CyberSecAsia专访CertiK首席安全官：区块链行业亟需“安全优先”开发范式

近日，权威网络安全媒体CyberSecAsia发布了对CertiK首席安全官Wang Tielei博士的专访，双方围绕企业在进军区块链领域时所面临的关键安全风险与防御策略展开深入探讨。

Wang博士在采访中指出，跨链桥攻击、智能合约漏洞以及私钥管理不当，已成为造成Web3.0重大资产损失的核心因素。他强调，传统网络安全手段难以覆盖去中心化系统的复杂攻击面，企业亟需构建“安全优先”的开发流程，并引入形式化验证、实时威胁监测、专业安全审计等多维手段，打造全链条防护体系。

以下为专访全文：

安全威胁持续攀升，区块链应用如何破局？

企业在采用区块链技术和智能合约的过程中，正面临哪些关键风险？又该如何主动构建防御机制，以应对日益复杂的区块链相关威胁？

普华永道（PwC）的一项调查显示，84%的企业正在将区块链纳入其技术架构，反映出该技术日益走向主流。

然而，伴随这一趋势而来的，是日益严峻的安全挑战。根据Chainalysis发布的《2025年加密犯罪报告》，仅在2024年一年内，Web3.0平台就被盗取了22亿美元，其中朝鲜黑客造成的损失高达13.4亿美元，占总额的61%。

尽管在执法力度加强的背景下，勒索软件的支付金额同比下降了35%，但2024年的相关损失仍高达8.1亿美元。

这些数字凸显了企业在进军区块链领域时，制定全面安全策略的紧迫性。在监管不断演进、网络威胁日益复杂的背景下，深入理解安全形势是确保区块链技术可持续发展的关键。

为深入探讨区块链落地应用中的核心风险、智能合约尽职调查的重要性，以及如何通过前瞻性安全手段应对新兴威胁，我们采访了CertiK首席安全官Wang Tielei博士。

企业采用区块链的最大机遇是什么？

Wang Tielei博士：区块链为企业带来了前所未有的机遇，能够在各行业中提升透明度、安全性与运营效率。在供应链管理方面，区块链能够实现商品与服务的实时、不可篡改追踪，从而减少欺诈风险与低效运营，并帮助企业满足合规要求。对于金融机构而言，区块链可支持无需中介的即时跨境交易，不仅显著降低成本，也提升了金融服务的可触达范围。

此外，去中心化身份解决方案可强化用户身份验证的安全性，减少对易受攻击的传统密码系统的依赖。而将现实世界资产（如房地产、知识产权）代币化，使这些传统上流动性不足的资产变得更易获取与交易，从而解锁新的商业模式。

2024年Web3.0平台损失达22亿美元，目前最紧迫的安全隐患是什么？

Wang Tielei博士：这类损失凸显了区块链领域存在的系统性安全风险，尤其集中在智能合约漏洞、跨链桥攻击以及私钥泄露等方面。

跨链桥依然是黑客的重点攻击目标，其架构中的薄弱环节常被利用，以实现跨网络的资金窃取。智能合约层面的风险点往往源于部署仓促或审计不到位，引发重入攻击和逻辑漏洞等安全事件。

此外，近期钓鱼和社会工程攻击显著增加，致使用户私钥和钱包泄露。威胁形态快速演变，企业亟需建立严密的安全体系，包括实时威胁监测、多层认证，以及对智能合约与协议的定期审计。

为何安全专家对区块链企业至关重要？

Wang Tielei博士：与传统IT系统不同，区块链运行在一个去中心化且去信任的环境中，一旦出现安全漏洞，往往会导致不可逆的财产损失。企业需要明确，区块链安全远不止于常规的网络安全防护，它依赖于对密码学、共识机制以及智能合约安全部署等方面的专业能力。

如果缺乏经验丰富的安全专家，企业很可能在产品上线后暴露出可被利用的漏洞，带来严重的经济损失与声誉风险。因此，聘请区块链安全专家开展代码审计、渗透测试以及持续监控，是构建信任与系统韧性的关键一步。

企业如何兼顾区块链创新与安全？

Wang Tielei博士：区块链创新不应以牺牲安全为代价。企业可以通过实施“安全优先”的开发实践来实现这一平衡，例如在部署前进行严格的代码审计，采用形式化验证保障智能合约的安全性，以及在用户交互中集成多重要素认证和加密机制。

采用“零信任”安全模型，还可以确保在各个层级实施有效的访问控制与验证机制。定期开展漏洞赏金计划，则能激励白帽黑客在恶意攻击者利用漏洞之前发现安全问题。

归根结底，将安全从一开始就嵌入创新流程，而非事后补救，才能确保新的区块链解决方案持续保持其前沿特性。