Wanxiang Blockchain Labが主催する2023 Shanghai Blockchain International Week・ブロックチェーングローバルサミットが本日開幕し、Wanxiang Blockchain会長のXiao Feng氏と香港特別行政区立法会委員（技術革新サークル）のQiu Dagen氏らをゲストに迎え、香港サイバーポート管理有限公司 最高経営責任者 レン・ジンシン 他業界をリードする Web3 セキュリティ機関として、CertiK はサミットの「Web3 コーナーストーン: セキュリティとプライバシー」ラウンドテーブル ディスカッションに参加しました。 CertiK の最高セキュリティ責任者である Li Kang 教授は、より安全な Web3 の未来を築く方法を他の Web3 セキュリティ機関の代表者と積極的に議論しました。

以下は、Li Kang 教授の円卓会議での講演の書き起こしです。

Q モデレーター: 現在の Web3 業界の発展について、また、Web3 業界の発展における Web3 のセキュリティとプライバシーの位置づけと重要性についてどう思いますか?

李康教授：

Web3 業界全体は初期段階にありますが、発展段階でもあります。ユーザーにとって、Web3 の使いやすさには大きな改善の余地があります。 Web3 業界は依然として非常に細分化されているため、誰もが隅々まで構築し、非常に幅広い人気のアプリケーションを開発しようとしていますが、まだ模索段階にあります。

開発者にとって、Web3 は 5 年前よりもはるかに優れた段階に入りました。開発者にとって、現在では多くのプラットフォームとツールが利用可能であり、誰もが構築を開始しており、最高のものの間で競争する段階さえあります。開発者にとって、それは初期段階ではありませんが、すでに始まっています。

Web3 は安全でなければならないというのが私たちのコンセンサスであり、分散型フォームがセキュリティで保護されていない場合、一般の人が Web3 を使用する方法はありません。偽物を排除して本物を保存し、質の高いプロジェクトと粗末なプロジェクトを区別し、安全なプロジェクトと危険なプロジェクトを区別する方法がなければ、コミュニティは発展しません。そのため、安全性は必須だと思います。

Q モデレータ: Web3 のセキュリティとプライバシーに関する成功した実践経験と成熟した軌跡は何だと思いますか?そして、これらの産業やトラックの将来の発展をどのように見ていますか?

李康教授：

他のゲストはこのトラックについて、ユーザー主導と規制主導の観点から話していましたが、私も基本的に同意します。私はこのトラックを別の次元から見ていて、たとえば、プロジェクトのライフサイクルで見ると、監査はプロジェクトがオンラインになる前に行われることが多く、プロジェクトがオンラインになった後も更新が必要になります。しかし、オンライン化する前の部分は、よく行われる監査サービストラックです。この部分にそのような需要があることは誰もが認識しています。それがどのような価値を提供しますか? このトラックが良いかどうかは別の問題です。オンライン化後のモニタリングもありますが、オンライン化プロジェクトではどのようなトランザクションが行われるのでしょうか？リスクはありますか?

もう一つ、事件発生後の対応というトラックがあります。 CertiK もこれを行い、何が起こっているのかを発見し、お金を追いかけるのを支援します。プロジェクトがオンラインになる前の監査、プロジェクトがオンラインになった後の監視、インシデント後の追跡と回復など、さまざまな側面があります。

Q モデレータ: Web3 のセキュリティとプライバシーに対する現在の最大の課題は何だと思いますか?そして、これらの課題にどのように対処すべきでしょうか?

李康教授：

課題はたくさんありますが、ここでは 2 つ挙げます。

まず、ユーザーのセキュリティ意識を責めることはできませんが、最大の課題は、現在の Web3 開発者のセキュリティ意識の欠如です。私の個人的な理解と経験に基づくと、国内外を問わず、大手 Web2 企業の開発者はセキュリティ意識を非常に重視しています。 15年前なら、開発者は安全性を意識せずにプログラムを書くことができたかもしれないが、今は大規模な工場ではそれは不可能である 安全性開発に注意を払わないプログラマーは、大規模な工場では4分の1で排除されるのは難しいだろう。

Web3では海外の開発者は卒業したばかり（あるいは卒業していない）の学生が多く、転職した人も多いです。全体的な開発意識とセキュリティ意識が非常に不十分です。別の裏付けとなる例を挙げると、Immunify は最近、バグ報奨金で見つかったセキュリティ問題のトップ 10 を発表しましたが、最大の問題は、プログラム入力にセキュリティ チェックが行われていないことです。開発コミュニティは成長する必要があるため、開発者はセキュリティを意識する必要があります。

第二に、マネージャーもプロジェクト側の全員もセキュリティ意識が不十分です。たとえば、Rekt News で問題が発生したプロジェクトの 80% は監査を受けていません。監査ができない可能性があるという前のゲストの意見にも私は強く同意します。問題を解決できるかどうか、すべての安全上の問題。しかし、やらないよりはやった方がはるかに良いです。

次に、マネージャーもプロジェクト側の全員もセキュリティ意識が不十分です。たとえば、Rekt News で問題が発生したプロジェクトの 80% は監査を受けていません。また、前のゲストが監査を行っていない可能性があるという意見に私も強く同意します。問題を解決できるかどうか、すべての安全上の問題。しかし、やらないよりはやった方がはるかに良いです。

エコシステムの中には、セキュリティは 1 つの製品やサービスだけで完全に解決できるものだと考えている人がまだいます。あなたの製品を購入するか、当社の監査を利用すれば安全です。彼はセキュリティを、製品を購入するだけで解決できる 1 回限りのソリューションだと考えています。これは Web2 では当てはまりません。セキュリティはリスク管理であり、長期的な投資です。この2点を変えないと先に進むことは難しいので、2つの大きな課題を乗り越えなければなりません。

あなたは投資をしますが、攻撃と防御の非対称性により、常にハッカーのほうが有利になります。なぜ戻ってくるときに安全でなければならないのですか？安全とは、リスクがゼロになると保証できるわけではないからです 安全とは、競争相手より速く走れることを意味します クマが追いかけてきた場合、必ずしもクマより速く走る必要はありませんが、競争相手より速く走らなければなりません、それは哲学の変化です。

Q 司会者：AIの発展とWeb3の関係はどうなっていると思いますか？ AI は Web3 のセキュリティとプライバシーに対してどのような助けと想像力を持っていますか?

李康教授：

まず、セキュリティにおける AI の使用で最も議論されているのは、AI 手法を使用してコードのセキュリティ問題を発見し、監査作業を支援することです。この部分についてはよく議論されているので、ここでは触れません。

第二に、AIGC は Web3 と組み合わせることで非常に有望な方向性になる可能性がありますが、コンテンツの所有権はブロックチェーンで保護する必要があり、セキュリティの役割が非常に重要です。 AI がデータを生成し、それを Web3 コンテンツと組み合わせることができると一般の人が信じている場合、セキュリティ保護が非常に必要になります。

Q モデレータ: マネージャーおよび技術リーダーとして、Web3 セキュリティにはどのような人材が必要だと思いますか?また、Web2 セキュリティ実務者は Web3 セキュリティ分野にどのように参入すべきだと思いますか?

李康教授：

Web2 のセキュリティが得意な方は、ぜひ挑戦してください。十分な問題があり、遭遇する敵は Web2 の敵と同じです。以前は Web2 で攻撃していましたが、今は Web3 にいます。だから来てください。の上。

Web3 テクノロジーの継続的な発展に伴い、Web3 のセキュリティの見通しはますます注目を集めるようになります。まだまだ多くの課題に直面していますが、CertiK は今後も開発者とユーザーに優れたセキュリティ エクスペリエンスを提供し、Web3 業界のさらなる発展と普及を促進していきます。