如何用一年时间从零基础成为一名Web3安全审计师

1. 在开始之前你需要接受什么

如果你想成为一名 Web3 安全审计员，你必须首先接受一个令人不舒服的事实。

这是一个艰难且耗时的游戏。不是上一门课程就能掌握的。

在很长一段时间内，你会感觉自己很慢。你会阅读你几乎不理解的代码。你会错过事后看来很明显的 bug。这是正常的。如果你不愿意长时间忍受这种不适，这条路会提前让你崩溃。

Web3 安全奖励那些在进步感觉不明显时仍然坚持的人。

2. 理解为什么这份工作薪水如此之高

Web3 安全薪水很高，因为 Web3 中的错误代价极其昂贵。

一个 bug 可能会耗费数百万美元。一个被忽略的边缘情况可能会永久性地损害一个协议。

这就是为什么存在百万美元的漏洞赏金的原因。这就是为什么有经验的审计员每年能赚取 20 万美元或更多。团队不是为努力或工作时间付费。他们是在为那些能够防止灾难发生的人付费。

一个好的发现可以为一个公司节省比整个工程团队一年的成本更多的钱。

3. 为什么 Web3 安全如此吸引人

Web3 安全吸引如此多人的一个原因是，入门要求并不正式。

• 你不需要学位。

• 你不需要计算机科学背景。

• 你甚至不需要在第一天就懂得如何编码。

你可以远程工作。你可以与来自世界各地的聪明人联系。你可以赚到非常可观的钱。是的，找到真正的 bug 真的很有趣。（它会给你带来多巴胺的冲击）

但可及性并不意味着容易。如果你不认真对待每周的学习和进步，这个领域会悄无声息地将你淘汰。

4. 这份工作实际涉及什么

成为一名 Web3 安全审计员不仅仅是逐行阅读 Solidity 代码。你需要理解 DeFi 系统在经济上是如何运作的。你需要像攻击者一样思考，并不断地问，“这怎么会被滥用？”你需要理解激励机制、用户行为和边缘情况。你还需要与团队清晰地沟通，有时在压力下也是如此。

这里没有正式的晋升阶梯。如果你能找到真正的问题并清楚地解释它们，人们就会信任你。如果你不能，任何证书都救不了你。除了寻找 bug 之外，你需要的技能 👇

找到 bug 是核心技能，也是你主要会做的事情，但仅仅有这个是不够的。

你还需要：

• 清晰的写作 如果你不能清楚地解释一个漏洞，它就会失去价值。好的报告简洁、精确且可操作。这是一项你需要积极练习的技能。

• 沟通和情绪控制 客户会质疑你的发现。工程师会不同意。你必须保持冷静，解释你的理由，并以专业的方式处理反驳。情绪化的反应会破坏信任。

• 可靠性 审计的运行时间很紧张。你不能消失、错过截止日期或交付半成品。可靠比聪明更重要。

• 时间优先级 你永远没有足够的时间来检查所有内容。优秀的审计员知道该忽略什么，以及该专注于哪里。

• 好奇心 协议变化很快。攻击技术不断发展。最好的审计员会不断地问“如果...会怎么样？”，并比显而易见的更深入地挖掘。

• 自我指导 没有人会告诉你该寻找什么。你必须决定把注意力放在哪里，并对你的结论负责。

5. 通常需要多长时间

没有固定的时间表。

你的进步速度取决于几个因素。之前的编码经验会有所帮助。Web2 安全背景的帮助更大。你的学习速度很重要。你能每周投入的时间量也很重要。

有些人会在一年内成为强大的审计员。其他人则需要两、三或四年。重要的不是年数，而是你是否始终如一地在正确的事情上努力，而不是不断地被其他无关紧要的事情分散注意力。

如果你努力专注，投入大量的时间，并且渴望在这个领域取得成功，那么在大约一年内成为一名像样的审计员是现实的。

6. 一般路径

总体路径是已知的。困难在于执行。

• 你首先要学习区块链和智能合约是如何工作的。

• 然后你学习 Solidity。

• 然后你学习安全基础知识。

• 之后，你花更少的时间学习，而花更多的时间练习。

• 最终，你开始建立你的技能证明，只有这样，工作、自由职业或赏金才有意义。

7. 第一步：区块链和智能合约基础

最好的起点是 从区块链基础知识开始 学习以太坊是如何工作的，交易是如何处理的，以及为什么去中心化和可扩展性很重要。

• 然后继续学习 Solidity 智能合约开发 学习语法，理解状态和函数是如何工作的，并开始舒适地阅读简单的合约。不需要先前的编码经验。

• 你还应该学习基础的 Web3 钱包安全。（1 小时）理解用户如何签署交易以及他们如何丢失资金，这将使你以后成为一名更好的审计员。

• 现在，最重要的是智能合约安全课程。（24 小时）这介绍了常见的漏洞，如重入、预言机操纵和访问控制问题，并且它帮助你开始像安全研究员一样思考。它将提供一个坚实的基础。

8. 第二步：练习 Solidity，但不要卡住

在这个阶段，你应该编写一些简单的合约。

构建一个基本的 token。创建一个投票合约。尝试一个简单的质押机制。这些项目不需要令人印象深刻。它们的目的是帮助你理解真实的合约是如何表现的。部署到测试网。通过钱包与你的合约交互。发送交易。故意破坏东西。观察当输入错误、权限缺失或假设失败时会发生什么。

阅读交易追踪。查看状态变化。尝试推断如果这个合约持有真正的价值，攻击者会做什么。

这种亲身实践的互动是理解真正形成的地方。阅读代码有帮助，但部署、使用和破坏你自己的合约会使这种行为在你的脑海中根深蒂固。

你还应该阅读真正的协议代码。一个好的集合可以在这里找到：

做足够多的这些练习，以感到能够轻松地浏览真正的合约，然后继续前进。在这里停留太久是一个常见的陷阱。

9. 第三步：进一步提升你的安全知识

如果你想成为一名认真的审计员，一个资源是必不可少的。

Owen Thurm 的 Web3 安全 101 播放列表：观看所有视频，它是 GOLD🪙。做笔记。稍后再回顾。内容密集、实用且极具价值。像你为它支付了 1 万美元一样对待它。

10. 第四步：进行真实的练习

课程不会让你成为审计员。练习会。

真正的学习始于你开始审计真正的代码库时。这通常通过竞赛发生。

你将参加竞赛，并感到完全迷失。你会错过明显的 bug。你的第一份报告会很糟糕。你的大脑会很痛。

这正是它应该的样子。

你可以在这里跟踪正在进行的竞赛：

安全竞赛很有价值，因为它们是无需许可的。它们允许你公开证明你的技能。但是，它们可能不会永远存在。最近，它们的数量正在迅速下降。所以在它们可用的时候使用它们。

如果竞赛消失了，你仍然有选择。你的替代方案将是：

• 在漏洞赏金平台上寻找实时 bug（即使是低或中等严重程度的），这些平台上的代码库通常由顶级公司多次审计

• 在没有赏金的实时协议中寻找 bug，私下报告它们，并将这项工作作为以后的证明

• 对你单独审计的协议进行深入的撰写

• 重现真实的漏洞并进行解释

• 现有 DeFi 系统的清晰威胁模型

无论你做什么，都将你的作品发布在 GitHub 上。公司以后会要求提供。

11. 第五步：走向专业

一旦你有了真正的技能证明，你就可以开始将其货币化。

此时，你可以选择以下三种路径之一：

1. 漏洞赏金——你会在实时代码库中寻找漏洞，并在你发现有效问题时获得报酬。

2. 自由审计——Web3 安全公司会聘请自由审计员进行个别项目，允许你按审计赚钱。

3. 传统公司——你全职为一家安全公司工作，并获得固定工资。

没有多少公司会聘用初级审计员，但有些公司会聘用作为审计的额外第三或第四审查员。当你已经有了一些优势时，尝试联系各种安全公司。

期待被拒绝。你会被忽略和拒绝。这是正常的。

重要的是你为这个领域贡献了多少真正的价值，你的发现的质量，以及你思考的清晰度。如果你不断地进行真实的工作，机会最终会出现。

12. 第六步：持续改进

安全不是你可以“完成学习”的事情。这是一个持续的过程。你必须愿意每天学习，并花费大量时间来提高你的技能和知识。每天提升自己会为你打开更多扇门。

大多数审计员浪费时间在忙碌上，而不是变得更好。忙碌并不能让你变得强大。以下是 10 项真正具有高 ROI 的活动。尽可能多地做这些活动：

13. 以下是我们挑选的一路上最有价值的资源

如果你是认真的，这些都值得你花时间。

• Owen Thurm – Web3 Security 101 (YouTube)

• 过去的审计报告

• DeFi 研究基地

• 博客和书籍 – https://mixbytes.io/blog , https://rareskills.io/blog , https://masteringethereum.xyz * 深度工作

• 时事通讯

• 过去的黑客攻击

• 初学者 Telegram 社区

• [Awesome Smart Contracts](https:// https://github.com/shafu0x/awesome-smart-contracts)

14. 结论

Web3 安全是一场长期的游戏。进步缓慢，错误不断，清晰来得晚。大多数人在那之前就放弃了。如果你不断地练习，发表真实的作品，并改进你的思考方式，这个领域最终会认真对待你。我们可以向你保证——这是值得的。

• 原文链接： x.com/CDSecurity_/status...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～