如何成为智能合约审计师

patrickalphac
发布于 2024-01-14 12:47
阅读 16

文章详细介绍了如何成为一名智能合约审计师，包括学习Solidity和智能合约审计、参与竞争性审计、持续学习新漏洞和攻击方法等步骤，并提供了相关资源和平台。

### 我们来看看成为 web3 安全研究员（有时称为智能合约审计员）的路线图，并告诉你成功进行 web3 安全的确切步骤。

![智能合约审计路线图](https://img.learnblockchain.cn/2025/02/21/1_xkmxAbUUd2NeJMp5d65AQ.png)

智能合约审计员路线图

### 引言

> 你喜欢漏洞利用吗？那么这些漏洞利用呢
>
> \- 马特·达蒙，也许

Web3 是你将面临的最具掠夺性的环境之一。在2023年，我们看到几乎有 [$2B 被盗](https://www.infosecurity-magazine.com/news/cyber-attacks-drain-web3)。这是一个以“大写字母 B”表示的十亿美元。因此，对 _非常强大的安全_ 人员的需求正在增长。

在这篇文章中，我们将给你提供成为智能合约审计员（更常被称为“安全研究员”）的确切步骤，适用于那些想要：

- 在像 [Cyfrin](https://www.cyfrin.io/)，[Trail of Bits](https://www.trailofbits.com/) 或 [Openzeppelin](https://www.openzeppelin.com/) 这样的顶尖安全公司找到一份工作
- 成为一个高额奖励的漏洞猎人
- 在像 [CodeHawks](https://www.codehawks.com/) 或 [C4](https://code4rena.com/) 的平台上赢得竞争审计
- 或只是为 web3 的安全做出贡献

这就是你需要采取的确切步骤。

1. 参加 Solidity 和智能合约审计课程
2. 参与竞争性审计
3. 不断学习新的黑客攻击和漏洞
4. 重复

请记住，进入成功的 web3 安全职业的关键在于不断提高，你必须不断改进，因为平庸的安全研究员很少能看到成功。

如果你要走这条路，就去追求出色的表现，**永远**保持学习。

## 1\. 参加 Solidity 和智能合约审计课程

![学习智能合约开发和审计](https://img.learnblockchain.cn/2025/02/21/0lZOUuThncWVXTch3.png)

来自 [Cyfrin Updraft](https://updraft.cyfrin.io/) 的图像

### 学习 Solidity

首先，你需要熟悉 Solidity，这是 web3 开发的主要语言。截至今天，[94% 的所有智能合约价值](https://defillama.com/languages) 流经 [Solidity](https://docs.soliditylang.org/en/v0.8.23/)，因此你可以确信学习 Solidity 是一个不错的选择，因为这些知识适用于大多数区块链应用。

幸运的是，有许多地方可以 [全面学习 Solidity](https://patrickalphac.medium.com/top-10-smart-contract-solidity-developer-learning-resources-cb9d60dd1146)：

- [Cyfrin Updraft](https://updraft.cyfrin.io/)
- [我的 YouTube](https://www.youtube.com/watch?v=umepbfKp5rI)
- [Speed Run Ethereum](https://speedrunethereum.com/)

我强烈推荐 Updraft 来学习 Solidity 和智能合约开发，因为这是 Cyfrin 团队最新的全面课程，教你 web3 中顶尖人员所需的一切，使你成为成功的开发者。

你必须成为一个优秀的 Solidity 专家吗？不。我向顶尖 1% 的安全研究人员进行交流时，总是会惊讶于他们有些对语言的基本理解。而是，他们能对所工作代码库的理解非常详细。

这是否意味着你应该跳过进阶 Solidity 的学习？不。有一些特例可以这样做，但你在 Solidity 上的技术越高超，在高级测试技术上越出色，你将越能在攻击者面前拥有优势。

### 学习智能合约审计

![学习智能合约安全与审计](https://img.learnblockchain.cn/2025/02/21/1l_OyTJ8ZIcwfU5eqNk5f9w.jpeg)

来自 [Cyfrin Updraft](https://updraft.cyfrin.io/) 的安全与审计课程海报

下一步显然是学习智能合约安全和审计。习惯于学习，因为你作为审计员/安全研究员的大部分工作就是持续学习。我稍后会给你一些工具，你可以使用。

对于学习审计，这正是我们创建 [Cyfrin Updraft 上的安全课程](https://updraft.cyfrin.io/courses/security) 的原因。这将教你成为成功的安全研究员所需了解的一切：

顶级漏洞利用，如：

- 重入攻击
- 如何赢得竞争审计
- 拒绝服务
- MEV
- 通过闪贷操控预言机
- 顶级 web3 攻击
- 签名重放
- 弱随机性

有Web3中最好的嘉宾讲座：

- Trail of Bits \| [Josselin](https://twitter.com/Montyly)
- Sigma Prime \| [Andy](https://twitter.com/andyfeili)
- Guardian Audits \| [Owen](https://twitter.com/0xOwenThurm)
- Cyfrin \| [Alex](https://twitter.com/alexroan)
- 独立安全研究员 \| [Pashov](https://twitter.com/pashovkrum)
- Cyfrin \| [Juliette](https://twitter.com/_juliettech)
- Gingersec \| [Johnny](https://twitter.com/RealJohnnyTime)

与 [The Red Guild](https://theredguild.org/) 的 [Tincho](https://twitter.com/tinchoabbate) 一起制作。

这里最重要的一点是，一旦你参加了这个课程，**就永远不要再参加其他安全课程。** 你将朝着成功的方向走得很好，而你在未来能做的最重要的事情就是实践。

你如何进行实践？好吧，我很高兴你问了。

## 2\. 实践 | 参与智能合约审计比赛

![学习 web3 安全与审计](https://img.learnblockchain.cn/2025/02/21/1xF6qvUqV5TBaYiHUOAd-zA.png)

[CodeHawks 着陆页](https://www.codehawks.com/) \| 智能合约竞争审计

下一步是你需要学习和成长——但你会希望很快获得反馈。一个很好的实践场所，同时也是建立你声誉的地方，是像 [CodeHawks](https://www.codehawks.com/) 或 [C4](https://code4rena.com/) 的竞争审计平台。它们允许你与其他安全研究人员竞争寻找漏洞，并可以比较你在代码库中的表现。此外，你还可以根据自己的表现获得奖金。

除了付费的竞争审计外，CodeHawks 平台特别有 [First Flights](https://www.codehawks.com/first-flights)。新版第一飞行是面向新审计员友好的审计，专门为初学者学习如何在较小、简单的虚拟协议中寻找不同类型的漏洞。如果你无法在这些比赛中找到至少一个漏洞，你可能需要继续练习，才能参加主要的比赛！

竞争性审计允许顶尖人物被公司侦察、雇佣，你甚至可以看到 [像 Solodit](https://solodit.xyz/leaderboard) 一样的排行榜，上面展示了其他审计员在行业中的表现。

![成为智能合约审计员](https://img.learnblockchain.cn/2025/02/21/1QUb4oHzPNSCY_Oen-s8Jzw.png)

[Solodit 排行榜](https://solodit.xyz/leaderboard)

每次你参加比赛、单人审计或漏洞赏金时，都希望更新你的 GitHub，以包括你所做的工作。这样，其他人就可以查看你的工作，并了解你的水平！

你还可以通过以下方式进行练习：

- 进行漏洞赏金
- 你喜欢的代码库的安全审查/审计
- 与其他审计员建立联系

## 3\. 不断学习和成长

![成为智能合约审计员](https://img.learnblockchain.cn/2025/02/21/1WCYDL7BYmbkQJaYBr1yivQ.png)

[学习 Solodit 上的顶级报告](https://solodit.xyz/)

作为安全研究员/审计员的最大部分是你总是希望提高自己的知识基础。你越了解攻击，就越有可能在代码库中发现它们。智能合约审计员应该使用的顶级工具是 [Solodit](https://solodit.xyz/)。

Solodit 汇集了顶尖公司和竞争性审计平台的报告，并将其放入一个可以搜索的数据库/界面中，以便你了解人们报告的攻击类型。通过这种方式，你将知道哪些漏洞正在出现，以及如何超越其他安全研究员。

学习是你希望变得舒适的，而学习有点不舒适，所以你需要习惯于不舒适的状态！

此外，你还需要持续地拥有安全内容的来源。一些很棒的 web3 安全时事通讯包括：

- [Blockchain Threat Intelligence](https://newsletter.blockthreat.io/?r=2mgsm7)（推荐链接）
- [rekt](https://rekt.news/)
- [Week In Ethereum](https://weekinethereumnews.com/)
- [Consensys Diligence Newsletter](https://consensys.io/diligence/newsletter/)
- [Cyfrin Newsletter](https://www.cyfrin.io/newsletter)

## 4\. 重复

最后，继续学习、成长和竞争！随着你的学习和成长，你可以开始获得报酬并推动你的职业发展：

- 申请审计公司的安全职位
- 在更复杂的漏洞赏金和比赛中获得更高的奖励
- 开始你的单人审计员职业

还有更多。

_要学习智能合约安全和开发，请访问_ [_Cyfrin Updraft_](https://updraft.cyfrin.io/)

_要请求安全支持/安全审查你的智能合约项目，请访问_ [_Cyfrin.io_](http://cyfrin.io/) _或_ [_CodeHawks.com_](https://codehawks.com/) _。_

_要了解更多关于智能合约中顶级报告的攻击，请务必研究_ [_Solodit_](https://solodit.xyz/) _。_

>- 原文链接： [medium.com/cyfrin/how-to...](https://medium.com/cyfrin/how-to-become-a-smart-contract-auditor-0180ca002e4e)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～