如何成为智能合约审计师 - 路线图

学习如何成为智能合约审计师（安全研究员），并通过这条完整的路线图开始你的职业生涯，获得 web3 中最佳的资源和课程。

你喜欢漏洞吗？那么，这些漏洞怎么样？

- 马特·达蒙，可能是

Web3 是你可能面临的最具掠夺性的环境之一。在 2024 年，我们看到超过 $2.2 亿被盗。这是一个大 fat "B" 的亿。

因此，智能合约安全 的需求正在增长，审计师 的薪水飙升至每年 20 万美元以上 。

在这篇文章中，我们将为你提供确切的逐步路线图，以回答 如何成为一个智能合约审计师（更广为人知的是 “ 安全研究员”）在 web3 中。

如果你想要：

• 在 顶尖安全公司 如 Cyfrin、Trail of Bits 或 OpenZeppelin 找到工作
• 成为一个付出丰厚的漏洞猎手
• 在像 CodeHawks 这样的平台上赢得竞争审计
• 或者只是为 web3 的安全贡献力量

请记住，成功的 web3 安全职业的关键在于提升。你必须不断提高，因为平庸的安全研究员很少能够获得成功。

追求卓越！如果你打算走这条路 - 永远 要学习。

话虽如此，让我们开始我们的智能合约审计师 Route。

1. 上课并学习 Solidity ‍

成为智能合约审计师的第一步是熟悉 Solidity，这是 web3 开发 的主流语言。截至今天，85% 的智能合约价值 流经 Solidity，因此你可以相信，学习它是个不错的选择，因为这知识适用于大多数区块链应用。

幸运的是，有许多地方可以从头到尾学习 Solidity，例如：

• 区块链集训营
• Speed Run Ethereum

我强烈推荐 Updraft 来学习 Solidity 和智能合约开发。它是 Cyfrin 团队发布的最新产品，包含 web3 顶尖思维所需的一切，帮助你成为成功的开发者。

你是否必须成为一个出色的 Solidity 大师才能成为顶级审计师？不。

我们在与顶尖 1% 的安全研究员交流时，常感惊讶，因为他们中有些人对语言的了解相对基础。相反，他们只是对其所处理的代码库有着极其详细的理解。

这是否意味着你应该跳过学习高级 Solidity？不。

有一些特殊情况的人可以做到这一点。但一般来说，你对 Solidity 的理解越深入，对高级测试技术的掌握越好，越能在攻击者面前占据优势。

2. 学习智能合约审计 ‍

下一步是学习 智能合约安全和审计。习惯于学习，因为作为审计师/安全研究员，你的大部分工作就是不断学习。我稍后会给你一些可以使用的工具。

这正是我们在 Cyfrin Updraft 上开设 智能合约安全和审计课程 的原因：学习审计。

这将教你成为成功安全研究员所需的一切，例如顶尖漏洞和以下概念：

• 重入攻击
• 如何赢得竞争审计
• 拒绝服务
• MEV
• 预言机操控 与 闪电贷
• 顶尖的 web3 攻击
• 签名重放
• 弱随机性

特约讲座包括 web3 的佼佼者，例如 Trail of Bits 的区块链负责人、Sigma Prime、Guardian Audits 的审计师，以及个人审计师如 Johnny Time 和 Pashov。

我与 Tincho 一起共同创建了这门课程，来自于 The Red Guild。

这里最重要的一点是，一旦你参加了这门课程，你就不再需要参加其他智能合约安全和审计课程。你将走在成功的路上，而你在往前走时，最重要的事情就是练习。

你如何练习？好吧，我很高兴你问。

3. 进行智能合约审计实践 - 参与竞赛 ‍

成为 web3 审计师的下一步至关重要。你想要学习和成长 — 但你还希望能快速获得反馈。

在提升声誉的同时实践的最佳场所之一是竞争审计平台，如 CodeHawks、Code4rena 和 Sherlock。这些平台允许你与其他安全研究员竞争，以发现漏洞。它们帮助你比较在特定代码库中的表现与其他安全研究员的表现。此外，根据你的表现，你甚至可以赢得奖金！

除了付费的竞争审计外，CodeHawks 还提供 First Flights。这些是专为新审计师设计的初学者友好的审计，以学习如何在更小和简单的虚拟协议中发现不同的漏洞。如果你在这些比赛中不能找到至少一个漏洞，你可能想在参加主赛事之前继续练习。

竞争审计允许表现出色的参与者被公司发掘并聘用，你甚至可以在类似 Solodit 的排行榜上查看其他审计师的表现。

每次你参加比赛、独立审计或漏洞奖励时，你都会希望更新你的 GitHub，以包括你完成的工作。这样，其他人可以审查你的工作，看看你有多么出色！

你还可以通过以下方式进行实践：

• 进行漏洞奖励
• 分享你喜欢的代码库的安全评审/审计（GitHub、X（前身为 Twitter）和 Medium 是一个不错的起点）
• 与其他审计师建立联系（Cyfrin 的社交媒体渠道，以及 Cyfrin、Code4rena 和 Sherlock 的 Discord 服务器都是很好的选择；你还可以查看 CodeHawks 等平台的排行榜，尝试与安全研究员在社交媒体上联系）

4. 持续学习和成长

成为智能合约审计师的最大部分是你总是希望改善你的知识基础。你越了解攻击，越有可能在代码库中发现它们。

因此，智能合约审计师应该使用的顶部工具之一是 Solodit。

它从顶级公司、独立审计师和竞争审计平台聚合发现到一个可搜索的数据库/界面，以便你了解人们报告的攻击类型。这样，你将知道哪些漏洞正在出现，以及如何在其他安全研究员之前就有应对之策。

学习是你希望熟悉的事情（你听说过这个吗），而学习可能会有点不舒服，因此你希望习惯感到不适！此外，你应该始终保持安全内容的持续输出。

一些很棒的 web3 安全通讯有：

1. Cyfrin 的通讯
2. 区块链威胁情报
3. Rekt
4. Consensys Diligence 通讯

结论

在这一成为智能合约审计师的路线图中，我们列出了你从零到达 web3 顶尖审计师所需的所有资源。因此，你可以开启你的职业生涯，或在 CodeHawks 的智能合约审计比赛中开始竞争。

继续学习、成长和竞争！在你学习和成长的同时，你可以开始获得薪酬，并通过申请审计公司的安全角色或在更复杂的漏洞奖励和竞赛中获得更高的回报来推动自己的职业发展。

要学习智能合约安全和开发，请访问 Cyfrin Updraft 。要请求智能合约项目的安全支持/审计，请访问 Cyfrin.io 或 CodeHawks.com 。

要了解更多关于智能合约中报告的顶尖攻击，请务必研究 Solodit 。

• 原文链接： cyfrin.io/blog/how-to-be...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～