近日，權威網絡安全媒體CyberSecAsia發布了對CertiK首席安全官Wang Tielei博士的專訪，雙方圍繞企業在進軍區塊鏈領域時所面臨的關鍵安全風險與防御策略展開深入探討。

Wang博士在采訪中指出，跨鏈橋攻擊、智能合約漏洞以及私鑰管理不當，已成為造成Web3.0重大資產損失的核心因素。他強調，傳統網絡安全手段難以覆蓋去中心化系統的復雜攻擊面，企業亟需構建“安全優先”的開發流程，并引入形式化驗證、實時威脅監測、專業安全審計等多維手段，打造全鏈條防護體系。

以下為專訪全文：

---

安全威脅持續攀升，區塊鏈應用如何破局？

企業在采用區塊鏈技術和智能合約的過程中，正面臨哪些關鍵風險？又該如何主動構建防御機制，以應對日益復雜的區塊鏈相關威脅？

普華永道（PwC）的一項調查顯示，84%的企業正在將區塊鏈納入其技術架構，反映出該技術日益走向主流。

然而，伴隨這一趨勢而來的，是日益嚴峻的安全挑戰。根據Chainalysis發布的《2025年加密犯罪報告》，僅在2024年一年內，Web3.0平臺就被盜取了22億美元，其中朝鮮黑客造成的損失高達13.4億美元，占總額的61%。

盡管在執法力度加強的背景下，勒索軟件的支付金額同比下降了35%，但2024年的相關損失仍高達8.1億美元。

這些數字凸顯了企業在進軍區塊鏈領域時，制定全面安全策略的緊迫性。在監管不斷演進、網絡威脅日益復雜的背景下，深入理解安全形勢是確保區塊鏈技術可持續發展的關鍵。

為深入探討區塊鏈落地應用中的核心風險、智能合約盡職調查的重要性，以及如何通過前瞻性安全手段應對新興威脅，我們采訪了CertiK首席安全官Wang Tielei博士。

企業采用區塊鏈的最大機遇是什么？

Wang Tielei博士：區塊鏈為企業帶來了前所未有的機遇，能夠在各行業中提升透明度、安全性與運營效率。在供應鏈管理方面，區塊鏈能夠實現商品與服務的實時、不可篡改追蹤，從而減少欺詐風險與低效運營，并幫助企業滿足合規要求。對于金融機構而言，區塊鏈可支持無需中介的即時跨境交易，不僅顯著降低成本，也提升了金融服務的可觸達范圍。

此外，去中心化身份解決方案可強化用戶身份驗證的安全性，減少對易受攻擊的傳統密碼系統的依賴。而將現實世界資產（如房地產、知識產權）代幣化，使這些傳統上流動性不足的資產變得更易獲取與交易，從而解鎖新的商業模式。

2024年Web3.0平臺損失達22億美元，目前最緊迫的安全隱患是什么？

Wang Tielei博士：這類損失凸顯了區塊鏈領域存在的系統性安全風險，尤其集中在智能合約漏洞、跨鏈橋攻擊以及私鑰泄露等方面。

跨鏈橋依然是黑客的重點攻擊目標，其架構中的薄弱環節常被利用，以實現跨網絡的資金竊取。智能合約層面的風險點往往源于部署倉促或審計不到位，引發重入攻擊和邏輯漏洞等安全事件。

此外，近期釣魚和社會工程攻擊顯著增加，致使用戶私鑰和錢包泄露。威脅形態快速演變，企業亟需建立嚴密的安全體系，包括實時威脅監測、多層認證，以及對智能合約與協議的定期審計。

為何安全專家對區塊鏈企業至關重要？

Wang Tielei博士：與傳統IT系統不同，區塊鏈運行在一個去中心化且去信任的環境中，一旦出現安全漏洞，往往會導致不可逆的財產損失。企業需要明確，區塊鏈安全遠不止于常規的網絡安全防護，它依賴于對密碼學、共識機制以及智能合約安全部署等方面的專業能力。

如果缺乏經驗豐富的安全專家，企業很可能在產品上線后暴露出可被利用的漏洞，帶來嚴重的經濟損失與聲譽風險。因此，聘請區塊鏈安全專家開展代碼審計、滲透測試以及持續監控，是構建信任與系統韌性的關鍵一步。

企業如何兼顧區塊鏈創新與安全？

Wang Tielei博士：區塊鏈創新不應以犧牲安全為代價。企業可以通過實施“安全優先”的開發實踐來實現這一平衡，例如在部署前進行嚴格的代碼審計，采用形式化驗證保障智能合約的安全性，以及在用戶交互中集成多重要素認證和加密機制。

采用“零信任”安全模型，還可以確保在各個層級實施有效的訪問控制與驗證機制。定期開展漏洞賞金計劃，則能激勵白帽黑客在惡意攻擊者利用漏洞之前發現安全問題。

歸根結底，將安全從一開始就嵌入創新流程，而非事后補救，才能確保新的區塊鏈解決方案持續保持其前沿特性。