職務内容
スマートコントラクトセキュリティ監査員として、ブロックチェーンベースのシステムの安全性と完全性を確保する責任を負います。主な業務内容は以下の通りです:
- スマートコントラクトセキュリティ監査:Solidity(EVM)およびMove(Sui/Aptos)スマートコントラクトの手動コードレビューを実施し、リエントランシー、権限バイパス、ロジックエラー、経済モデルの欠陥などのリスクを特定します。具体的な修正提案を含む詳細な監査報告書を作成し、修正内容を検証します。
- バックエンドサービスセキュリティレビュー:Go/Java/Node.jsで記述されたコアバックエンドサービス(出金承認、APIゲートウェイ、リスク制御エンジンなど)を監査し、認証、RBAC/ABAC制御、機密操作のロギング、否認防止、オンチェーン連携の署名検証ロジックに焦点を当てます。
- フロントエンドセキュリティチェック:秘密鍵処理、トランザクション構築、アドレス表示に関連する重要なフロントエンドコード(React/Vue/Flutter)をレビューし、フィッシング、アドレス置換、XSSなどのリスクを防止します。
- セキュリティシフトレフト:要件レビューとアーキテクチャ設計に参加し、早期にリスクを特定します。セキュリティコーディング標準と脆弱性チェックリストを開発・実施し、CI/CDパイプラインに統合します。開発チームにセキュリティトレーニングとコード例を提供します。
- ツールチェーン開発&自動化:静的解析ツール(Slither、Semgrep、SonarQubeなど)を統合・最適化します。境界テストケース生成とガス異常検出のための内部監査スクリプトを開発します。
- インシデント対応:セキュリティインシデント発生時に根本原因を迅速に特定し、ホットフィックスソリューションの開発を支援します。
求める人材
- 5年以上のソフトウェア開発またはセキュリティ監査経験があり、少なくとも1年以上Web3スマートコントラクトまたは金融システムセキュリティに焦点を当てた経験があること。
- Solidity監査の専門知識と、EVMメカニズム(delegatecall、ストレージレイアウト、ガス制限など)の深い理解。
- 一般的なWeb3攻撃手法(リエントランシー、フラッシュローン操作、オラクル操作、署名リプレイ)と緩和策に精通していること。
- バックエンドコード(Go/Java/Node.js)を読み解き、ビジネスロジックとセキュリティ境界を評価できる能力。
- CEX、DEX、ウォレット、またはDeFiプロトコルの監査または開発経験があることが望ましい。
- 強い責任感、細部への注意力、プレッシャー下での作業能力、優れたコミュニケーションスキル。
福利厚生
急成長中のスタートアップCEXで、技術的なセキュリティインフラをゼロから構築する機会を提供します。セキュリティのベストプラクティスを形作り、当プラットフォームのユーザーと資産の安全性に直接影響を与える重要な役割を果たします。
