重塑Web3信任：CertiK首席商务官在Proof of Talk深入探讨行业长期安全机制

6 月 11 日，在全球顶级Web3与 AI 峰会 Proof of Talk 期间，CertiK 首席商务官 Jason Jiang 受邀出席“构建Web3协议信任（Building Trust in Web3 Protocols）”主题圆桌论坛，与 Innerworks 的 CEO 兼联合创始人 Oliver Quie、Hacken 的 CPO Denis Ivanov 一起，讨论“如何为Web3项目建立真实、可持续的信任”。

当“安全审计”逐渐被包装成营销话术，Web3项目如何避免“审计洗白（audit-washing）”，构建面向未来的安全信任？

在论坛上，Jason Jiang 直言，当前行业存在显著的“审计洗白”现象。也就是说，一些项目仅凭发布一份审计报告，就声称自身“安全”；无论报告的时效性、范围或结果如何，就将审计报告当作“安全徽章”。

他指出，即使是高标准的静态代码验证，也只是安全模型中的一个环节。它是必要的，但远远不够。很多风险其实发生在审计之后：例如，可升级合约在审计后可能引入新的攻击面，治理机制的偏离，或是由外部账户（EOA）控制的管理功能，都可能导致审计时的假设失效。

此外，还有一些超出静态分析能力的风险：例如预言机、跨链桥、流动性变化和可组合性等因素，都会带来新的动态依赖。

因此，Jason Jiang 强调：“已审计”绝不等于“安全”。

CertiK 的模块化与实时安全模型

为应对这些挑战，Jason Jiang 详细阐述了 CertiK 正在积极构建和倡导的“可组合、持续性的验证与信任机制”。

首先，CertiK 正积极推动链上审计证明机制的建立。即审计报告经加密签名后链上存证，并与合约特定字节码的哈希绑定。CertiK 正致力于推动这一机制成为行业标准。

其次，是实时安全监控与风险评分。通过 Skynet 平台，CertiK 可动态监控合约交互行为（如闪电贷、权限提升）、金库行为、DAO 治理的风险点（如提案注入），以及代币经济的异常波动。这些数据可生成实时风险画像，为用户持续提供安全状态反馈。

第三，是建立持续验证流程。CertiK 将安全检查融入开发全生命周期（CI/CD）。包括在代码变更时进行差分模糊测试，使用模拟攻击模型测试（如 MEV 机器人、三明治攻击），以及在治理或升级事件发生时，触发新的审计流程。

第四，是探索 AI 辅助审计与协同验证。CertiK 正在探索 AI 模型，用于预审计筛查和大规模识别反模式。这样可以让人工审计师专注于协议核心逻辑、边缘场景以及协议上下文分析，从而实现“人机协同的大规模安全保证”。

协议设计：信任的架构基石

在谈及协议设计如何影响用户信任时，Jason Jiang 进一步指出，许多风险并非来自代码漏洞，而是源于架构假设。他特别提到对权限、控制权和升级机制中未明确的假设，是影响信任的重要因素。

他分析了几个关键设计向量对信任的具体影响：

在可升级性与不变性方面，如果项目需要保留升级能力，应强制使用多签控制，并结合具有时间延迟的链上治理机制。同时，应赋予社区明确的否决权。这样可以避免关键权限由少数外部账户（EOA）掌控，从而维护去中心化的承诺。

在模块化与开源方面，核心组件如核心算法、金库管理、治理模块等，应进行隔离设计。每个模块应支持独立测试和验证，以减少复杂依赖带来的风险。透明化的失效保护机制（如时间锁、可暂停合约、熔断机制），也必须配合清晰的应急流程，防止隐藏的“紧急权限”架空这些机制。

最后，治理实践应做到完全链上化，并具备可审计性。需要清晰披露：谁拥有何种升级权限、升级流程如何运作、时间限制如何设置。只有这样，治理才能真正落地，而不是停留在理论层面。

Web3信任公式：信任=代码 行为 文化 合规

面对Web3特有的挑战，一个高度去中心化且缺乏身份背书的环境，Jason Jiang 提出了构建信任的公式：信任=代码 行为 文化 合规。

他指出，协议赢得信任不仅依赖于代码质量，还在于项目在压力下的行为模式。其中，几个关键行动至关重要：

首先，项目应实施并持续维护漏洞赏金计划。这一机制是否资金充足、响应是否及时、支付是否高效，直接反映了项目的运营成熟度和对透明开放的承诺。

其次，在安全事件不可避免时，项目应发布透明、详实、技术严谨的复盘报告。报告应说明事件根本原因、明确承认失误、评估影响，并提出改进措施。即使在危机中，这样的处理也能积累制度性信任。

此外，项目还应通过时间证明自身韧性。表现包括：应对市场剧烈波动的承受力、对安全威胁的快速透明反应、以及不断适应新型攻击的能力。Jason Jiang 总结到：“在加密世界，一年相当于传统行业的八年。一个稳定运行六年的项目，等于赢得了半个世纪的信任。”

本次 Proof of Talk 峰会的圆桌讨论汇聚了行业顶尖安全专家。与会者一致认为，要重塑Web3信任的基石，并推动其可持续发展，必须在多个维度展开深度合作。这包括底层技术创新、协议设计优化，以及项目行为的长期验证。在此背景下，CertiK 提出的实时、模块化安全模型，以及对“代码 行为 文化 合规”信任框架的倡导，为行业指明了重要的发展方向。

作为Web3安全公司，CertiK 始终在推动行业发展，从“审计即安全”迈向“安全即服务”。CertiK 将继续凭借其全生命周期产品、社区协同及 AI 技术，为Web3构建者提供可信、安全、透明的基础保障。