CertiK 审计:走进最大的 Web3 安全审计机构
“经 CertiK 审计”字样出现在代币落地页上,就像儿童汽车座椅上的安全贴纸一样。它本意是:有人检查过,您可以放心。CertiK 是 Web3 安全领域的领军企业,对许多投资者来说,这个标志已经成为“可能安全”的代名词。问题在于,一些贴有此标志的项目仍然损失了数百万美元。那么,CertiK 审计究竟能带来什么好处?本文将介绍 CertiK 是什么,它的审计和 Skynet 评分是如何运作的,它们在哪些方面有用,以及这个标志在哪些情况下意义不大。
CertiK 是谁?它为何在 Web3 安全领域占据主导地位?
CertiK并非智能合约审计的发明者,而是将其产业化。该公司将原本由少数密码学家完成的缓慢而繁琐的流程,转变为一个项目可以购买、展示并在投资者询问代码安全性时可以作为参考的品牌。
从耶鲁大学实验室到一家市值20亿美元的公司
两位计算机科学教授于 2018 年创立了 CertiK:哥伦比亚大学的顾荣辉和耶鲁大学的邵忠。他们的理念非常学术化,甚至可以说是固执己见。他们运用形式化验证——一种用于证明软件功能符合其宣称的数学方法——来确保区块链代码的正确性,而不仅仅是“经过测试”。这是一个小众的想法,但它仍然获得了巨额资金。 据 TechCrunch 报道,截至 2022 年 4 月,CertiK 已融资约 8800 万美元,估值达到 20 亿美元,高盛、老虎环球基金、红杉资本和软银愿景基金都参与了投资。总共进行了九轮融资,总额约为 2.96 亿美元。对于两位最初研究编译器定理的学者来说,这成绩相当不错。
“最大审计机构”真正衡量的是什么
CertiK 的主要数据在于数量。他们审计了超过 6100 个项目,在这些安全审计中发现了超过 91000 个漏洞,审查的资产价值超过 3600 亿美元,客户包括 Aave、Polygon 和 BNB Chain 等。规模确实庞大,但这恰恰也是问题所在,因为“规模最大”指的是审计公司完成的审计数量,而不是单次审计的深度。一家公司出具的报告数量超过其他任何公司固然令人印象深刻,但数量和严谨性并非一回事,而这两者之间的差距正是大多数批评的根源所在。以下是这种批评的具体体现:CertiK 审查的项目数量如此之多,以至于它的名字既出现在一个无关紧要的梗代币上,也出现在一个严肃的协议上,两天的审核和几个月的审查获得的徽章是一样的。买家很少能分辨出哪个是哪个。这种徽章的扁平化才是真正的问题所在。
CertiK 审核流程详解
CertiK审核并非单一环节,而是由两个层面叠加而成。了解这两者的区别,能让你更好地理解最终报告能够做出哪些承诺,又有哪些限制。
形式化验证与人工审核
第一层是形式化验证。CertiK 并非运行智能合约并观察其运行情况,而是构建代码的数学模型,并证明某些属性是否始终成立,无论输入如何。其 DeepSEA 编译器正是为此而生。形式化验证对于诸如“余额是否可能为负”这类具体问题非常有效,但它只能检查预先设定的属性。
第二层是人工审查:工程师逐行阅读代码,查找逻辑错误、不合理的假设以及模型无法识别的细微错误,因为没有人指示模型去检查这些错误。大多数真正的发现都来自这一层。根据代码量的大小和复杂程度,整个过程耗时从小型项目的约 48 小时到大型协议的数周不等。
阅读报告:“已解决”与“已确认”的区别
最终交付成果是一份报告。它会根据严重程度(严重、主要、次要和信息性)标记每个漏洞,并记录项目针对该漏洞采取的措施。最后一列的重要性远超人们的想象。标记为“已解决”的漏洞表示团队已修复,并且 CertiK 已重新检查。标记为“已确认”的漏洞表示团队已阅读该漏洞,但置之不理,仍然发布了。两个项目可能都带有相同的标记,但其中一个项目修复了所有漏洞,而另一个项目却忽略了其严重警告。标记本身并不能区分它们,而报告可以。这也是报告日期如此重要的原因。代码会发布,然后发生变化;一年前和十次升级前的审计报告所描述的项目,可能已经不再以当时审查时的形式存在于链上了。
| 阶段 | CertiK 的功能 | 捕捉 | 盲点 |
|---|---|---|---|
| 形式验证 | 用数学方法证明代码的特定属性。 | 既定规则中的数学和逻辑缺陷 | 任何超出指定属性范围的内容 |
| 人工审核 | 工程师们手工解读代码。 | 逻辑漏洞、错误假设、已知攻击模式 | 链下系统,审计后代码变更 |
| 报告和复审 | 按严重程度列出调查结果,并重新检查修复方案 | 问题是否得到解决 | 团队是否实际部署了修复版本 |
天网和 CertiK Web3 安全评分
审计是一次性的快照。Skynet 是 CertiK 试图提供的持续性服务:一个实时仪表盘,用于监控项目上线后的运行情况,并为每个项目分配一个安全评分。该公司表示,它监控着超过 20,000 个链上项目。
该评分综合考虑了多个因素。它会考察项目是否经过审计、其团队是否通过了 CertiK 的 KYC 审核(分为金、银、铜三个等级),以及合约的运行情况——Skynet 通过运行时监控分析链上合约行为,并在异常情况发生时发出警报。Skynet 还会对跑路骗局和漏洞利用发出链上监控警报,并提供排行榜对项目进行排名。作为一项初步指标,Skynet 评分确实很有用。它比阅读完整报告更快,并且能够标记出明显的危险信号。但它也是 CertiK 出售的产品,部分数据来自 CertiK 提供的输入,高分从来都不是项目安全的保证。请将其视为一个数据点,而非最终结论。过往案例也证实了这一点。一些项目在被攻击或悄然放弃之前,都曾拥有令人瞩目的 Skynet 评分,因为主要基于过去行为的评分无法预测恶意变更的发生。它只能告诉你一个项目还没有失败,但不能告诉你它永远不会失败。
超越审计:CertiK 生态系统的其他部分
审计是其核心服务,但 CertiK 提供的远不止于此。渗透测试会对钱包、交易所和应用程序进行模拟攻击。漏洞赏金计划(平台费用全免)会向外部黑客支付报酬,让他们在犯罪分子之前发现漏洞。此外,还有 KYC(了解你的客户)服务,用于验证匿名创始人的真实身份;SkyInsights 服务,用于满足受监管公司在 MiCA 和 DORA 法规下所需的合规和反洗钱工作;以及 SkyTrace 服务,用于在资金被盗后跨链追踪资金。所有这些服务都不能取代审计,而是围绕审计展开,因此,一次性服务会悄然演变为涵盖去中心化项目整个生命周期的订阅服务。
先经审计后遭黑客攻击:当攻击途径漏网之鱼
以下是那些华丽的解释文章所忽略的部分。审计是对特定时刻特定代码的快照。它并非保证,而将其视为保证正是导致人们在纸面上一切“正确”的项目上蒙受损失的原因。
审计不包括哪些内容
智能合约审计只检查合约本身,并不检查创始人是否持有可以让他们清空资金池的管理员密钥,也不检查网站、服务器或背后的私钥。它不会检查团队在审计结束后部署的代码版本,而该版本可能与审计前的版本不同。而且,它也无法阻止团队卷款潜逃。大多数导致项目资金被清空的攻击手段并非来自被审计合约本身的漏洞,而是存在于合约周围的安全漏洞之中。
Merlin DEX 案例:已被标记但仍被利用。
Merlin DEX 就是一个最典型的例子。CertiK 对其进行了审计,审计报告确实指出了问题所在:该项目的合约过于集中,存在特权访问权限,恶意内部人员可以利用这些权限进行滥用。2023 年 4 月,正是利用这一漏洞,窃取了约 182 万美元。审计报告并没有错,它指出了风险。但该警告被放在了“已确认”一栏,而不是“已解决”一栏,而攻击者却径直穿过了报告已经指出的漏洞。发现漏洞很容易,但采取行动是客户的责任,而 Merlin 的团队却从未这样做。
从更宏观的角度来看,这一趋势令整个行业感到不安。CertiK 的 Hack3d 报告显示,损失不降反升。该公司统计,2024 年 760 起事件共造成约 23.6 亿美元被盗, 2025 年 630 起事件共造成约 33.5 亿美元被盗,其中 2025 年的数字被 Bybit 14.5 亿美元的单笔数据泄露事件拉高。Chainalysis 的独立数据显示,2025 年的被盗金额接近 34 亿美元,其中约 20.2 亿美元与朝鲜相关组织有关。这些组织越来越多地将目标转向合同相关的人员和基础设施,而非合同本身,而这恰恰是审计无法覆盖的领域。加强审计并不意味着犯罪减少。
| 年 | 已报告的损失 | 事件 | 单曲最高分 |
|---|---|---|---|
| 2024 | 23.6亿美元 | 760 | — |
| 2025 | 33.5亿美元 | 630 | Bybit,14.5亿美元 |
Kraken事件与CertiK的信任问题
对于一家以信任为卖点的公司来说,自身的行为也是产品的一部分。但最近发生的两件事让这一点变得很尴尬。
2024年6月,CertiK的研究人员在加密货币交易所Kraken中发现了一个零日漏洞,但他们并没有仅仅发布报告,而是利用该漏洞从Kraken的系统中盗取了约300万美元。CertiK声称此举是为了证明该漏洞的严重性。Kraken则称其为敲诈勒索,并表示该公司最初拒绝归还资金,直到迫于压力才同意。最终资金被退还,但这一事件的舆论环境十分恶劣:一家安全公司大规模利用客户来证明自身立场。随后在2025年初,CertiK就其与Huione(一家柬埔寨公司,后来被指与强迫劳动诈骗团伙有关)相关的工作道歉。但这并不意味着CertiK的审计报告毫无价值。这确实意味着,一家要求市场相信其报告的公司现在必须重建其信誉,而据报道,该公司正在为此做准备,以期最终以约20亿美元的估值进行IPO。
CertiK 与其他 Web3 安全公司对比
CertiK是区块链安全领域最知名的公司,但并非唯一,而且对于许多项目来说,它并非首选。审计市场大致可分为规模型公司和精品公司。精品公司服务的客户较少,但往往提供更深入的审计服务,许多精品公司还会制定自己的安全标准,这些标准往往超出大型公司执行的能力范围。正因如此,涉及大量资金的协议通常会付费请精品公司提供第二意见。规模和深度并非同一概念,正确的选择取决于您项目的阶段和预算。价格也反映了这种差异:小型代币的审计费用可能只需几千美元,而对复杂协议的全面审查则可能高达六位数。
| 公司 | 重点 | 以……而闻名 | 模型 |
|---|---|---|---|
| CertiK | 广泛的 Web3 安全性 | 销量、天网、品牌认知度 | 规模 |
| 比特轨迹 | 高可靠性安全 | 深入的手册审查、研究 | 精品店 |
| OpenZeppelin | 智能合约安全性 | 广泛使用的合同库 | 精品店 |
| 哈尔伯恩 | 区块链和基础设施安全 | 渗透测试,高级漏洞利用 | 中型 |
| 哈肯 | Web3 审计和监控 | 经济高效的审计 | 中型 |
如何解读 CertiK 审核徽章
所以,当你在某个项目上看到“经 CertiK 审计”的字样时,在相信它之前,请打开实际的报告并检查以下五点。首先,范围:哪些合同被审查了?你的资金是否在其中?其次,日期和提交哈希值,然后将它们与实际运行的代码进行比较,因为它们经常存在差异。第三,发现的问题:有多少是关键问题?这些问题是已解决还是仅仅被确认?第四,审计版本是否与已部署版本一致?第五,不要仅仅依赖 Skynet 评分;它只是一个概要,而不是完整的报告。
关于股票代码,这里简单解释一下,因为很多人容易混淆。CertiK 公司本身是私营企业,没有股票。CTK 是神图链的代币,神图链是一个独立的权益证明网络,与 CertiK 的早期项目相关。购买 CTK 并不代表购买了审计业务的股份。如果您是来寻找“CertiK 股票”的,那么很遗憾,目前还没有 CertiK 的股票。
CertiK 审核的真正价值
那么,CertiK 审核到底值不值?答案是肯定的,但也要有一定的限度。它提高了审核的底线,筛选出偷工减料的代码,将真正的风险记录下来,并为认真负责的团队提供一份待办事项清单。但它无法为团队担保。它不会保证已部署的代码与审核时的代码完全一致,也不会保证任何被标记的风险都已真正得到解决。请将 CertiK 认证徽章视为尽职调查的起点,而非终点。所以,下次当你看到“已通过 CertiK 审核”的字样时,不妨做一件几乎没人会做的事:打开报告,仔细阅读“已修复”那一栏。如果项目方拒绝向你展示报告呢?这种不配合本身就是一种答案。一个你无法核实的徽章,仅仅只是一个标志而已。
