【智能合约安全】智能合约安全审计之Code4rena(或C4) \如何成为智能合约审计员
背景-区块链安全
为什么智能合约安全审计如此重要
参考URL: https://www.jinse.com/news/blockchain/1666661.html
区块链领域正在以非常快的速度发展。针对智能合约的攻击事件频频发生,不法分子盗取的加密资产越来越多。
各式各样的黑客攻击事件,相信给大家都敲响了安全的警钟,也不断的提醒大家智能合约审计的重要性和必要性。
区块链行业一直以来对于不法分子来说都是一块诱惑力巨大的蛋糕,不管是底链、交易所、钱包还是上线已久的项目,或者刚上线的新项目,不法分子们都在虎视眈眈,暗地不停发起攻击,一旦找到漏洞,这些人就会毫不留情的将资金最大程度的掏空盗走,给项目方、交易所、钱包以及用户造成巨大的经济损失,这些损失往往都是不可挽回的。
一个好的区块链项目首先必须是一个安全优先的项目,否则用户将资产投入到项目里,他们的资产安全就得不到保障,而智能合约的安全就是项目的基础。
关于Bug 赏金
Bug 赏金就像 CTF,但有 2 点不同
您尝试在主网上已部署的项目上查找缺陷,而不是“测试网”智能合约。
如果您发现漏洞或bug,您可以获得大量资金。
智能合约审计有什么补偿?
我不是这方面的专家,但我想说审计员的每小时费率大致是:
初级:100 美元/小时
有经验的:100 − 250 -250 −250/h
顶级审计员:250 − 1000 -1000 −1000/h
我将薪酬分为两类:
- 固定:您的工作获得固定(小时)工资
- 基于技能:您发现的错误越多或严重程度越高,您的补偿就越大。
如果您是初级人员,我建议您加入审计公司。
请注意,顶级漏洞赏金猎人因为关键漏洞获取数百万美元更多收入。
什么是Code4rena(或C4)
官网: https://code4rena.com/
官方文档:https://docs.code4rena.com/
Web3安全性,按需。
- $5MM的奖励支付
- 发现500多个高度严重性漏洞
- 在48小时内开始你的审计:http://bio.link/code4rena
使用C4做审计的项目都有哪些
最近的zksync,宣布使用C4审计:
Today we’re kicking off an audit contest with @code4rena. Contests and bounties are an important part of helping to secure the network, and we look forward to the community’s contributions to make zkSync 2.0 the #1 choice for developers.
Contest link: https://code4rena.com/contests/2022-10-zksync-v2-contest…
如何开始C4
我们以zksync为例:Contest link: https://code4rena.com/contests/2022-10-zksync-v2-contest…
查看某个项目参与的说明,如:
奖池总共 16.55w $ ,开始时间 10月28结束时间11月9号
它显示了目前已知公开的issue
C4 Wardens的注意:C4UDIT输出中包含的任何内容都是公开已知的问题,并且不符合奖励。
接下来它会对自己的项目、名词,以及具体的合约做一些讲解。并且列出了自己的所有合约:
- L1 Smart contracts
zkSync
Other - L2 contracts
Bridges
Other
如何成为智能合约审计员
原文链接: https://cmichel.io/how-to-become-a-smart-contract-auditor/
推荐阅读原文,这里列出框架:
-
学习编程
-
学习 ETH 区块链和 Solidity 基础知识
学习一门新语言的最快方法是在实践中使用它,通过在其中编写代码 - 只阅读文档不会使知识巩固(并且出于某种原因,即使经过这么多年我仍然发现 Solidity 文档令人困惑和非结构化)。没有比解决 CTF 更好的方法来结合学习 Solidity 和了解 ETH 安全性。
CTF(夺旗/战争游戏)是存在易受攻击代码的安全挑战,您需要编写智能合约来利用该漏洞。
-
熟悉最常用的智能合约
在您的审计生涯中,您会一遍又一遍地看到某些合约、模式甚至算法。熟悉它们并深入了解它们的工作原理和细微差别是很好的。 -
学习金融基础知识
有时你在审计一个使用大量传统金融术语的 DeFi 项目时,你什么都不懂。当您查找这些术语时,您会得到引用更多您不知道的术语的定义。因此,我发现学习一门不做任何假设的基础金融课程真的很有帮助,它实际上解释了人们为什么要使用这种特定金融工具的意图。 -
获得真实体验
mmunefi 上的错误赏金或Code4rena 上的审计竞赛。这里最大的优势是它们是未经许可的。您可以匿名,无需通过工作面试,薪酬完全取决于技能。如果您想申请审计公司职位,收到实际的bug赏金是一个很好的补充。
参考
Indexed Finance被盗事件始末:18岁数学奇才攻陷DeFi平台
参考URL: https://www.qklw.com/news/20221002/269283.html
转载:https://blog.csdn.net/inthat/article/details/127344050