安全研究员巅峰指南：扬帆起航

本文标志着一个分为四个部分的系列文章的开始。对于那些想要在 web3 安全领域更快提升、建立声誉并产生持久影响的人来说，这是一份终极指南。每个部分都建立在前一个部分的基础上，带你从基础到精通，并能持续产出成果。 该系列文章如下：

I. 扬帆起航 — 介绍与基础

“在你鼓起勇气看不到海岸之前，你永远无法横渡海洋。”

II. 藏宝图 — 走向顶峰的路线图和掌握先决条件的技巧

“没有计划的目标只是一个愿望。”

III. 航行于水域 — 一步一步审计和查找漏洞的指南。

“在平静的海面上，任何人都可以掌舵；当风暴来临时，才能诞生大师。”

IV. 猎人之道 — 狩猎和赢得赏金的方法与心态。

“你必须学会不确定地前进。”

1. 扬帆起航 — 介绍与基础

在 2022 年，如果你对 reentrancy 有深入的了解，或者理解 ERC20 代币的 transferFrom() 如何影响协议的功能，那么你现在很可能正坐在审计员食物链的顶端。

但时代已经变了。 Web3 安全领域的发展速度比以往任何时候都快，竞赛平台拥挤不堪，人工智能正在悄悄进入研究领域，技能门槛也在逐年甚至逐月地提高。

当许多新的研究人员带着几乎为零的知识进入这个世界时，那些资深人士和元老们正在比他们还是新手时更加努力地工作。你如何竞争？你如何在人才济济、奖励似乎越来越少的领域中脱颖而出，留下自己的印记？

发现漏洞是必不可少的，但现在，你知道这不仅仅是发现漏洞，而是更深层次的东西，所以我想让你知道，这不仅仅是另一份路线图；也不是另一篇安全陈词滥调的文章。 这是一个更深入、更基于经验的指南，它分享了秘密、模式和心态，这些可以让你比那些常见的途径更快地到达顶峰。

所以，系好你的安全带。让我们开始你的航程。

1.1 “顶峰” 究竟意味着什么？

首先，你必须知道“顶峰”对你来说意味着什么，因为它对不同的人来说可能意味着不同的事情；它代表着不同的结果，从在公开竞赛中持续取得成功到获得私人审计，或者作为专业安全公司的一员做出贡献。了解对你来说成功是什么样子，有助于确定你需要遵循的路线图。

对于大多数安全研究人员来说，“顶峰”可能意味着以下四件事中的一件或多件：

1. 在 Code4rena、Sherlock 或 Immunefi 等平台上持续主导竞赛。
2. 赢得巨额赏金，足以让你一生无忧，然后你可以探索不同的演出或兴趣。
3. 加入一家安全公司，该公司支付的工资是你所在国家最低工资的 10 倍。
4. 进行私人审计，从中获得丰厚的利润，而无需竞争，也无需经历重复、奖励延迟或恶意升级的麻烦，这些问题在上述某些情况中会遇到。

如果你不知道要去哪里，你就无法到达那里。这些是不同的道路，所以无论你处于什么阶段，对“顶峰”对你来说意味着什么有一个清晰的定义，以及你打算走哪条路，这对于你的旅程至关重要；以上总结了大多数安全研究人员 (SR) 为了在这个领域留下印记并赚钱而采取的路径。然而，每条路都有优缺点，尤其是在刚开始的时候应该意识到。

• 竞赛是提高技能和同时赚钱的最快方式；问题在于“你能坚持多久？”大多数时候，这会让你精疲力竭或恼火，尤其是在你努力工作并付出了时间却只赚到几分钱的情况下。大多数时候，你会看到在竞赛平台上表现非常出色的人加入公司或开始私人审计，因为虽然它是有回报的，但作为个人，很难在这种模式下保持一致（这里无意贬低竞赛平台）。

• 赏金给你最高的投资回报率，但风险越高，回报越大。这条路以最真实的形式反映了那句名言，即赏金需要持续容忍失败，并且在你找不到有价值的漏洞时，可以依靠的东西。如果你是刚开始的学生或父母，这不是最好的模式/路径，但那些具有强大的 Web2 背景的人总是欢迎尝试这条路径。但是，如果你没有任何背景且没有收入可以依靠，那么从赏金开始可能会让你感到沮丧，而不是让你成功（更多信息请参见“猎人之道”部分）。

• 为安全公司工作提供了许多研究人员喜欢的稳定性，但你需要强大的业绩记录和良好的持续性证明 (POC)，证明你在结果和卓越方面的表现，这并不是每个刚开始的人都具备的。但是，它可以在野外随着时间的推移而建立（更多信息请参见“藏宝图”）。

• 私人审计是许多资深人士最终选择并喜欢的，原因如上所述。这让你感觉自己像自己领域的大师。然而，这其中一部分是技术熟练，另一部分是强大的营销能力以获得客户，以及为他们提供良好价值的资源。大多数时候，你需要在互联网上引起轰动的连续巅峰结果的良好声誉，或者在网上或会议上推销自己的智慧。

无论“顶峰”对你来说意味着什么，本指南旨在帮助你更快、更有效地达到它。这是本系列的目的，为你提供秘密、秘诀、保加利亚果汁，让你能够以神速到达目的地，无论你选择哪条道路。关于如何在这些不同路径上取得优异成绩的路线图和适当技巧将在“藏宝图”部分进行彻底检查和探索。

1.2 斯芬克斯的谜语 — 你必须回答的问题

在你开始旅程时，需要诚实地回答这两个问题。

“一切都与享受旅程以及你在此过程中成为什么样的人有关，而不一定是目的地。”

你的动机是什么？

你已经在这里了，所以每个人都知道你有动力，但是 为什么？

对某些人来说，这是对视频游戏的热爱转化为发现漏洞；对另一些人来说，这是对经济独立的渴望；对少数人来说，这是他们感兴趣的事情，同时又能获得非常好的激励；有些人将其视为竞争，登上顶峰的刺激，或者从打破他人认为坚不可摧的代码中获得的快乐。

一个听起来很老套的建议是“无论你的 为什么 是什么，都要拥有它！”。不要让任何人羞辱你被激励的原因，无论是对金钱的纯粹渴望。许多顶尖的研究人员都承认，这个事实最初吸引他们进入这个领域，然后才产生了对它的热爱，就像纯粹的肉体吸引力最初吸引你走向一个人，但让你们继续前进的是性格和价值观。金钱应该是你的 Gas，而不是你的 目的地，渴望变得更有价值，并专注于在你找到机会时尽你所能，然后随着时间的推移，金钱会像你从未想象过的那样来到你身边。 你的目标应该是享受这个过程，追逐，学习和成长。因为当你热爱这个游戏时，你自然会变得更好。

意识到你的理由是你成功的巨大推动力。正如吉姆·罗恩所说"理由先行，答案第二。" 了解你的理由！ 请在内心回答这个问题，因为它将成为你的动力。

你的目标是什么？

动机与纪律相结合是引擎，你的目标是方向盘！

你的终点线是什么时候？在一定的时间内，你想取得什么成就？这些问题必须尽早回答，因为无论你的动机如何，这是驱动力，没有明确的目标，你最终会在原地打转。记住：速度只有在你朝着正确的方向前进时才有意义，所以明确的目标和时间框架很重要，因为你需要能够在旅程的不同阶段跟踪你的进度，这将创建一个意识，要么感谢你已经走了多远，要么在你远远落后于目标的情况下，产生一种紧迫感和健康的压力来增加努力。

设定有时限的目标，问问自己：

• 我想在这个月，这个季度，今年实现什么？

• 我想掌握的下一个技能或主题是什么？

• 我想在年底前赚多少钱？

设定明确、明确且有时限的目标使你能够衡量你的进度，并保持你作为安全研究人员的旅程中的专注。 完成这部分后，你的目标将对你更加生动，并且应确保你在对其采取行动时具有意识。不要拖延，不要浪费时间，因为“如果你休息太久，杂草就会占据花园”。

1.3 三剑客 — 成功的核心支柱

这些是你必须在整个安全职业生涯中不断努力的 3 个核心支柱。它们是将在“藏宝图”中更多地处理的先决条件，其中包含有关如何快速有效地发展它们的指南和技术。现在，下面将简要介绍一下未来的内容，并解释它们的重要性。

它们如下：

1. 人脉关系 (Relationships)
2. 技能及刻苦的纪律 (Skill Set & Discipline for crazy hours)
3. 社交媒体曝光度 (Social Media Presence)

通过专业平台建立知名度，培养与同行之间的牢固关系，并提高深厚的技术能力，是在该领域取得成功的三个关键支柱。下面将对此进行深入探讨。

开始吧！你应该对这部分感到兴奋。

1. 社交媒体曝光度 ~ 放大器

“在注意力时代，曝光度就是力量。”

如果你注意到，我把它放在第一部分，那是因为很多人可能会低估它，但是那些已经利用它力量的人正在获得比顶级公司更高的投资回报率。

一个很好的例子是 Andy Li 和其他通过分享知识来建立影响力的人。他们的影响力打开了仅凭技能无法打开的大门。

我们可以提到很多早期的顶级安全研究人员，他们即使拥有深入的技能，也通过社交媒体找到了工作。X、Medium、YouTube 改变了他们，使他们能够创造和找到工作。不要轻视在社交平台上成长，因为人们很高兴看到他人实现或做他们也想实现的事情；他们会关注你并欣赏你的旅程，为你赢得声誉，并敦促其他人想要与你建立联系！

虽然非常强调社交媒体的存在，但在没有内在原始能力的情况下进行社交活动就像在猪鼻子上戴金戒指。 技能是巨大牵引力的助推器，因此你应该比投入到社交媒体上的时间更多地投入到你的技能上。

建议如果你刚开始，提高你的技能应该是你目前的主要目标，因为其他先决条件很大程度上取决于此作为基础。如果你没有所需的技能，没有人会将你联系起来；如果你因无法完成他们为你设定的任务而破坏他们的声誉，没有人会联系你。如果你没有持续的结果和在该领域良好知识的证明来支持，没有人会在社交媒体上关注你。

公式很简单：

技能 + 持续性 + 曝光度 = 指数级投资回报率。

让你的技能支持你的内容。分享真实的胜利和经验教训，你的社区将有机增长。 然后更频繁地发布，即使是从一开始；分享你的旅程，因为当你开始看到结果时，它会更加有趣。增加你的影响力，并与世界分享你的观点。不要害羞，不要拖延，不要认为没有人看到你，因为实际上有人在看。当你获得结果时，发布带有你如何发现漏洞的故事，这些漏洞为你赢得了那些奖励。保持乐观，愿上帝与你同在！

2. 人脉关系 ~ 你的优势

重要的不是你知道什么，而是你认识谁，以及谁认识你

人脉关系是成功的被低估的关键之一，不仅在 web3 安全领域，而且在其他领域及其他领域。

然而，应该强调它，因为它是获得工作、私人审计等的秘诀之一。有些公司你会看到个人互相成长；你知道在不同个人的闭门或 DM 中发生的对话吗，其中提到你的名字会为你提供很好的机会？

我鼓励你加入你当地研究人员闲逛的 Discord 频道并参与其中。跟进顶级审计员，当你承诺更新时，证明你的成长。参加挤满你认识的开发人员和安全研究人员的会议，然后利用它作为建立联系和建立更多人脉关系的机会。

向其他人发送消息并尝试一起成长；联系顶级人士，向他们提出问题（不要问愚蠢的问题）。随着你的不断成长，那些与你有先前关系的人可以将你介绍到好的机会。顶端的很多人都承认，他们之所以获得了非常好的机会，是因为别人为他们说了好话。 这就是人脉的力量。

珍惜他们！

3. 技能及刻苦的纪律 ~ 推进器

最重要的是，你必须有能力，能够发现漏洞并利用漏洞的途径；你不能通过关系网来获得技能。每天都要努力工作，学习和改进，同时不断参与。 没有能力，联系就不会持久；你的社交媒体影响力将是一个笑话。你必须努力为自己创建一个良好的投资组合，表明你擅长你所做的事情，那就是发现漏洞。

如果需要，可以长时间、疯狂地工作，但要聪明；磨练你的优势，学习新的攻击向量，并阅读过去的漏洞或报告。每天扩展你的知识。这需要纪律，因为你不会总是受到激励，但是有了纪律，无论你的感受如何，你都会进步。

这里的顶级安全研究人员在审核期间将所有时间都花在代码上，与花费数周的时间进行同样的集中精力相比，你无法在 3 天的集中努力中发现那么多漏洞。花时间学习、理解、集思广益攻击向量，并在审核期间与开发团队沟通，以便在任何审核中榨取最大价值，而不管时间范围如何。

这就是所需要的专注程度。 你仍然可以看到高技能的研究人员提到，尽管他们过去取得了惊人的成绩，但他们仍然花费大量时间工作和改进自己。尚未达到那个水平的你呢？

如果你不能连续几天保持一致，那你就还不认真。

约束自己以不断改进并尝试新的机会；即使在看到疯狂的结果后也要保持一致，因为总有改进的空间。专注于你的技能，因为在通往顶峰的每条道路上，都需要技能，甚至可以独立于其他因素将你带到你希望达到的高度。

通过不断学习和积极参与你的工作来磨练你的技能！

记住：我将在本指南的“藏宝图”部分提供一个简洁且可调整的路线图，以提高你的技能，然后是人脉关系，最后是社交媒体曝光度

1.4. 命运女神 — 支持性特质

这三个建立在三剑客的基础上，当构建核心支柱时，它们会为你提供更多杠杆，以便在该领域赚取更多并发展更快。

以下是三个命运：

1. 技能及利基定位 (Skills & Niche)
2. 动力与纪律 (Motivation & Discipline)
3. 团队合作 (Teamups)

1. 技能和利基定位 — 专注 > 广度

一件事是“我拥有这些技能！”，但要问你的问题是“有多少人拥有你拥有的相同技能？” 学习 Solidity 现在已成为 Web3 安全的先决条件，因此你必须非常擅长它，因为每个人都对 Solidity 拥有良好的知识。因此，尝试不同的替代方案，然后找准自己的利基市场！

我们看到，与基于 Solidity 的审查的回报相比，当研究人员专注于不同的语言时，他们获得的结果/回报突然发生了变化。 在 Solana 的早期，那些转向它的人获得了更多的成果和尊重，因为他们现在正在引领此类生态系统的审查，在代码发布到竞赛平台之前，会联系他们进行私人审计。

你越专注，你的竞争就越少，你就赚得越多。

2. 动力与纪律 — 你的长期引擎

当动机消退时，纪律会维持动机。

你不时会看到某些研究人员在某些审查中表现出色，而他们对语言和生态系统一无所知。你可以看到，很明显，这并不是运气的问题，而是纪律和毅力的问题。要在短时间内学习所有内容，并在同一时间内发现错误，不仅需要技能，还需要坚持使用你不了解或不理解的代码的能力，几天，直到你最终掌握开发团队正尝试做什么。因此，拥有这种品质是对任何拥有它的人的额外优势，如果你没有纪律，请一点一点地开始，因为你为改进所做的每一项行动都会随着时间的推移进一步加强你的纪律。

约束自己，给自己下达命令，并贯彻执行！

天赋给你火花，纪律让火焰燃烧。

学习并掌握纪律的艺术，因为它是你与达到“顶峰”的目标之间的区别。

3. 团队合作 — 合作倍增结果

一人应追赶一千人，两人应追赶一万人。

这旨在说明正确利用时团队合作的力量。团队已经到来并主导了平台，并且还发现了错误，同时实现了利用，如果团队中的各个个体没有成为团队的一员，他们将无法独自完成。

与与你同等或比你更好的人组队；他们会挑战和扩展你的思维。

即使与经验较少的合作伙伴合作也可以打开新的见解。曾经，一位初级安全研究员发现了一位经验丰富的安全研究员遗漏的一次检查。该疏忽导致了一个高度严重的问题。尽管这位初级安全研究员不知道发生了什么，但在告知首席安全研究员后，这位高级安全研究员发现可以利用遗漏的检查从某些金库中耗尽收益。 团队合作还可以让你在安全公司中很好地工作，在安全公司中，你们中的一些人需要组队并交付。这些优势也反映在漏洞赏金中，你可以看到团队在赏金平台上获胜并节省协议。 它们也是建立人际关系和牢固联系的好方法，这些联系很可能会在未来帮助你。不要忽视与他人合作的机会。

始终对团队合作持开放态度！

1.5 水域中的暗礁

“更多的船只不是被狂风暴雨摧毁，而是被隐藏的暗礁摧毁，甚至包括泰坦尼克号”

这些是你必须避免的常见错误；它们是可能会阻碍你进步的陷阱。

1. 过早地感到你已经“到达”

“成功滋生骄傲，骄傲扼杀成长。”

有人注意到，一些研究人员已经获得了良好的结果。然后你很少再看到那些人出现在这个领域。大多数时候他们花时间出去，享受奖励，这并没有什么不好；但是，如果你让一次或几次成就的骄傲进入你的脑海：首先，你停止学习；其次，你停止赚钱；第三，你转向旧的荣耀。在你恢复之前，你的许多伙伴都会在技能和结果上超越你，因此避免到达的感觉。当你取得这样的胜利时，不要花钱，不要过多或过快地炫耀；尝试反复创造同样的结果，直到你确定，是的，你足够好，或者和你想象的一样好。这有助于消除冒名顶替综合症，这是一种非常糟糕的感觉。 因此，不要在获胜后停止学习。在为你庆祝而感到自豪之前，反复复制成功。

2. 不一致和过时

“提防平静水面下的暗礁，舒适比暴风雨淹没了更多人。”

避免自满，这进一步导致不一致。世界上的顶级公司以价值的一致性而闻名；你呢？你能多一致？不一致会让你在生活的任何领域都过时，并导致你在此期间错过非常重要或改变生活的机会。关注每日 Warden，打开 Telegram、Twitter 和 Discord 的通知，注意新的赏金，学习新的语言，始终如一地进行竞赛，快速学习新的 DeFi 机制。世界瞬息万变，不一致的时刻只会毁了你。 但是，不要过度劳累或耗尽你的灵魂；在良好的休息方面也要保持一致。最好的漏洞通常在最意想不到的地方被发现。

营造一种紧迫感，快速行动！快速学习，无论你达到什么水平，都要保持持续的成长。

3. 不抓住机会

“停泊在港口的船是安全的，但这不是建造船只的目的。”

每隔一段时间，就会出现一个新的竞赛，由于复杂性或感觉不像是（可能是你必须学习很多才能审查这样的代码库的感觉），或者获得工作的机会到来，但你忽略了它，只有少数安全研究人员参与其中。然后当结果出来时，你会感到非常惊讶，因为那些参与或抓住机会的人在此过程中改变了自己的生活。始终抓住有意义的机会；避免为自己找借口而不是做这些事情，因为当结果出来时，一个你从未听说过的人会带着 40,000 美元回家，而你只会垂涎 6,000 美元，而那个在竞赛中拿到最后位置的人则带着 6,000 美元回家。不要错过机会；始终创建对它们的意识，并在看到这样的机会时抓住它们。

你钦佩的获胜者通常只是那些在其他人没有出现并抓住机会时出现并抓住机会的人。

1.6 权衡锚点 — 结论

要开始你的航程，你需要了解上面所说的所有事情，这些都是即将到来的系列的先决条件。希望这没有占用你太多时间。为即将到来的系列做好准备，因为将深入研究获得你作为安全研究人员的大部分目标的具体路线图和方法；我们将扩展详细的指南，以在不同复杂性的代码库中发现错误，赢得赏金的策略，始终如一的胜利技巧，最终是顶峰，这等同于作为安全研究人员的更好，更舒适的生活。

但现在，记住这一点！

“大海是广阔的，但那些坚持到底的人总会到达岸边。”

做好准备。朋友，航程才刚刚开始。

在 SigmaPrime，我们为主要和新兴链上的区块链协议提供独立的专家审查。我们的工程师结合了自动化工具、手动代码检查、链上分析和经济评估，以生成具有风险评分和可操作的补救措施的透明报告。联系以委托审查、请求重新审计或探索我们可以提供的不同服务。

• 原文链接： blog.sigmaprime.io/the-u...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～