岗位描述
岗位职责:
1️⃣ 智能合约安全审计:
- 对基于以太坊、Solana、Aptos 等公链的智能合约(以 Solidity 为主)进行全流程安全审计,覆盖代码逻辑、权限管理、数学运算、外部交互等关键模块,识别潜在漏洞(如重入攻击、整数溢出、逻辑缺陷等)。
- 运用 Solidity 模糊测试(Fuzzing)技术(如使用 Foundry、Echidna、Harvey 等工具),对合约核心功能进行自动化测试,验证边界条件下的安全性。
2️⃣ DeFi 协议深度审查:
- 针对 DEX(去中心化交易所)、Liquid Staking(流动性质押)、借贷协议(如 Compound、Aave 类)、稳定币等主流 DeFi 协议,深入理解其业务逻辑与经济模型,审计核心合约(如交易匹配、质押挖矿、清算机制等模块)的安全性。
- 结合 Rust/Go 语言开发的区块链基础设施(如节点客户端、跨链桥),审查合约与底层系统的交互风险,确保端到端安全。
3️⃣ 安全事件分析与防御策略输出:
- 跟踪全球 DeFi 安全事件(如闪电贷攻击、私钥泄露、协议逻辑漏洞等),分析事件原理与攻击路径,总结防御方案并应用于审计实践。
- 为客户提供详细审计报告,包含漏洞描述、风险等级、修复建议及复现步骤,协助开发团队完成漏洞修复与二次验证。
4️⃣ 安全工具与流程优化:
- 参与内部审计工具链搭建,优化 Solidity 静态分析(如 Slither、Mythril)、动态测试流程,提升审计效率与精准度。
- 沉淀审计方法论,编写智能合约安全开发指南,为团队新人提供技术培训。
岗位要求:
1️⃣ 1 年以上信息安全领域相关工作经验,有智能合约审计、区块链安全、Web3 漏洞挖掘等经验者优先。
2️⃣ 具备独立完成至少 3 个以上公开区块链项目审计的案例(可提供匿名项目链接或报告摘要)。
3️⃣ 精通 #Solidity 编程语言,熟悉智能合约编译、部署及交互原理,能独立阅读并分析复杂合约代码(5000 行以上)。
4️⃣ 掌握 Solidity 模糊测试(Fuzzing)技术,熟练使用 Foundry、Echidna 等工具设计测试用例,验证合约安全性。
5️⃣ 熟悉 #Rust 或 #Go 语言,能理解区块链底层协议(如共识机制、P2P 网络)与智能合约的交互逻辑。
6️⃣ 深入了解主流智能合约协议的实现原理,包括但不限于:
DEX:AMM 机制(Uniswap V2/V3、SushiSwap)、订单簿模式;
Liquid Staking:质押资产 Token 化(Lido、Rocket Pool)、收益分配逻辑;
借贷协议:抵押率计算、清算机制、利率模型(Compound、Aave)。
7️⃣ 熟悉 DeFi 常见安全风险与攻击手段,如重入攻击、整数溢出 / 下溢、权限控制漏洞、闪电贷攻击、MEV 相关风险等,能结合历史事件分析漏洞根源。
8️⃣ 了解区块链安全工具的使用,如静态分析工具(Slither、Mythril)、形式化验证工具(Certora)、链上监控工具(Nansen、Dune)。
9️⃣ 具备良好的逻辑分析能力与问题拆解能力,能从复杂业务中提炼核心安全风险点。
🔟 优秀的文档撰写能力,能清晰输出专业、易懂的审计报告。
1️⃣1️⃣ 有责任心,对安全漏洞零容忍,具备团队协作精神。
