过去几年来,在区块链上的智能合约和数据量爆发式增长,让区块链的安全和智能合约的安全审计行业也面临着变革。今天的话题,针对的就是智能合约安全审计行业里一直以来存在的问题,比如质量和速度很难兼顾,营销驱动而不是技术驱动等问题。


(相关资料图)

Secure3就提出了可能能帮助整个行业解决这些问题的一个方案 ——建立公开透明社区驱动的区块链安全生态。由于区块链具有不可篡改的特性,智能合约一旦部署就很难更改,这大大提高了对合约代码正确性和可靠性的要求。

不仅如此,Secure3还在探索发掘区块链生态的社区属性,能够做得更加开源,让大家都能看到这个东西是怎么做的,有没有逻辑上的错误。在区块链安全领域创业,是一个非常新兴的领域。与其在传统行业里卷,不如到新的行业里去掘金,大家带着开放的心去看看待这样一个新兴产业是非常有必要的。

今天的《创业内幕》,我们将和创新区块链安全生态公司Secure3的创始人夏远,以及主要负责看科技创新领域的投资人邝英挥、沈林峰一起,探讨基于区块链的安全行业的新机会。

Lily:

因为今天要聊一个我完全不熟悉的领域,所以我请到了两位大神邝英挥和沈林峰。听说二位在区块链领域和Web3领域已经是非常有名的KOL了,以防我们的很多听友们还不认识大家,先请二位跟大家做个自我介绍。

邝英挥:

大家好,我是GGV的英挥,我在GGV主要负责看科技创新领域的投资。

沈林峰:

大家好,我是林峰,我在GGV也是看科技相关领域,也花很多时间在区块链这块。

Lily:

请我们的主咖Alan介绍一下自己和Secure3这家公司。

夏远:

我是Secure3的CEO夏远,之前一直都在硅谷做程序员,在Facebook、Airbnb工作过,也有幸参与过耶鲁大学之前一个非常有名的区块链的安全项目。

Secure3的整个目标,是建设一个更加可信、更加高效的区块链安全生态。我们想要做的事情,一方面是想建立一个一站式的智能合约的安全服务平台,其中就包括可能需要搭建一些更加优质、更加高效的专业的安全标准和工具。

另外一方面,我们想要创新性地提供一些新的激励模型,给到在这个行业里做安全审计的人员,从而来提高客户在安全审计时的整个用户体验,同时也为社区建立一个更加可信、更加透明、更加可以追踪的安全数据和一些代码的记录。

Lily:

之前在Airbnb和Facebook的这两段工作经历,对你后来创立Secure3有什么影响和帮助吗?

夏远:

我认为非常有影响。我觉得我在Facebook学到的一个最重要的点,就是Facebook把我培养成了一个职业的增长黑客,就是如何快速去迭代产品和工程系统,这是一个比较重要的技能。另外Facebook非常崇尚一种工具化的文化,比如我们一定不要让很多人做重复的事情,一定要知道用技术来提高效率、简化流程,这是一个印在很多Facebook工程师身上的mindset(心态)。包括Facebook的代码,其实有非常快速的代码审查和代码流程,代码从写完、review(回顾)完、到上线、到铺满全球,其实都是以小时来计算的。

这中间需要大量工具帮助实现整个流程,这个东西其实是一个很好的mindset,教会我们如何从技术上不停提高效率,如何通过自动化减少一些人类可能出错的点。我认为这是对我比较有影响的。

另外一个Airbnb,在我看来,Secure3最重要的一些商业模式,其实还是在借鉴Airbnb这样的平台公司应该怎么做。我觉得Airbnb做了几个比较好的点,也是我想学习的点,就是Airbnb其实建了一个非常开放、非常包容的公司文化和社区文化;同时他对如何去建立房东社区,如何去帮助房东增长,如何去帮助房东present(展示)他们的 homes(房源),我认为有很多做得非常好的点。比如疫情期间出现了很多问题,其实对房东收入影响很大,在这种危机情况下,整个平台如何帮助一起建立社区的所有房东渡过难关等等之类。在我看来,其实最关键的还是学习Airbnb的经营模式和商业模型,以及如何建设一个比较和谐、共赢的一个社区,这些是值得我去学习的地方。

Lily:

我特别好奇,就是Airbnb所谓的社区,其实对我们来讲是一个Web2的一些社区概念,其实和今天Web3里边的一些所谓社区是完全不一样的,您觉得这两个领域的社区人群有什么共通性?有什么差异?

夏远:

我还是举几个具体的例子。第一点,比如当2020年疫情来的时候,其实Airbnb是决定用自己的钱来补助所有平台的房东的,这是对社区比较重要的一个点,即你是在如何建设社区。

同时还有另外一个,可能在国内会更加小,有一个东西叫做Airbnb.org 。其实我们在想Web2的平台经济的时候,有一个点都被忽略了,就是平台拿走了绝大部分利润,但是平台经济的蓬勃生长,其实是需要社区里的人来帮他建设的。好比Airbnb有700万套房,其实他一套都不用提供,所有的房其实都是社区里人提供的。然而当你的股票上市时,这些人其实并没有享受到IPO给他带来的回报或者什么等等。我发现Airbnb是在探索一些新的方式,比如成立一些基金,能够帮助社区每一个中小房东去增长,去更好地把它做成一个事业,让他们在平台增长时,在平台能通过资本市场获益时,同样也能获益,这样就能够真正形成一个比较良性的增长。其实这是比较契合我们团队在Web3时的一些想法。

Lily:

要不然就请Alan详细介绍一下 ,Secure3到底有哪些工具和服务?你们能具体解决什么问题?什么样的客户是你的锚定客户?

夏远:

我们最初开始做的,应该是在Web3行业里已经比较成熟的一个商业模式,叫作“智能合约的审计”。你可以把“智能合约”想象成是在区块链上运行的APP,我们称之为“Dapp”。这样的APP在区块链上运行时,因为它的一些特性,比如说所有Dapp本质上都是在操作资产,所以它在做很多操作时对安全有非常严格的要求。一般而言,比如说在Web2的世界里,代码直接操作的更多是数据,但是在Web3的世界里,代码直接操作的是资产。在这样的情况下,其实对代码的要求程度会非常高,行业里已经形成了一个比较成熟的商业模型,很多Dapp在上线/上交易所之前,其实是需要有第三方公司来对它做安全上的double check(二次检查),这是第一方面。

第二方面也要做一些功能上的检查。我个人认为,这个业务很多时候比较像律所的一些professional service(专业服务),打个简单比喻,它是某种金融产品,有某种利息给用户的话,那么这个利息到底是怎么计算的?如果我没有代码背景,有时候我可能就不能直接作出判断,在这样一个逻辑下,我可能也不能完完全全相信项目方的对外说辞,所以我可能需要有一个第三方来告诉我,这个东西是不是确实是这样的。这其实是我们在explore(探索)的一些业务方向,对于业务上而言,我们主要在做的就是对于代码如何审计,包括从安全上审计,从功能上审计,这是一个在行业里已经比较成熟的业务。所以在这个过程中,我们主要要做的其实是第一点,还是要开发更多工具,能够提高代码审计效率,能够保证这个代码更安全,这其实是一个很难的问题。

其实在我们的模式下,我们还是想用新的模式来做安全审计。现在行业里比较成熟的,还是那种中性化模式,比如一个酒店,你可以来住我的酒店,所有房间都是我这个酒店用的,但是我们是想把它做成一个像Airbnb这样的平台,过来帮你检查代码的人,并不一定是我们公司的员工,而是通过一些社群里的人来帮你检查代码,你付钱其实并不是付给我们平台,而是付给这些人,我们只是让更多人利用我们的工具,参与到安全审查的过程中来。因为在检查代码的过程中,越多人来帮你检查,就越容易发现你的一些错误,这是我们的一些判断。

Lily:

我其实挺好奇,因为它跟传统行业有太大的不一样,我如何能相信这些人是没有私心的,能帮我检查得很好,不会故意黑我?

夏远:

您其实问了一个很好的问题,这就是为什么我们认为真正的模式,其实不应该是现在的这种模式。现在比如是一个比较中心化的公司来做代码审查,主要是靠这个公司的名誉,让大家信任来审查我代码的人并不会作恶,但是这个东西其实也是debatable(值得商榷),是值得思考的问题,即这个模式到底是不是最好的方法?

我们想要做的,其实就是真正希望能够建立一个模式,可能毫不相关的人也能够来参加参与审查,让大家用一种互相竞争的模式,在参与审查中也可以提供一些意见。假如你想故意留一些漏洞,等到上线了再去做一些什么事情,那你就要考虑,这个漏洞会不会被别人先发现先报告。这样你既没有得到找到bug的钱(奖励),同时到时候上线之后,你也不能利用这个bug。其实我们想要有更多不同的利益方参与进来,这样让这个过程变得更加可信,这是第一点。

同时第二点比较介意的是,我们其实希望在整个过程中,我们能够给每一个参与的人建立一定的track record(记录),就好比你是一名律师,那我其实希望看到你有律师证,你以前做过什么case,有哪些失败了,哪些成功了,你有没有可能漏掉了一些问题等等之类,这样对于客户而言会更加confident;对于社区的人而言,也会对这个项目和审计结果更加舒适confident。这就是我们在思考的这个问题。

Lily:

我也想问问英挥和林峰,你们二位看了很多区块链相关领域的公司,区块链安全这个赛道现在有多大?有多少公司在创业?Secure3有什么过人之处吗?

沈林峰:

目前区块链安全的整个市场还是很难统计的,因为里面很细分,可以做的事情非常多。如果细分到Secure3在的审计相关市场,我们之前大概统计过,去年比如说是2万个审计的量,平均单价15万美元,这样来算大概就是10亿美元的一个市场。

关于Secure3,我们之前在GGV Fellows结束之后跟Alan聊了几次,我们发现Alan他们产品的方案,的确能解决现在审计行业里面出现的一些问题。当时我们也讨论了审计行业里非常多的问题,包括等待时间周期特别长,因为大家现在都要排队,包括审计质量保证的难度,包括它的纯依靠审计公司自身的一些reputation(声誉)等等一些问题。我们当时看到挺多问题,而Secure3是我们看下来有可能能帮助整个行业解决这些问题的一个方案。

Lily:

我也想问问,现在在区块链安全领域做这种创业的独角兽多吗?有跑出来的吗?

沈林峰:

有,像CertiK就是独角兽,上一轮估值是20亿美元,审计是可以出这些大的独角兽的,当然其他安全领域也会出来。

Lily:

我知道Alan其实也是CertiK的三位创始董事之一,在CertiK里,您和几位创始人都是耶鲁校友,所以目前区块链行业里面,是不是还是以在美国藤校和加州硅谷创业的这批人为主,还是说中国现在已经有了一个独立生态?

夏远:

其实中国也是有的,在整个安全生态里面,现在全球的公司是非常多的,中国其实也有,像PeckShield,包括慢雾,还有前不久也融过资的BlockSec,也都是一些非常优秀的团队。海外也有很多,比如说欧洲、美国有非常多的团队。

目前我们其实可以看到,整个行业是一个比较大的刚需,处于一种供不应求的状态,包括美国有很多以前做传统安全的公司来做这个,有很多做得非常优秀。目前我们看到这个方向还是比较百花齐放,因为目前我们有一个比较困难的问题,但是其实没有一个非常好的solution(解决方案),所以大家其实在走各方面不同的探索之路。

Lily:

其实海外已经有高校在做非常深度的方向研究了,我也想问问你,这是不是意味着,海外的这些顶级学校已经在区块链创新上有较大的资源倾斜了?您的感受是这样吗?

夏远:

资源倾斜上,我不敢保证,因为我对国内不是特别了解,然后我能够感受到几个点:因为我在硅谷,所以对斯坦福稍微熟一点点,比如斯坦福专门有教授开课讲整个区块链的编程,甚至我看了一下,他们去年期末考试的最后一道题,其实就是和安全相关的题目,给你一段代码,请问你这段代码有没有问题。我们团队的人过去一看,有很多人就能看出问题来,但是我跟上过这门课的很多学生聊过,他们是看不出来的。其实在海外,我们发现有一些教授的教学课程当中,已经在incorporate(合并)一些可能和安全相关内容(即写代码,看这段代码到底有没有问题)的期末考试题了,这是一方面。

另外一方面,比如我们另外一个投资方的主要 managing partner(管理合伙人),其实他之前也是在Berkeley的 blockchain club,他自己创立了Berkeley的blockchain club,一直在做这方面的交流和研究。在他们的生态里面,还有一个东西叫做Education DAO,这是一个都由高校学生组织起来的团体,其实就是要给高校学生更多技术科普,让更多人能够进来参与这个开发。因为只有更多人才进来,我们才能看到有更多新的工具、新的想法、新的东西,创造出这个行业,让这个行业更加好。据我目前的了解,海外的高校还是做得蛮不错的。

Lily:

英挥,我知道你常年关注在中美两地的投资,你怎么看这样一个生态?就是中国高校和科研院所,对于整个区块链还有区块链底层技术的研发倾斜大概什么样?咱们两边的创业者现在有什么样的不同?

邝英挥:

首先,我觉得区块链还是一个很创新的技术,它可能才10年、20年的历史,所以它需要的一些技术背景,可能都来自于密码学、一些创新的数学,这些比较底层,相对来讲做这种技术创新,还是停留在学校里面比较多。它不像TMT或者互联网领域已经有几十年的积累,大量人才已经存在于各个公司里;区块链领域里相当一部分人才,其实来自于学术界,尤其是研究密码或者算法的这一类人。

如果再看地域的一些差别,我觉得从数量上来讲,尤其是我上学那会儿,在Berkeley还是有很多教授/学者在研究这种密码学/加密算法或者相关领域的一些技术。我觉得这也取决于大家学校里面设置的课程和相对研究方向的一些不一样,相对来讲,可能美国这方面的海外人才积累会稍微多一些。

Lily:

其实刚才Alan在回答时,提到一个词叫“形式化验证”,就是Secure3这个技术其实是形式化验证的一个技术本质。我想问问,这个技术在整个区块链安全里边有什么领先性吗?你觉得未来它会发展到什么方向?

夏远:

首先,我们团队第一阶段的重点,可能不会在形式化验证上面,很有可能还是会以人力为主。我先给大家简单介绍一下,其实形式化验证主要还是CertiK,主要是在整个行业推,我认为其实这也算是CertiK的一些创新点。尤其是在早期,因为这个技术本身存在了很久,它是在区块链时代找到了用武之地,一个主要原因是:其实看区块链本身,每一个我们合约的代码量是比较小的,这就让整个对它做形式化的证明成为可能。因为如果你的代码量巨大,那我证明它时对于计算资源和人力资源的要求会指数性增长;但是对于所有合约而言,因为它的size会比较小,一般而言可能就是几百到几千行代码,这个代码量是非常小的,我觉得CertiK也是看到了这个机会,所以在这个方向做一些科研的努力。

所以这个技术本身而言,其实有一点点像我们要用比较偏数学的方法来证明这个代码,跟我设计的逻辑是一模一致的。我们有一个东西叫作“设计规范”,即specification(规范),另外一个叫作implementation(实现),就是你是怎么设计你的合约的,你是怎么实现你的合约的,我们要证明这两个东西是不是完完全全一样。这就会把检查代码逻辑变成检查我的规范,我人设计出来的规范是不是有问题,这样就是把更具体的事情做成更抽象的事情,因为人其实更适合做一些高层次抽象的东西,因为人是非常容易犯小错误的,比如写错一个标点符号等等之类,但是当我们来真正来看规范,这个东西是会比较有用的。

最开始非常多的问题,可以用形式化验证很快自动判断出来,因为这其实是形式底层出问题。但是现在这些东西其实也都慢慢integrate(结合)到所有的开发套件里面去了,现在所有的 compiler(编译器)本身就能够支持这种错误不会发生,这就是工具如何一步一步帮助人类减少犯一些错误。对于这个技术本身,其实我认为是非常valuable(宝贵),但是现在我个人对整个技术的看法是,它还是有些limitation(限度),因为形式化验证本身对于程序的开发要求是非常高的,而且形式化验证想要能够实现一定的自动化和规模化,就需要非常优秀的人才,填喂大量的数据,一段代码正确的规范应该是什么样子,其实很难写得很正确,这个东西非常需要人类的智慧来做。所以当我们想把它做成社区的时候,其实是希望有更多人来提供他的智慧,来写出更多规范,让大家互相可以参考。

另外一方面就是,这工具本身的开发难度是比较高的,这就有一个逻辑上的问题:如果我开发了一个工具,用这个工具去验证另外的代码是不是正确的,这样就有一个问题,那就是我的工具到底有没有问题。这样就造成了工具需要社区来监督和共同探索,就是工具开发得到底是不是合格标准,这个东西其实也是要对它做一些开放式研究。

我们下一阶段,其实想把这个东西做得更加偏向社区,能够做得更加开源,让大家都能看到这个东西是怎么做的,有没有逻辑上的错误。因为这个东西其实本身比较难做,我们想要通过更好的模式,吸引社区里更多的人一起来参与开发,把这个工具更多完善,大家一起来共建一个生态社区,这是我们对Formal Verfication的一些想法。

Lily:

目前来讲,Auditor在市场上大概有多少位?什么样的人适合做这样的工作?

夏远:

Auditor在市场上其实是非常抢手的,尤其是好的Auditor。我聊过几个社区的,他们两个人的团队一年可以挣几百万美金,这是一方面。其实整体而言,因为这个行业本身是一个比较年轻的行业,倒推六七年其实是没有这个行业的,所以所有在这个行业里的人都是临时出来学的。所以目前看来,人不是特别多。我们是看到这个行业在慢慢往前走,人也在慢慢变多,更多的人愿意来做这个事情,有更多资料在产生,有更多的总结更多的内容出来了,这是一方面。

另外一个方面,我们在看整个Auditor的人员中,会比较看一些行业经验。其实行业经验是非常重要的,你经历过多少错误,看过多少东西,在你的审计过程中其实会对你很有帮助,这是第一点;第二点,我们也看到,比如说我们在选拔一些Auditor的时候,对于质量非常有要求的一些客户,会非常介意到底是谁在审,他希望能够指定某些人,我还能看到他的背景资料等等之类,这样我才知道他到底怎么样。

其实目前行业里,Auditor本身对行业非常有热情,也有很多人想要进入行业,我们Secure3也想提供一些机会给这些人,让他们能够慢慢建立一些track record(业绩记录),能够在行业里慢慢开始成长。

Lily:

欢迎大家积极加入Secure3这家公司,我也问一下Allen,你们最近还招人吗?在哪里能看到你们的招聘信息?

夏远:

招的,我们招很多人。大家可以关注我们的公众号,我们会在公众号上发布一些招聘信息。我们的网站上也会有招聘信息在secure3.io/jobs,同时也可以给我们写E-mail,jobs@secure3.io,我们在找大量安全方面/产品方面/工程方面的人才,如果你有兴趣,欢迎跟我们一起来改变这个行业。

关注Secure3公号,

了解他们的最新动态!

推荐内容