常见问题解答

CertiK 提供端到端的区块链安全、合规和基础设施服务，助力您 Web3 之旅的各个阶段。这些服务包括智能合约审计、形式化验证、渗透测试、储备证明、漏洞赏金计划、验证器和节点运营、反洗钱和风险情报，以及为构建或集成区块链系统的机构提供分布式账本技术 (DLT) 咨询服务。

CertiK 为交易所、托管机构、DeFi 协议、稳定币发行机构、代币化平台、金融机构、采用分布式账本技术的企业以及寻求机构级安全性的公共区块链生态系统提供支持。

CertiK 提供了一套结构化的路径，涵盖从战略和架构设计到安全验证、合规性调整、基础设施部署和持续监控的各个环节。这使机构能够在可控风险和合规准备的前提下顺利过渡到 Web3。

CertiK 将深厚的区块链原生专业知识与传统的安全理念相结合。其服务专为去中心化系统、智能合约和链上环境而构建，同时整合了合规性和运营风险框架。

不。CertiK 与进入区块链市场的加密货币原生团队和传统机构合作，包括需要可审计性、透明度和符合合规要求的受监管实体。

CertiK 为项目提供从早期设计和代码审查到启动、监控、验证器操作、合规性报告和实时风险情报的全过程支持，提供持续的安全保障，而不是一次性的评估。

通过独立审计、正式核实、储备金证明、反洗钱监控工具以及通过 Skynet 发出的公共透明度信号，CertiK 使项目能够证明可衡量的安全性和运营问责制。

区块链系统引入了独特的风险，包括不可逆交易、智能合约逻辑缺陷、跨链依赖、托管漏洞以及监管复杂性。CertiK 的服务旨在专门应对这些技术和系统性风险。

Web3渗透测试是一种主动安全评估，它模拟真实世界的网络攻击，在恶意攻击者利用漏洞之前识别应用程序、网络和基础设施中的漏洞。它结合了区块链专业知识和传统的攻击性安全技术，以保护智能合约、托管系统、钱包和后端服务。

Web3 环境引入了独特的风险，例如智能合约交互、密钥管理、链上/链下通信以及托管基础设施。有效的 Web3 渗透测试除了需要传统的 Web 和网络安全测试知识外，还需要深入了解区块链架构、去中心化系统和合规框架。

CertiK 测试应用程序（Web、移动、桌面、浏览器扩展、API）、内部和外部网络、区块链 RPC 基础设施、云环境（AWS、Azure、GCP）、AI 集成的 dApp、SDK 和源代码，以发现整个 Web3 堆栈中的业务逻辑、加密和依赖性风险。

渗透测试有助于在攻击者之前识别可利用的漏洞，从而降低经济损失、数据泄露和声誉损害的风险。它还展现了企业对安全的坚定承诺，增强了用户信心和生态系统信任。

CertiK 提供一份综合报告，其中包括执行摘要、威胁建模、详细的技术调查结果、严重性分类、重现步骤、概念验证证据以及根据项目风险状况量身定制的可操作补救建议。

CertiK 的渗透测试人员采用与威胁行为者相同的策略、技术和流程。这包括侦察、漏洞分析、漏洞利用尝试、权限提升和横向移动，以评估攻击者如何获取并维持未经授权的访问权限。

该过程包括五个阶段：准备和定义范围、通过侦察探索资产、利用已识别的漏洞、提升权限以模拟更深层次的入侵，以及提供详细的调查结果和补救指导以加强防御。

CertiK 将测试方法与 OWASP、NIST、PTES 和 CREST 等行业认可的标准保持一致，并支持 SOC 2、ISO 27001、MiCA、DORA、HKSFC 和 MAS 等监管框架，帮助项目满足技术和合规性驱动的安全要求。

已完成的渗透测试会反映在项目概况中，有助于提升 Skynet Score 在代码和运维类别中的指标。公开的渗透测试记录为更广泛的 Web3 社区提供了安全工作的透明证明。

CertiK 的内部团队由经验丰富的认证安全专家组成，他们兼具攻防两方面的专业知识，并持续开展 Web2 和 Web3 安全研究。这种以研究为导向的方法使团队能够始终领先于新兴威胁，并提供具有高影响力、贴近实际应用的测试结果。

形式化验证是一种数学过程，用于证明智能合约或区块链协议的行为完全符合预期。与仅仅依赖人工审查不同，形式化验证使用机器可读的规范和定理证明来检查所有可能的执行路径，从而有助于消除整类漏洞。

Traditional audits often rely on manual code review, which is flexible but inherently “best effort.” Formal verification goes further by mathematically proving that defined security and correctness properties always hold, ensuring that no undiscovered logical flaws remain within the specified scope.

智能合约一旦部署便不可更改，这意味着漏洞可能导致不可逆转的损失。形式化验证能够提供关于合约行为的数学保证，从而降低风险并增强用户、投资者和生态系统合作伙伴之间的信任。

形式化验证可以识别复杂的逻辑错误、微妙的共识缺陷、不正确的算术处理、重入风险、代币标准不一致以及协议级别的边缘情况，而这些问题仅靠人工检查可能无法发现。

CertiK 的定制形式化验证服务由安全专家根据项目的独特逻辑创建精确的、机器可读的规范。这些规范会使用 CertiK 的专有系统进行数学验证，从而提供超越自动化检查的最高级别安全保障。

CertiK 会自动验证广泛使用的智能合约标准（例如 ERC-20 和 ERC-721）的常见属性。这包括检查代币行为一致性、访问控制约束和常见漏洞利用模式。

是的。CertiK 正式验证区块链构建模块，包括共识协议、主链合约、模块化框架、zkVM 组件，甚至包括 enclave 虚拟机管理程序等基础架构。

通过对所有可能的执行路径进行数学分析，形式化验证能够将覆盖范围扩展到人工审核人员实际难以企及的程度。它确保指定的属性在所有场景下都成立，而不仅仅是抽样的测试用例。

CertiK 已运用形式化验证技术完成了数千项审计，并为主流区块链框架、零密钥虚拟机 (zkVM) 和基础设施组件的形式化验证做出了贡献。其开创性的方法使项目能够从初创阶段过渡到企业级安全，并获得数学上证明的保障。

智能合约是一种部署在区块链上的自动执行程序，它能够自动执行规则，并在满足预设条件时执行交易。与传统合约不同，智能合约无需中介即可完全按照代码运行，从而使去中心化应用程序（dApp）、代币转移、DeFi协议和其他Web3服务能够透明且自主地运行。

智能合约审计是由专业审计人员对区块链代码进行的全面安全评估，旨在识别漏洞、逻辑错误和安全风险。其目标是确保合约按预期运行，并在部署前提供清晰的补救指导。

智能合约通常能保障数十亿美元的价值，并且一旦部署就不可更改。审计有助于防止代价高昂的攻击，保护用户资金，并展现项目对安全性和运营完整性的承诺。

CertiK 结合了专家人工代码审查、人工智能分析和可选的形式化验证，以评估合同逻辑、安全控制和整体功能。这种分层方法确保了对潜在风险的全面覆盖。

审计可以发现重入风险、访问控制缺陷、算术错误、不当的令牌标准实施、逻辑不一致以及其他可能导致资金损失或意外行为的安全漏洞。

是的。已完成的智能合约审计报告是公开的，这有助于提高 Web3 生态系统的透明度，并允许用户、交易所和投资者独立审查项目的安全状况。

形式化验证是一个可选的高级步骤，它通过数学方法证明智能合约的行为符合自定义规范。它超越了人工和自动审查，在既定范围内为合约的正确性提供了强有力的保证。

凭借数千项已完成的审计、数万条审计结果以及在 Web3 平台方面的丰富经验，CertiK 赢得了各大交易所和行业领导者的信赖。其规模优势、严谨的技术水平和协作式方法，助力项目安全高效地启动。

了解你的客户 (KYC) 是一种尽职调查流程，用于验证项目背后个人和团队的身份。在 Web3 领域，KYC 通过确认协议或平台的负责人是经过审核的真实人员，从而帮助建立问责制和信誉，而无需公开他们的身份。

匿名性是 Web3 的核心特性之一，但信任对于用户、交易所和项目启动平台而言仍然至关重要。KYC 验证有助于防止欺诈、降低恶意行为者的风险，并证明项目团队已通过独立的身份验证和背景调查。

CertiK 的 KYC 解决方案专为 Web3 设计，兼顾隐私和责任。它使团队能够在向可信赖的合作伙伴和更广泛的市场证明其合法性的同时，确保敏感个人信息的保密性和安全性。

不。CertiK 的 KYC 流程是保密的。经核实的身份信息会按照严格的数据保护标准进行安全审核和存储，但除非双方约定的条款要求，否则个人信息不会公开披露。

CertiK 的 KYC 流程符合全球公认的合规标准，包括 ISO 27001 和 SOC 2，确保强大的数据保护、运营安全以及对敏感信息的受控访问。

项目团队的信誉度得以提升，而交易所、孵化器、投资者和社区成员则受益于更高的透明度和更低的交易对手风险。KYC（了解你的客户）是项目严肃性和长期承诺的体现。

许多领先的交易所和项目发布平台在上线项目前都要求进行某种形式的身份验证。CertiK KYC 可以提供业内认可的独立、可信的验证服务，从而简化这一流程。

KYC（了解你的客户）通过建立项目问责机制，有助于防止项目撤回、欺诈和恶意行为。它增强了生态系统的完整性，并降低了匿名团队逍遥法外的可能性。

随着全球监管法规的不断演变，身份验证在合规性方面发挥着日益重要的作用。CertiK KYC 可帮助项目符合新兴标准和预期，提升透明度、运营韧性和风险管理水平。

Skynet 是 CertiK 的实时 Web3 安全平台，提供基于数据的区块链项目安全性和整体健康状况洞察。它结合了链上监控和专家级链下分析，帮助用户进行尽职调查并自信地驾驭区块链生态系统。

Skynet评分是一个动态的、360度的评级系统，用于评估项目的实时安全状况和运行健康状况。它汇总了20多个链上和链下信号，从而清晰、一目了然地展现项目的现状。

Skynet评分综合考虑了多个分析维度，包括代码安全、运营风险、治理信号以及其他源自持续监控和专家评审的关键指标。这些信号会实时更新，以反映项目行为的变化。

Skynet 的设计初衷是为投资者、交易所、开发商、研究人员和社区成员提供评估项目风险、发现新机遇和做出更明智的 Web3 决策的平台。

Skynet 提供全面的项目概况，整合了审计历史记录、链上活动、实时警报和安全分析。这使用户能够超越营销宣传，评估项目的真实安全状况。

Skynet 提供免费工具，包括 Skynet 评分、精选排行榜、代币扫描、安全任务、社交情绪仪表板和精选 Web3 新闻，以帮助用户分析项目并随时了解最新动态。

Token Scan 是 Skynet 的一项功能，它允许用户立即评估代币合约的潜在风险漏洞，从而在与合约交互之前快速了解合约的安全性。

Skynet 排行榜重点展示各类顶级项目，例如新发布项目、筹款项目和认证团队，帮助用户根据安全性和可信度指标发现和比较项目。

Skynet持续监控项目，并提供实时评分更新、警报和安全新闻。这种主动式方法使用户能够跟踪风险态势的变化，并快速应对新出现的威胁。

是的。Skynet 提供免费访问其核心安全分析工具、排行榜和仪表板，使开发者和社区成员都能获得全面的 Web3 安全情报。

反洗钱（AML）是指旨在防止犯罪分子将非法资金伪装成合法资产的法律、法规和流程。在加密货币领域，反洗钱的重点在于监控区块链交易、识别可疑活动，并确保遵守全球金融法规。

SkyInsights是CertiK的链上智能和风险分析平台，旨在支持监管合规、反洗钱/反恐融资筛查和加密货币风险管理。它提供实时区块链数据分析、结构化标签和风险评分，以帮助组织检测和减轻非法活动。

SkyInsights 为交易所、DeFi 协议、托管机构、金融机构、合规团队和安全平台提供支持，这些机构需要实时区块链智能来管理风险并履行监管义务。

SkyInsights API 提供实时地址筛选、交易监控、实体归属、行为分类和风险评分功能。它可直接与反洗钱系统和合规工作流程集成，从而实现自动化和可扩展的风险评估。

地址标签通过识别关联实体（例如交易所、去中心化应用或混币器）以及行为指标（例如诈骗、漏洞利用或制裁风险）来对区块链地址进行分类。这种结构化情报有助于团队了解他们在链上与哪些人进行交互。

地址风险评分基于历史模式、行为分析和威胁情报，评估钱包地址参与可疑或非法活动的可能性。最终生成结构化的风险评级，有助于更快地做出合规决策。

交易风险评分通过分析区块链交易的属性和涉及的地址来评估特定交易的风险。这使得合规团队能够在交易执行前或执行后不久识别出高风险转账。

传统监控工具通常缺乏实时上下文和行为深度。SkyInsights 通过结合动态链上遥测、结构化实体行为分类和 CertiK 的威胁情报模型，增强了检测能力，从而提供更精细、更具可操作性的洞察。

SkyInsights 支持多个区块链网络，并维护着数十个实体类别和子类别中的数亿个地址标签，从而实现了广泛的生态系统可见性和全面的风险覆盖。

SkyInsights 提供符合不断变化的加密货币监管法规的反洗钱/反恐融资筛查、交易监控和调查分析。通过提供实时情报和结构化风险数据，它帮助企业在保持运营效率的同时，有效执行合规标准。

漏洞赏金计划是一种众包安全倡议，旨在奖励那些负责任地披露项目代码、基础设施或应用程序中漏洞的道德黑客。与被动等待漏洞利用不同，项目方会主动邀请安全研究人员在恶意攻击者之前识别并报告问题。

Web3 项目运行于高风险环境中，智能合约、API 和基础设施时刻面临攻击风险。漏洞赏金计划通过利用技术娴熟的白帽黑客，在传统审计周期之外发现漏洞，从而实现持续的安全评估。

CertiK 提供完全托管的端到端漏洞赏金平台，将项目与全球道德黑客社区连接起来。项目发起漏洞赏金计划，接收经过审核的提交，并直接奖励合格的漏洞发现，同时由 CertiK 的安全工程师进行结构化的监督。

CertiK 提供 0% 的赏金支付手续费，这意味着白帽黑客可以获得全额奖励。该平台还提供专业的提交审核、分类支持，并与 Skynet 指标集成，以增强信任度和透明度。

CertiK 的安全工程师会对收到的漏洞报告进行审核和验证，以过滤掉重复报告、误报或超出范围的发现。经核实的问题将获得上报，并提供切实可行的指导，以帮助项目团队高效地实施相应的修复措施。

参与其中的三个主要群体：寻求安全加强的项目、提交漏洞报告的道德黑客，以及通过排行榜和信任指标监控赏金活动和安全状况的社区用户。

根据范围的不同，道德黑客可能会报告智能合约缺陷、业务逻辑错误、API 弱点、基础设施配置错误、Web2 漏洞以及其他影响资金、数据或运营完整性的安全风险。

审计提供的是结构化的、有时限的审查，而漏洞赏金计划则提供上线后持续的、众包式的安全测试。这种持续模式有助于识别随着时间推移可能出现的极端情况或新兴攻击途径。

修复漏洞赏金调查结果与 Skynet 指标相结合，提高了项目的整体信任度评分，并表明了对主动安全管理的持续承诺。

CertiK 结合其 Web3 安全专业知识、全球道德黑客社区、结构化的分类流程和 0% 付款费用模式，为项目提供可扩展的、持续的保护，并在 Web3 生态系统中增强信誉。

分布式账本技术（DLT）是一种去中心化的系统，用于在多个节点上记录、验证和同步数据，而无需依赖中央机构。区块链是DLT的一种类型，但DLT还可以包括机构用于安全、透明和防篡改记录保存的私有账本和许可账本系统。

分布式账本技术 (DLT) 安全解决方案涵盖战略、架构设计、安全评估和合规支持，旨在为构建分布式账本系统的组织提供支持。这些服务包括链上智能合约、链下基础设施、治理设计和监管准备。

金融机构、企业、托管机构、交易所和部署公共账本、私有账本或许可账本的组织需要 DLT 安全服务来确保运营弹性、数据完整性和监管一致性。

DLT 咨询服务指导机构完成链选择、共识设计、验证器拓扑结构、代币化模型、治理结构、跨链架构以及链上和链下系统之间的集成边界。

分布式账本技术（DLT）安全评估涵盖智能合约、协议、共识机制、跨链依赖关系、治理系统和基础设施组件。评估重点关注授权控制、资金安全、业务逻辑完整性和升级机制。

是的。安全验证不仅限于智能合约，还包括后端 API、移动和 Web 门户、云基础设施、托管工作流程、密钥管理系统和运营安全控制。

CertiK 支持以太坊和 Solana 等公共区块链、Quorum 和 Besu 等私有框架以及机构网络，包括许可型账本环境。其覆盖范围涵盖 L1、L2、桥接器、节点、钱包和身份系统，并支持多种编程语言。

DLT合规咨询服务将技术实施与监管要求联系起来。服务内容包括监管框架映射、差距分析、补救路线图以及符合MiCA、DORA、MAS、SOC 2和ISO 27001等框架的许可证准备支持。

持续安全保障通过实时链上监控、基础设施支持、反洗钱/了解你的工具以及持续的风险情报，在产品上线后进一步保障安全，主动检测事件并保持监管合规性。

CertiK 通过管理核心网络基础设施、部署安全的链上服务（如稳定币和代币化资产）以及构建连接传统后端服务和去中心化账本的企业级支持系统，帮助将 DLT 战略转化为可用于生产的系统。

Layer 1 区块链是基础协议，负责验证交易、维护共识并确保网络安全。例如，公共区块链直接在其主链上处理交易，并定义自己的共识机制、原生代币和验证器基础设施。

二层解决方案构建于一层区块链之上，旨在提升可扩展性、降低交易成本或增强性能。二层区块链在主链之外处理交易，并定期将结果结算回底层一层区块链，以确保交易的最终性和安全性。

随着区块链应用的普及，第一层网络可能会面临拥堵、高额手续费和确认速度慢等问题。第二层解决方案则有助于提升交易吞吐量，同时利用底层链的安全保障。

第一层（Layer 1）的安全性取决于其共识机制、验证者集合和经济激励机制。第二层（Layer 2）的安全性则取决于其自身的设计以及底层第一层（L1）的完整性。不合理的桥接设计、提现机制或证明系统都可能引入额外的风险。

基础设施风险包括共识缺陷、验证者中心化、跨链桥漏洞、治理操纵、可升级性弱点、智能合约漏洞以及节点或托管基础设施配置错误。

桥接器使资产和数据能够在不同的链或层之间流动。虽然它们扩展了互操作性，但桥接器也引入了复杂的信任假设，并且由于设计缺陷或验证机制受损，历史上一直是攻击的主要来源。

安全的L1和L2基础设施能够增强用户、开发者和机构的信心。通过减少系统漏洞并增强运营弹性，区块链生态系统可以在保持信任和符合监管要求的同时实现可持续扩展。

SkyNode 是 CertiK 的区块链节点和验证器服务，旨在提升多个公共区块链生态系统的网络可靠性、安全性和性能。它将 CertiK 的安全专业知识扩展到验证器运营和基础设施管理领域。

SkyNode 提供验证节点和全节点操作、节点维护、渗透测试、自动化代码扫描、性能监控、客户端代码定制和灾难恢复解决方案，以支持安全且具有弹性的区块链基础设施。

SkyNode 将 CertiK 的审计和渗透测试专业知识应用于验证器运营，实施高级安全协议、加密、防火墙配置、密钥管理实践和持续漏洞评估，以降低运营风险。

SkyNode 支持多个公有区块链网络，并在十余条链上运行验证节点或全节点。其基础设施旨在跨越不同的生态系统和共识模型进行扩展。

节点维护包括链升级、安全补丁、治理操作、防火墙设置、密钥管理和配置加固，以确保节点保持安全、合规并与协议变更保持一致。

SkyNode 利用全球基础设施部署、地理冗余、自动故障转移计划和 24/7 全天候监控仪表板来优化交易处理、降低延迟并保持高可用性。

性能仪表板提供对验证器和节点操作的实时可见性，包括硬件指标、网络健康状况、共识参与度、延迟跟踪、质押性能和警报系统。

是的。SkyNode 包含实时节点安全评估和渗透测试，可在配置弱点、基础设施漏洞和潜在攻击途径被利用之前识别它们。

SkyNode 提供全面的验证器管理平台，可跟踪区块验证、佣金率、质押奖励、升级状态和治理参与情况，从而实现高效的验证器操作和质押透明度。

CertiK 融合了深厚的区块链安全专业知识、丰富的多链运营经验、全球基础设施部署能力以及对透明度的承诺。SkyNode 则整合了性能优化、安全加固和持续监控，以增强网络完整性和机构级可靠性。

储备金证明（Proof of Reserves）是一种独立的验证流程，用于确认平台拥有足够的资产来完全支持用户的负债。它提供透明的加密保证，确保客户余额由可验证的链上储备金作为抵押。

PoR通过证明资产未被虚假陈述或再次抵押，从而增强用户信任。它降低了交易对手风险，支持监管透明度，并为利益相关者提供了清晰的财务诚信证据。

CertiK 的 PoR 审计采用多阶段方法，对负债和资产进行验证。它使用保护隐私的技术以加密方式证明用户总余额，并通过链上验证方法确认钱包所有权，最终得出透明的抵押品分析结果。

用户余额会被汇总到一个称为默克尔树的加密结构中。每个用户都会被分配一个唯一的哈希值，这既能确保个人信息不被泄露，又能通过默克尔根证明对总负债进行数学验证。

CertiK verifies control over reserve wallets through secure on-chain methods such as signed digital messages or predefined “send-to-self” transactions. This ensures that the organization demonstrably controls the private keys associated with the disclosed reserves.

抵押品分析将已核实的总储备与已核实的总负债进行比较。资产价值采用一致的定价来源进行标准化，并通过计算抵押品比率来确认储备超过用户负债的100%。

一次性的PoR审核会在Skynet上提供一份已签署的证明报告和一个已验证的储备金徽章。持续的PoR审核则通过实时更新、公开的储备金仪表盘和API集成来进一步增强这种保障，从而实现持续的透明度。

CertiK 将 PoR 结果直接整合到项目的公开 Skynet 档案中。这使得审计结果转化为实时信任信号，用户、投资者和研究人员可以实时查看验证状态和储备透明度。

标准的一次性 PoR 审计通常在两周内完成，具体时间取决于资产和支持网络的范围和复杂性。

CertiK 的 PoR 服务符合 ISO 27001 和 SOC 2 等全球公认标准，并借鉴了与主要司法管辖区监管机构的合作经验。这使得平台能够满足不断变化的合规要求，同时增强运营诚信和公众信任。