韓媒專訪CertiK創辦人顧榮輝：駭客攻擊激增300%，安全優先的破局之路

4月17日，韓國知名科技媒體《韓國IT時報》(Korea IT Times)發布了對CertiK聯合創辦人兼CEO顧榮輝教授的專訪。雙方圍繞CertiK第一季《HACK3D》安全報告，就駭客攻擊手法的迭代和安全防禦技術的創新路徑等，展開深度對話。

顧榮輝認為，安全應被視為一項基礎原則，而非事後的補救措施，應當自專案啟動之初便融入整體戰略，「『安全優先』的主動策略，對於打造可信任Web3.0應用的基礎至關重要」。具體而言，他提倡主動運用形式化驗證、零知識證明、多方運算等尖端技術，全面增強區塊鏈協議和智慧合約的防護能力。這也正是其創立CertiK的初心與願景，即透過嚴謹的形式化驗證技術，讓Web3.0世界更加安全，更值得信賴。

這種對安全的堅守並非短期市場趨勢的產物，而是源自顧榮輝對技術理想的長期探索與實踐，從耶魯讀博期間參與研發被谷歌團隊譽為「無懈可擊」的CertiKOS系統，到如今為超5300億美元的數字資產築起安全護城河，他始終致力於守護行業安全，到如今為超5300億美元的數字資產築起安全護城河，他始終致力於守護行業安全，提升行業。

顧榮輝曾多次提出，安全不是競爭優勢，而是共同責任。他將實驗室的學術成果轉化為業界落地的安全實踐，也將「共同責任」的概念融入產業協作。這位從頂尖學院走出的技術領袖，正以數學邏輯的可驗證對抗駭客攻擊的不確定性，在技術理想與現實之間錨定Web3.0時代的安全座標。

以下為專訪全文：

專訪| 守護Web3.0前線陣地－CertiK CEO詳解區塊鏈安全威脅與防禦

在快速發展的Web3.0領域，區塊鏈安全已成為重中之重。本文聚焦於CertiK的使命—由其共同創辦人、哥倫比亞大學電腦科學教授領導，致力於全面強化區塊鏈生態系統的安全防護。 CertiK致力於透過形式化驗證技術提升區塊鏈和智慧合約的安全性，已成為Web3.0安全的產業領跑者。

《韓國IT時報》深入解讀了CertiK發布的《Hack3d：2025第一季安全報告》，揭示了數位資產竊盜和安全威脅的新趨勢。文章也探討了零知識證明、多方計算等前沿技術，向區塊鏈開發者提供實用建議，並探討了AI在安全領域的雙重角色。隨著傳統金融機構逐步涉足區塊鏈，安全挑戰也隨之升級，主動措施保護用戶和維護生態系統的完整性變得至關重要。本文旨在為從業人員提供關鍵見解，協助他們在複雜的區塊鏈安全環境中穩步前進。

Q：請簡單介紹一下您自己以及CertiK的核心使命。

答：我是CertiK的共同創辦人兼CEO，同時也是哥倫比亞大學的教授。我與CertiK的使命都深深植根於加強Web3.0生態系統的安全性。

CertiK成立於2017年，核心理念是利用形式化驗證技術，持續監控並強化區塊鏈協定與智慧合約的安全，確保其安全、正確的運作。我們整合來自學術界與產業界的前沿方案，協助Web3.0應用在保障安全的前提下實現永續擴展。至今，我們已為超過4,900家企業客戶提供服務，累計保護超5,300億美元的數位資產，識別出超過11.5萬個程式碼漏洞。

Q：CertiK最近發布了《Hack3d：2025第一季安全報告》，有哪些關鍵發現？

答：2025年第一季，鏈上詐騙事件導致的損失約16.6億美元，較上一季暴漲了303%。這主要歸因於2月底Bybit交易所被駭事件，駭客從中竊取了約14億美元。與前幾季類似，本季以太坊仍是主要遭受攻擊的目標，​​3起安全事件共造成15.4億美元的資產損失。更令人震驚的是，我們發現第一季只有0.38%被盜資產被成功追回。

Q：相較於之前的季度，區塊鏈攻擊的主要目標是否改變了？

答：2025年第一季的趨勢延續了2024年末的態勢，以太坊仍是攻擊重災區。 2024年第四季以太坊上共發生99起安全事件，而第一季為93起。這是一個持續的主題：在整個2024年，基於以太坊的專案經歷了最多的安全事件；展望2025年，這個情況似乎還在持續。

Bybit被黑事件也是一例典型案例：基於以太坊生態的Safe-Wallet錢包遭到入侵，蒙受重大損失。以太坊成為攻擊焦點的原因在於其DeFi協議眾多，鎖倉資產規模龐大；另一方面，以太坊上眾多的智慧合約中，不少都存在漏洞。

Q：面對愈加複雜的攻擊手法，區塊鏈安全產業如何應對？

答：攻擊者越來越多地利用社會工程、AI技術、智慧合約操縱等複雜的策略，來繞過現有的安全防護機制。隨著數位資產的廣泛應用和估值提升，產業必須適應新的情勢，確保專案完整性與用戶資產安全。

業界正積極應對挑戰，推動包括零知識證明（ZKP）和鏈上安全等創新技術的發展，這些技術為日益嚴峻的安全問題提供了富有前景的解決方案，可在保護隱私的同時實現交易可審計、攻擊溯源以及資產追回的可能性。多方運算（MPC）則透過將私鑰的控制權限分散至多個參與者，進一步強化了金鑰管理，從而消除了單點故障風險，並顯著提升了攻擊者未經授權存取錢包的難度。隨著這些安全技術的不斷演進，在抵禦駭客攻擊、維護去中心化生態系統完整性方面將發揮至關重要的作用。

Q：您會給區塊鏈開發者和專案團隊哪些安全建議？

答：從一開始就將安全放在優先位置，應該是不可妥協的原則。將安全性融入開發的每個階段，而不是事後補救，有助於提早發現潛在漏洞，長期來看能夠節省大量時間和資源。這種「安全優先」的主動策略，對於打造可信任Web3.0應用程式的基礎至關重要。將安全性融入開發全流程，有助於提前發現漏洞，節省後製修復成本。

此外，尋求區塊鏈安全機構進行全面、公正的第三方審計，也能提供獨立視角，發現內部團隊可能忽略的潛在風險。這類外部評估提供了關鍵的審查環節，有助於及時識別並修復漏洞，從而增強專案整體的安全性，進一步提升使用者的信任。

Q：AI在區塊鏈安全中扮演怎樣的角色？是正面的影響還是帶來了新風險？

答：AI是CertiK安全體系的重要工具，我們也已將其納入保障區塊鏈系統安全的核心策略之一。 CertiK利用AI技術分析智慧合約中的漏洞和潛在的安全缺陷，幫助我們以比以往更有效率的方式完成全面審計，但它並不能取代人工專家審計團隊。

然而，攻擊者同樣可以利用AI來強化其攻擊手段。例如，AI可被用來辨識代碼弱點、規避共識機制、防禦系統。這意味著安全對抗的門檻被抬高，隨著AI應用的日益普及，業界必須投入更強大的安全解決方案。

Q：什麼是形式化驗證？它如何提升區塊鏈審計的效果？

答：形式化驗證是一種透過數學手段證明電腦程式如預期運作的方法。它透過將程式的屬性表達為數學公式，並藉助自動化工具進行驗證。

此技術可廣泛應用於科技產業的各個領域，包括硬體設計、軟體工程、網路安全、AI以及智慧合約審計。但需要強調的是，形式化驗證並非用來取代人工審計。對於智慧合約而言，形式化驗證依賴自動化方法來評估合約邏輯和行為，而人工審計則由安全專家對程式碼、設計和部署進行全面檢查，以識別潛在的安全風險。兩者相輔相成，共同提升智能合約的整體安全性。

Q：隨著傳統金融機構進入區塊鏈賽道，您認為安全威脅的類型或複雜程度會改變嗎？

答：在Web3.0和區塊鏈產業的早期階段，攻擊者通常以個人用戶或小型專案為目標，手段包括釣魚攻擊、RugPull和錢包漏洞利用等。根據我們發布的《2025年第一季Hack3d報告》顯示，這些挑戰依然存在。然而，隨著傳統機構和大型企業的加入，網路完整性的安全風險也將進入新階段。這項轉變背後，既有專案資產體量的上升，也涉及企業級應用的獨特安全需求、監管要求，以及區塊鏈與傳統金融體系的深度整合。

鑑於大多數傳統機構具備應對網路威脅的經驗，我們預期惡意行為者也將提升攻擊手段的複雜性，從以往對通用錢包漏洞的攻擊，轉向更具針對性的企業級弱點，例如配置錯誤、自訂智慧合約漏洞，以及與傳統系統整合介面中的安全缺陷。