防御投入。在我看来，审计人员是Web3世界中的“平衡者”，肩负着保障公平与稳定的重要角色。

Q：尽管安全技术不断发展，但交易所遭受攻击的事件仍频频发生。您认为主要原因是什么？根本性的解决思路又是什么？

造成这一现象的原因有很多，但我认为主要包括以下四点：

• 系统结构过于复杂：随着链上与链下组件、跨链桥、API、托管服务等功能高度集成，攻击面不断扩大。

• 攻击手法持续演化：黑客不再仅依赖代码漏洞，还使用网络钓鱼、内部人员威胁、社会工程学攻击等多种方式进行攻击。

• 运营层面存在空白：密钥管理薄弱、权限控制不严、事故响应流程缺失等问题尤为致命。

• 安全态度过于被动：很多团队误以为“一次审计就够了”，忽视了安全的持续性和动态性。

作为解决方案，我想强调以下几点：

• 将安全理念贯穿于开发与运维全过程，落实“安全优先（Security by Design）”原则；

• 建立分层防御体系，包括基于AI的监测、形式化验证、访问控制和团队身份验证等多层防御体系；

• 构建具备实时发现与响应能力的安全响应机制，快速遏制与恢复问题；

• 面向全体员工开展持续培训，了解最新的攻击方式。

Q：当前AI与区块链正在加速融合，CertiK是如何将AI应用于审计流程的？

AI已成为CertiK审计战略的核心，我们主要聚焦两个方向：

漏洞检测：CertiK利用AI技术对链上攻击的预警数据进行解析，提供漏洞成因和攻击手法的技术分析。

审计流程优化：CertiK利用AI进行已知漏洞模式扫描、代码逻辑辅助分析和报告生成优化，从而提升专家审计的效率。

鉴于攻击者也在积极使用AI，我们认为防御方必须借助AI实现前瞻性防御与自动化分析，才能真正建立优势。

Q：近年来，美国、韩国等地纷纷加快稳定币监管步伐。您认为最基本的安全标准是什么？CertiK又如何制定审计策略？

各国监管正迅速落地，新加坡金融管理局 (MAS)、欧洲金融监管局 (MiCA) 和香港金融管理局 (HKMA)等机构已发布稳定币监管指南，其共同目标是：用户保护、法律清晰性与金融体系稳定。

CertiK在这一趋势下采取以下策略：通过智能合约安全审计，确保技术架构的稳定性；协助完善白皮书、风险管理政策与赎回机制等合规文档；借助与MAS、HKMA等机构的合作经验，为不同地区项目提供本地化的指导方案。

我们希望成为连接技术与合规之间的桥梁，帮助稳定币项目兼顾安全性与合规性。

Q：据悉，CertiK与多家监管机构有深入合作，能否分享一次印象深刻的合作经历？

让我印象最深的是与香港金融监管机构的合作。CertiK曾向香港金融管理局（HKMA）和财经事务及库务局（FSTB）提交了两份稳定币监管框架建议书，均被采纳。

此外，我们还与数码港合作，面向本地Web3企业开展安全教育培训。许多企业在申请牌照过程中，均获得了CertiK在安全架构设计与审计方面的支持。

这些经历表明，安全专家不仅在项目中至关重要，在监管政策的制定过程中同样能发挥重要作用。

Q：目前CertiK在安全技术方面的重点聚焦领域有哪些？是否可以分享一些最新成果？

我们正在将形式化验证技术从智能合约拓展至更复杂的结构，例如共识机制、跨链桥与零知识证明。代表性成果包括zkWasm、TON主链、以及蚂蚁集团的HyperEnclave TEE项目。

此外，CertiK还获得了以太坊基金会关于zkEVM形式化验证的两项研究资助，并在“Ethereum Attackathon 2025”中提交了20份有效漏洞报告，荣获总排名第三。作为比赛中唯一一支覆盖三大执行层节点客户端的安全团队，CertiK的这一成就意义非凡。

Q：最后，请谈谈CertiK未来的中长期发展方向。

面向未来，CertiK将聚焦三大核心方向，持续推进安全能力的演进。首先，在安全技术纵深发展方面，我们将把形式化验证从智能合约拓展至共识协议、跨链架构等更复杂的系统；其次，在AI集成方面，我们正致力于构建融合AI分析、静态分析与形式化验证的智能反馈系统，全面提升审计效率与准确性；最后，在实时响应体系上，我们将打造具备智能检测与自适应防护能力的可扩展架构，实现对安全威胁的即时发现与动态应对。

随着客户需求的持续演进，安全服务也必须不断精进。CertiK将继续拓展全生命周期的安全解决方案，助力生态参与者在保障安全的基础上实现创新突破。

原文始发于微信公众号（CertiK）：韩媒专访CertiK审计合伙人：Web3安全关键在“事前防御”