小言_互联网的博客

【智能合约安全】智能合约安全审计之Code4rena(或C4) \如何成为智能合约审计员

270人阅读  评论(0)

智能合约安全】智能合约安全审计之Code4rena(或C4) \如何成为智能合约审计员

背景-区块链安全

为什么智能合约安全审计如此重要
参考URL: https://www.jinse.com/news/blockchain/1666661.html

区块链领域正在以非常快的速度发展。针对智能合约的攻击事件频频发生,不法分子盗取的加密资产越来越多。

各式各样的黑客攻击事件,相信给大家都敲响了安全的警钟,也不断的提醒大家智能合约审计的重要性和必要性。

区块链行业一直以来对于不法分子来说都是一块诱惑力巨大的蛋糕,不管是底链、交易所、钱包还是上线已久的项目,或者刚上线的新项目,不法分子们都在虎视眈眈,暗地不停发起攻击,一旦找到漏洞,这些人就会毫不留情的将资金最大程度的掏空盗走,给项目方、交易所、钱包以及用户造成巨大的经济损失,这些损失往往都是不可挽回的。

一个好的区块链项目首先必须是一个安全优先的项目,否则用户将资产投入到项目里,他们的资产安全就得不到保障,而智能合约的安全就是项目的基础。

关于Bug 赏金

Bug 赏金就像 CTF,但有 2 点不同

您尝试在主网上已部署的项目上查找缺陷,而不是“测试网”智能合约。

如果您发现漏洞或bug,您可以获得大量资金。

智能合约审计有什么补偿?

我不是这方面的专家,但我想说审计员的每小时费率大致是:

初级:100 美元/小时
有经验的:100 − 250 -250 250/h
顶级审计员:250 − 1000 -1000 1000/h

我将薪酬分为两类:

  • 固定:您的工作获得固定(小时)工资
  • 基于技能:您发现的错误越多或严重程度越高,您的补偿就越大。

如果您是初级人员,我建议您加入审计公司。
请注意,顶级漏洞赏金猎人因为关键漏洞获取数百万美元更多收入。

什么是Code4rena(或C4)

官网: https://code4rena.com/
官方文档:https://docs.code4rena.com/

Web3安全性,按需。

  • $5MM的奖励支付
  • 发现500多个高度严重性漏洞
  • 在48小时内开始你的审计:http://bio.link/code4rena

使用C4做审计的项目都有哪些


最近的zksync,宣布使用C4审计:

Today we’re kicking off an audit contest with @code4rena. Contests and bounties are an important part of helping to secure the network, and we look forward to the community’s contributions to make zkSync 2.0 the #1 choice for developers.

Contest link: https://code4rena.com/contests/2022-10-zksync-v2-contest…

如何开始C4

我们以zksync为例:Contest link: https://code4rena.com/contests/2022-10-zksync-v2-contest…

查看某个项目参与的说明,如:

奖池总共 16.55w $ ,开始时间 10月28结束时间11月9号

它显示了目前已知公开的issue

C4 Wardens的注意:C4UDIT输出中包含的任何内容都是公开已知的问题,并且不符合奖励。

接下来它会对自己的项目、名词,以及具体的合约做一些讲解。并且列出了自己的所有合约:

  • L1 Smart contracts
    zkSync
    Other
  • L2 contracts
    Bridges
    Other

如何成为智能合约审计员

原文链接: https://cmichel.io/how-to-become-a-smart-contract-auditor/

推荐阅读原文,这里列出框架:

  • 学习编程

  • 学习 ETH 区块链和 Solidity 基础知识
    学习一门新语言的最快方法是在实践中使用它,通过在其中编写代码 - 只阅读文档不会使知识巩固(并且出于某种原因,即使经过这么多年我仍然发现 Solidity 文档令人困惑和非结构化)。没有比解决 CTF 更好的方法来结合学习 Solidity 和了解 ETH 安全性。

CTF(夺旗/战争游戏)是存在易受攻击代码的安全挑战,您需要编写智能合约来利用该漏洞。

  • 熟悉最常用的智能合约
    在您的审计生涯中,您会一遍又一遍地看到某些合约、模式甚至算法。熟悉它们并深入了解它们的工作原理和细微差别是很好的。

  • 学习金融基础知识
    有时你在审计一个使用大量传统金融术语的 DeFi 项目时,你什么都不懂。当您查找这些术语时,您会得到引用更多您不知道的术语的定义。因此,我发现学习一门不做任何假设的基础金融课程真的很有帮助,它实际上解释了人们为什么要使用这种特定金融工具的意图。

  • 获得真实体验
    mmunefi 上的错误赏金或Code4rena 上的审计竞赛。这里最大的优势是它们是未经许可的。您可以匿名,无需通过工作面试,薪酬完全取决于技能。如果您想申请审计公司职位,收到实际的bug赏金是一个很好的补充。

参考

Indexed Finance被盗事件始末:18岁数学奇才攻陷DeFi平台
参考URL: https://www.qklw.com/news/20221002/269283.html


转载:https://blog.csdn.net/inthat/article/details/127344050
查看评论
* 以上用户言论只代表其个人观点,不代表本网站的观点或立场