Solodit如何帮助研究人员赢得区块链安全比赛

cyfrin
发布于 2024-10-14 12:59
阅读 154

本文介绍了Solodit如何在区块链安全竞赛中成为一种转变性工具，分析了其功能、使用方法和成长过程序。作者分享了自己如何利用Solodit整理数据、建立检查清单并参与竞赛，最终在安全研究领域取得成功。

了解 Solodit 如何改变安全研究——将报告转化为区块链安全比赛的获胜策略。学习顶级专业人士使用的方法。

如果你看过我之前的文章“[Web3 中最好的安全教育工具](https://learnblockchain.cn/article/13862)”，你可能还记得我介绍了 [Solodit](https://solodit.cyfrin.io/) 作为区块链安全学习的突破性工具。本文将接续上文。

它详述了我如何首先使用 Solodit 来提升我的技能，然后将其推向大众，我又是如何将其庞大的资源转化为赢得安全比赛的策略，以及这一平台如何成长为安全研究人员的必备工具。

‍

## 令人震惊的起步

[Solodit](https://solodit.cyfrin.io/) 是我脑海中的创意，源于一个简单的想法：将 [Code4rena](https://code4rena.com/) 和 [Sherlock](https://www.sherlock.xyz/) 等平台的所有过去的安全发现汇集到一个地方进行学习。但当我发布它并看到成千上万的报告涌入时，我感到震惊。尽管我建立了它，我却想， **哇，我真的能处理这些吗**？ **我能否从这股数据洪流中筛选出真正的教训，而不需要剖析每个协议的源代码？**

尽管如此，我决定无畏探索，每天承诺查看20到30份报告，从最新的比赛开始。参与过其中一些比赛的我，发现这些报告感觉十分熟悉。

每个晚上，我都会坐下来思考： **今天的实际收获是什么？**

我不确定我是否能够在实际中发现那些漏洞。那种恼人的怀疑促使我将 Solodit 变成的不仅仅是一个报告堆——它必须帮助我更聪明地学习。

‍

## 反思

使用 Solodit 不仅仅是囤积报告。它是让报告为我工作。当我努力跟上信息潮流时，我开始添加一些功能，反映我之前在笔记中记下的内容。

- **评论**：我会在每份报告后迅速记录笔记——关键收获或我有过的“哦，真聪明”的时刻。
- **标记**：我开始按类型对发现进行分组，比如“数学错误”或“访问漏洞”，以便我可以回顾模式。
- **评分**：我为发现分配“质量”和“泛化”评分，以对其进行排名，后来将其调整为独特漏洞的稀有性评分。

每次深入研究20–30个发现后，我都会坐下来反思我所阅读的内容，努力分析那些审计员是如何发现漏洞的。不仅要知道他们发现了 **什么**，我还想找出他们是 **如何** 达到那个结果的，以便下次能够发现同样的问题。

于是我开始构建自己的检查清单，直接从这些反思中提取见解。

‍

## 检查清单

事情是这样的：我并不是整天都盯着报告。我身处其中，尽可能参加每场 Code4rena 和 Sherlock 的比赛。每场比赛后，我都会仔细研究结果，专注于我遗漏的内容，其他人却捕捉到了的细节。每一个漏掉的发现都进行深入研究—— **我为什么没有看见它？** 我将其拆分到三大类中：

- **知识缺乏**：我没有理解技术概念或协议的业务逻辑——是时候学习了。
- **检查清单项缺失**：如果我列出它，我会捕捉到——我会在我的检查清单中添加一条新项。
- **疏忽**：我知道概念并在检查清单中涵盖了它，但我却失误了——我会把它附加到现有项目上，作为一个新的例子。

我的检查清单发展成为一个充满技巧的活工具。

‍

![](https://img.learnblockchain.cn/2025/04/05/Jjr55L4cHcMUmlvsQpc06j1upnUggknWXjqp5C25si-2aQ.png)

我最初的检查清单的一部分

‍

没过多久，它便成为了我的秘密武器，锐利而符合我的思维方式。

我意识到：我并不总是需要走遍协议的完整代码库来理解其安全漏洞。报告和反思已经足够。

‍

## 挖掘瑰宝

并非每一项发现都是启示。许多报告虽然不错，但可预测——对于基础知识来说还不错，但不够突破。随后我看到来自大咖如 [cmichel](https://code4rena.com/@cmichel)、[watchpug](https://code4rena.com/@watchpug) 和 [0x52](https://code4rena.com/@0x52) 的报告。他们的内容？简直是金矿资料。特别是他们的单独发现——没有其他人捕捉到的漏洞。我会自言自语： **“伙计，这可是原石中的钻石。”**

为了聚焦，我再次调整了 Solodit，添加了更细致的信息和单独或小团队发现的筛选。然后我深入研究那些精英报告，逆向工程如何 cmichel 可能发现隐藏的边界情况，或 watchpug 揭开逻辑的复杂结。模式逐渐显现——这些专业人士共享的习惯而没有意识到。我模仿他们的行为，我的检查清单变得更加精准。

‍

## 得到回报的常规

在 2–3 个月里，我坚持与之相伴——我、Solodit，以及每天研究顶级发现。很快，我以全新的优势进入比赛。我的漏洞发现速度加快，提交内容变得更紧凑，不久我就跻身排行榜前列。以下是有效的方法：

1. **选择一位大师**：我会跟随审计员如 [0x52](https://code4rena.com/@0x52) 一段时间。
2. **筛选最佳**：单独发现或最多由 2–3 人捕获的漏洞——纯信号，无噪声。
3. **努力学习**：每天查看20–30份报告，专注时间约 2–3 小时。
4. **反思与改进**：我会标记、评分，并将每次的研究提炼为检查清单更新。
5. **重复**：一致性是关键。

这不是魔法——只是适合我思维的一种方法。你可以根据自己的风格做相应调整，但对我来说，这就是金子。

‍

## 从个人中心到公共强国

Solodit 最初是我的个人玩具——一个我可以查询的简约发现仓库。但随着我使用它，我出于需要不断添加新功能：审计员筛选、评论、标记。当我最终将其开放给公众时，它已准备好超越我最疯狂的预期。

自2023年以来，Solodit 飞速发展。我们将顶级研究员的安全检查清单融合为一个流畅的框架——可以将其想象为终极审计员手册。该数据库现持有约 40,000 项发现，来自大约 30 个安全公司，远超 Code4rena 和 Sherlock。

最初作为我的私人工具的 Solodit 现在已经成为区块链安全的基石，得到了一个令人惊叹的社区及其反馈的支持。

‍

## 未来之路

我对 Solodit 的愿景是大胆的：成为开发者和审计员的日常首选——一个学习、调试和提升区块链安全的“一站式商店”。而我并不孤单。

为 [Solodit](https://solodit.cyfrin.io/) 提供支持的团队 [Cyfrin](https://cyfrin.io/) 正在大力推进，以提升对 web3 重要的重磅内容。

我们的生态系统已经成型：

- [**Cyfrin 私人与审计**](https://www.cyfrin.io/): 顶尖研究员精准审查和保护协议。
- [**Cyfrin Updraft**](https://updraft.cyfrin.io/courses): 世界第一的平台，用令人惊叹的课程培养一半的 Web3 开发者和安全专家。
- [**CodeHawks**](https://codehawks.cyfrin.io/): 一个竞争性审计平台，拥有最大的审计员群体，还有“首次飞行”来引进新人才。
- [**Aderyn**](https://github.com/Cyfrin/aderyn): 一个基于 Rust 的静态分析仪，能快速捕捉 [Solidity](https://learnblockchain.cn/article/13659) 漏洞。

我们共同追求一个愿景，以使 web3 更安全、更智能——Solodit 只是这个拼图的一部分。团队全力以赴，我很兴奋看到它的展开。非常感谢 Cyfrin 支持这趟旅程，也感谢我们的用户通过想法和支持推动我们向前。你们让我的小实验变得宏伟。

>- 原文链接： [cyfrin.io/blog/use-solod...](https://www.cyfrin.io/blog/use-solodit-win-blockchain-security-contests)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

了解 Solodit 如何改变安全研究——将报告转化为区块链安全比赛的获胜策略。学习顶级专业人士使用的方法。

如果你看过我之前的文章“Web3 中最好的安全教育工具”，你可能还记得我介绍了 Solodit 作为区块链安全学习的突破性工具。本文将接续上文。

‍

令人震惊的起步

Solodit 是我脑海中的创意，源于一个简单的想法：将 Code4rena 和 Sherlock 等平台的所有过去的安全发现汇集到一个地方进行学习。但当我发布它并看到成千上万的报告涌入时，我感到震惊。尽管我建立了它，我却想， 哇，我真的能处理这些吗？ 我能否从这股数据洪流中筛选出真正的教训，而不需要剖析每个协议的源代码？

尽管如此，我决定无畏探索，每天承诺查看20到30份报告，从最新的比赛开始。参与过其中一些比赛的我，发现这些报告感觉十分熟悉。

每个晚上，我都会坐下来思考： 今天的实际收获是什么？

我不确定我是否能够在实际中发现那些漏洞。那种恼人的怀疑促使我将 Solodit 变成的不仅仅是一个报告堆——它必须帮助我更聪明地学习。

‍

反思

使用 Solodit 不仅仅是囤积报告。它是让报告为我工作。当我努力跟上信息潮流时，我开始添加一些功能，反映我之前在笔记中记下的内容。

评论：我会在每份报告后迅速记录笔记——关键收获或我有过的“哦，真聪明”的时刻。
标记：我开始按类型对发现进行分组，比如“数学错误”或“访问漏洞”，以便我可以回顾模式。
评分：我为发现分配“质量”和“泛化”评分，以对其进行排名，后来将其调整为独特漏洞的稀有性评分。

每次深入研究20–30个发现后，我都会坐下来反思我所阅读的内容，努力分析那些审计员是如何发现漏洞的。不仅要知道他们发现了什么，我还想找出他们是如何达到那个结果的，以便下次能够发现同样的问题。

于是我开始构建自己的检查清单，直接从这些反思中提取见解。

‍

检查清单

事情是这样的：我并不是整天都盯着报告。我身处其中，尽可能参加每场 Code4rena 和 Sherlock 的比赛。每场比赛后，我都会仔细研究结果，专注于我遗漏的内容，其他人却捕捉到了的细节。每一个漏掉的发现都进行深入研究—— 我为什么没有看见它？ 我将其拆分到三大类中：

知识缺乏：我没有理解技术概念或协议的业务逻辑——是时候学习了。
检查清单项缺失：如果我列出它，我会捕捉到——我会在我的检查清单中添加一条新项。
疏忽：我知道概念并在检查清单中涵盖了它，但我却失误了——我会把它附加到现有项目上，作为一个新的例子。

我的检查清单发展成为一个充满技巧的活工具。

‍

我最初的检查清单的一部分

‍

没过多久，它便成为了我的秘密武器，锐利而符合我的思维方式。

我意识到：我并不总是需要走遍协议的完整代码库来理解其安全漏洞。报告和反思已经足够。

‍

挖掘瑰宝

并非每一项发现都是启示。许多报告虽然不错，但可预测——对于基础知识来说还不错，但不够突破。随后我看到来自大咖如 cmichel、watchpug 和 0x52 的报告。他们的内容？简直是金矿资料。特别是他们的单独发现——没有其他人捕捉到的漏洞。我会自言自语： “伙计，这可是原石中的钻石。”

‍

得到回报的常规

选择一位大师：我会跟随审计员如 0x52 一段时间。
筛选最佳：单独发现或最多由 2–3 人捕获的漏洞——纯信号，无噪声。
努力学习：每天查看20–30份报告，专注时间约 2–3 小时。
反思与改进：我会标记、评分，并将每次的研究提炼为检查清单更新。
重复：一致性是关键。

这不是魔法——只是适合我思维的一种方法。你可以根据自己的风格做相应调整，但对我来说，这就是金子。

‍

从个人中心到公共强国

最初作为我的私人工具的 Solodit 现在已经成为区块链安全的基石，得到了一个令人惊叹的社区及其反馈的支持。

‍

未来之路

我对 Solodit 的愿景是大胆的：成为开发者和审计员的日常首选——一个学习、调试和提升区块链安全的“一站式商店”。而我并不孤单。

为 Solodit 提供支持的团队 Cyfrin 正在大力推进，以提升对 web3 重要的重磅内容。

我们的生态系统已经成型：

Cyfrin 私人与审计: 顶尖研究员精准审查和保护协议。
Cyfrin Updraft: 世界第一的平台，用令人惊叹的课程培养一半的 Web3 开发者和安全专家。
CodeHawks: 一个竞争性审计平台，拥有最大的审计员群体，还有“首次飞行”来引进新人才。
Aderyn: 一个基于 Rust 的静态分析仪，能快速捕捉 Solidity 漏洞。

原文链接： cyfrin.io/blog/use-solod...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。