从网络安全到区块链安全研究者的7个建议

从网络安全过渡到区块链安全研究员的7个建议

探索从传统网络安全转向区块链安全研究的7个建议。获得导航行业和最大化机会的建议。

简介

安全性是DeFi和区块链技术主流采用的关键要求。然而，仅在过去两个月里，区块链协议和基础设施就已遭到约$3亿的攻击。

对熟练的区块链安全研究员的需求显而易见。随着安全生态系统经历指数级增长，个人贡献者面临巨大的机会。

本文将探讨如何优化从传统网络安全转向区块链安全研究的过渡。我们将分享导航行业的建议，并讨论传统安全与Web3安全领域的差异。我们还将探讨独立安全研究员将在最大化机会时遇到的商业现实。

‍

成为区块链安全研究员的路径

传统网络安全和区块链安全研究的领域处于非常不同的成熟水平。对于经验丰富的网络安全研究员来说，转向区块链安全研究可能会令人困惑。成功需要一套新的技能、策略和知识。

从网络安全到区块链安全研究员的路线图：

1. 学习智能合约开发
2. 加入公共安全竞赛
3. 理解区块链安全生态
4. 学习一套工具
5. 建立声誉
6. 接受初创企业文化
7. 具备创业精神

‍

‍

1. 学习智能合约开发

对于区块链安全的角色，你必须具备基础知识关于智能合约开发和安全性。即使对于非技术角色，贡献者也必须理解所构建系统的原则和方法。

幸运的是，学习如何开发智能合约及高级安全概念是免费可获取的。多个学习平台提供从初学者到高级的清晰学习路径，只需按计划进行即可。Cyfrin Updraft 是区块链教育的黄金标准。

智能合约安全的轨迹比以往任何时候都更可行。在一系列文章中，独立安全研究员（N0kto，Bube 和 Nisedo）详细描述了他们如何从开发、学术和传统网络安全转型到智能合约审计。

越来越多的高成就研究员来自非技术背景，并在相对较短的时间内提升技能。这是可能的。Elhaj分享了他从出租车司机到安全研究员的旅程，使用Cyfrin Updraft，从非技术背景跨越到区块链安全。

Solidity是最流行的智能合约语言。其他有用的开发语言包括Rust、Vyper、JavaScript、Cairo和Noir。

尽管超越基础理解的领域比纯粹的审计或工程角色更为多样，但了解智能合约如何运作仍然至关重要。

‍

2. 加入公共安全竞赛

公共审计竞赛已成为成功成为智能合约审计员的“传统”途径。许多平台专门设计用于促进公共智能合约审计竞争，包括Cantina、Code4rena和Cyfrin CodeHawks。

新的安全研究员可以通过Cyfrin CodeHawks上的适合初学者的First Flights竞赛获得经验。然后，毕业到由领先协议赞助的真实公共审计竞赛，以赚取收入并攀登排行榜。

执行Capture the Flag（CTF）练习来测试你所学知识也是有帮助的。Damn Vulnerable DeFi V4是一系列优秀的此类挑战汇集。

‍

3. 理解区块链安全生态

传统网络安全行业已经成熟了几十年。区块链安全仍然处于初期阶段。

在传统网络安全中被视为理所当然的概念、框架、工具、方法论，甚至角色，在区块链安全中要么尚未创建，要么需要时间发展。

确实存在一个未来，为保护智能合约、区块链基础设施和Web3组织提供“真相源”，但首先需要构建这个未来。

一个好的比较是NIST（美国国家标准与技术研究院）网络安全框架。这个全球广泛采用的框架提供了一套共同的控制措施和系统化的方法来管理组织内的网络安全风险。

在区块链安全中，下面的两个“框架”是提供系统方法以实现智能合约世界的持久安全的良好起点。

Solodit 检查清单

Solodit是公开的关于漏洞、黑客攻击、利用、缓解和审计报告的最全面数据库。它的使命是帮助开发者以更安全的方式构建协议。

它是几乎所有安全研究员参考知识的核心基础，也是安全研究员武器库中最有用的工具。它有超过12,000个发现供研究。从这些发现中，团队开发了一份作为安全审计参考框架的检查清单。

智能合约安全验证标准

智能合约安全验证标准是由Damien Rusinek和Pawel Kuryłowicz研发的。除了智能合约安全控制外，它还探讨了操作安全措施，例如事件响应。它还强调了如安全威胁建模等控制措施，并将其纳入开发生命周期以降低安全风险。

在你的审计过程中采用结构化的、方法论的方式将增加你发现漏洞的机会。框架虽然不是必需的，但提供了方向，确保你覆盖了所有众所周知的攻击面。

4. 学习区块链安全工具集

研究人员用于发现漏洞的工具正不断发展。例如，静态和动态分析器现在可用于测试代码库并突出调查领域。

模糊测试是检测漏洞的动态测试示例。动态测试是指工具在测试过程中实际运行代码，允许安全研究员监控交易输出以发现问题。

Echidna是业内领先的模糊测试工具。它使用基于属性的模糊测试通过对合约进行用户定义的谓词测试以揭示漏洞。

更具实验性的是Medusa，一个跨平台go-Ethereum智能合约模糊测试工具，受到Echidna的启发。虽然仍在开发中，但它被证明是最强大的智能合约模糊测试工具之一。

资深区块链安全研究员Alex The Entreprenerd和他的团队开发了Recon。该工具集成了现有的模糊测试应用Echidna和Medusa，简化安全研究员的操作，使其更容易调试测试。

Cyfrin开发了Aderyn，允许开发者创建自定义检测器以分析和揭示特定的代码基漏洞。Aderyn是一个静态分析工具，查找代码逻辑中的问题。它具有很大的灵活性，使开发者能够构建自己的检测器，并便于以Markdown格式轻松导出发现。

5. 网络联系并建立声誉

区块链安全和智能合约审计的世界是小众的。

虽然区块链安全是为保障信任最小化的系统而服务，但构建这些系统所需的协作仍然依赖于个人关系。

作为一项新兴领域的专业人士，安全研究员间很快就会互相了解。尤其是当他们的工作出色时。工作机会往往通过推荐而来。

可信度和声誉至关重要。

所有互动——公共安全审计中的表现、Twitter/X上的回复、Discord中的讨论，或GitHub库中的评论——都是高度透明和公开可用的。你的品牌从第一刻的互动开始建立。

声誉和可信度来自于公共竞赛胜利、与Web3安全团队的合作、独立内容创作和可验证的凭证。

将诚信和专业精神作为你的指导原则。这些是你建立信任和长期成功中最有价值的资产。

以高表现为基础。诚信、诚实和专注于正确的事情会带来赞助、重复业务、推荐和未来合作。

积极的推荐和你的专业精神将确保潜在赞助商对你的高重要性工作执行能力充满信心。

6. 接受初创企业文化

区块链文化与“传统”行业的工作文化截然不同。对于来自传统企业职业道路的人来说，这可能会是一个冲击。

大多数区块链组织是初创企业，缺乏经验的网络安全专业人员可能所习惯的正式流程。

一个优势是初创企业可以灵活应变并追求新的产品缺口或市场机遇，而不需要太多官僚主义。随着市场或行业环境的变化，他们可以快速调整业务。

缺点是贡献者需要灵活性和适应变化需求的意识。

企业组织有明确定义的角色和责任。在初创企业中，你可能被要求从事你没有被雇佣或没有太多经验的任务。

安全研究员=根据轶事指出，许多最初想要讨论智能合约审计的项目现在也在请求其组织传统的网络安全态度的信息。

7. 具备创业思维

创业的方式是必要的。传统网络安全专家通常没有销售或市场营销的经验，除非他们来自咨询行业，在那里需要销售和客户管理技能。

理解个人品牌的力量并积极展示和营销成就很重要。

在公开场合学习和工作是非常受到鼓励的：在Twitter/X上发布成功，开发博客或视频内容以分享学习经验并帮助他人。

作为独立安全研究员，你应该将自己的工作视为发展初创企业。你必须探索不同的策略以实现增长。

建立你的品牌和市场服务。扩大你对潜在客户的曝光率。开发增加价值的内容。参与行业讨论以展示技术能力。

有大量开源材料帮助解决常见挑战。例如，“ 44个常见销售异议及如何应对”可以帮助你在讨论私人安全审查时进行谈判。强烈建议扩展你的创业知识库，以协助在区块链世界中产生新的商业机会。

‍

前方的旅程

区块链安全存在巨大的机会。该行业正在迅速增长，经验丰富的声音对提升区块链安全到传统网络安全水平至关重要。遵循这条路线图可以帮助塑造你的旅程，让你成功从网络安全过渡到区块链安全研究员。

‍

关于作者

Block在传统网络安全领域工作近10年后，转向区块链安全。他是一名自由职业智能合约审计经理、团队负责人和技术作家。Block领导着Sapphire Dynasty安全团队，那个团队汇集了精英竞争安全研究员。

• 原文链接： cyfrin.io/blog/7-tips-to...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～