我如何使用Solodit赢得比赛

如果你一直在关注，可能还记得我之前写的文章 “Web3中最好的安全教育工具，”，在那篇文章中，我介绍了 Solodit 作为区块链安全学习的颠覆者。本文将在此基础上进一步探讨——详细描述我如何首次使用它来提升自己的技能，然后将其推向世界，我如何将其庞大的资源转变为安全竞赛的成功策略，以及该平台如何成长为一个更加重要的工具。

利用 Solodit 解锁胜利——图片由 Grok 3 生成

巨大的开始

Solodit 是我创办的，源于一个简单的想法：把像 Code4rena 和 Sherlock 等平台上过去的每一个安全发现汇聚到一个地方进行研究。但当我开动这个项目，看到成千上万的报告涌入时，我惊呆了。即使作为建设者，我也在心里想， “哇，我真的能处理这些吗？” 我能否在这股数据洪流中筛选出真正的教训，而无需逐一剖析每个协议的源代码？

不论如何，我决定深入研究，每天承诺查看 20 到 30份报告，从最新的竞赛开始。参与过这些竞赛的我感到很熟悉。

每个晚上，我都坐下来想着：“今天的实际收获是什么？”

我不太确定自己是否能发现这些漏洞。这样的怀疑促使我把 Solodit 转变为不仅仅是一堆报告——它必须帮助我更聪明地学习。

反思

使用 Solodit 不只是贪图报告——而是要让它们为我服务。当我努力跟上报告洪流时，我开始添加一些功能，以反映我之前在笔记本上的涂写内容。

• 评论：我会在每一份报告后迅速做下笔记——关键收获或“哦，这个真聪明”的时刻。

• 标记：我开始按照“数学错误”或“访问漏洞”等类型对发现进行分组，这样我可以复习模式。

• 评分：我给“质量”和“普遍性”评分来排名发现，后来将其调整为真正独特漏洞的稀有性评分。

每次深入挖掘 20-30 个发现后，我都会坐下来细想我所读的内容，试图破解那些审计员是如何发现这些漏洞的。知道他们发现了**“什么”是不够的——我想弄清楚“如何”**找到这些问题，以便下次能发现同样的问题。

这时我开始建立自己的检查清单，从反思中提取见解。

检查清单

事情是这样的：我并不是整天死盯着报告。我参与了每一个可能的 Code4rena 和 Sherlock 竞赛。在每次竞赛后，我都会仔细查看结果，找回我遗漏的那些问题。每一项遗漏都被仔细审视——“我为什么没有看见它？” 我把它分为三个类别：

• 缺乏知识：我没有理解这个技术概念或协议的商业逻辑——该时间学习了。

• 缺少检查项目：如果我列出来就能发现它，所以我会在我的检查清单上添加一项新内容。

• 疏忽：我知道这个概念，并在检查清单中涵盖了，但我疏忽了——我会把它添加到已有的项目中，作为新的例子。

我的检查清单发展为一个活生生的工具——充满技巧。

我原始检查清单的一部分

不久之后，它便变成了一种秘密武器，锋利且符合我的思维方式。

而且我在这个过程中收获一个额外的发现：我意识到自己并不总是需要逐行分析协议的整个代码库就能理解它的安全漏洞。报告和反思——它们已经足够。

发掘瑰宝

并不是每个发现都是颠覆性的。很多都是不错但可预测的——对基础知识来说是好的，但对突破性发现来说就不够了。然后我看到来自 cmichel、watchpug 和 0x52 等重磅级审计员的报告。他们的内容？简直是金矿，尤其是他们的独立发现——没人抓住的漏洞。我会默念，“兄弟，这是个潜在的瑰宝。”

为了更专注，我再次调整了 Solodit，添加了发现者的详细信息，并过滤查找独立或小团队的发现。然后我深入研究那些精英报告，逆向工程 cmichel 可能是如何发现一个隐藏的边界情况或 watchpug 如何解开一个逻辑纠结。模式开始显现——这些专业人士共享的细微习惯，甚至他们自己都没有意识到。我模仿他们的动作，检查清单也变得更精准。

带来回报的例行公事

我坚持了 2-3 个月——我、Solodit，以及每天顶尖发现的辛勤付出。很快，我以全新的视角参与竞赛。我的漏洞发现速度变快了，提交内容更紧凑，不久我便在排行榜上名列前茅。以下是有效的方法：

1. 选定一位大师：我会跟随像 0x52 这样的审计员一段时间。

2. 筛选最佳：独立发现或最多 2-3 人捕获的漏洞——来源纯粹，无噪音。

3. 努力学习：每天10–30份报告，集中大约 2–3 小时的时间。

4. 反思和完善：我会给每个会话打标签，评分，并将其提炼为检查清单的更新。

5. 重复：一致性是关键。

这不是魔法——只是一个适合我思维的办法。你可能会根据自己的风格进行调整，但对我而言，这简直是金子般的策略。

从个人中心到公共强者

Solodit 开始时只是我个人的游乐场——一个简单的发现存储库，可以让我查询。但随着我的使用，我不断增加来自需求的功能：审计员筛选、评论、标签。当我终于向公众开放时，它已经准备好超出我最疯狂的期望。

自 2023 年以来，Solodit 迅猛发展。我们将来自顶尖研究人员的安全检查清单融合为一个流畅的框架——可以想象成终极审计员手册。现在，该数据库中保存了来自 30 家安全公司的约 40,000 个发现，远远超出了 Code4rena 和 Sherlock 的范畴。

从我私人工具开始，如今已成为区块链安全的基石，得益于一个出色的社区和他们的反馈。

未来的道路

我对 Solodit 的梦想是宏伟的：成为开发者和审计员每日必备的工具——一个一站式商店，用于学习、调试和提升区块链安全。对此我并不孤单。

支持 Solodit 的团队 Cyfrin 正在全力以赴，努力提升 Web3 中重要的重担。

我们的生态系统丰富多彩：

• Cyfrin 私人审计：顶尖研究人员以精确的方式审核和保护协议。

• Cyfrin Updraft：全球第一的平台，以卓越的课程吸引 Web3 中超过一半的开发者和安全专家。

• CodeHawks：一个竞争审计平台，拥有最多的审计员群体，此外还有“第一次飞行”以引导新人才。

• Aderyn：一个基于 Rust 的静态分析器，能迅速捕捉到 Solidity 漏洞。

我们共同追求的愿景是让 Web3 变得更加安全和智能——Solodit 只是这个拼图中的一部分。团队全力以赴，我很期待它的发展。非常感谢 Cyfrin 支持我们的旅程，也谢谢我们的用户们用想法和支持推动我们向前。你们让我的小实验变成了宏伟的事业。

• 原文链接： checkwithhans.substack.c...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～