Описание вакансии
В качестве аудитора безопасности смарт-контрактов вы будете отвечать за обеспечение безопасности и целостности наших блокчейн-систем. Ваши основные обязанности включают:
- Аудит безопасности смарт-контрактов: Проведение ручного анализа кода смарт-контрактов на Solidity (EVM) и Move (Sui/Aptos) для выявления рисков, таких как реентерабельность, обход разрешений, логические ошибки и недостатки экономической модели. Подготовка детальных отчетов с рекомендациями по исправлению и проверка внесенных изменений.
- Проверка безопасности бэкенд-сервисов: Аудит основных бэкенд-сервисов (например, одобрение выводов, API-шлюзы, движки контроля рисков), написанных на Go/Java/Node.js, с акцентом на аутентификацию, RBAC/ABAC-контроль, логирование чувствительных операций, неотказуемость и логику проверки подписей для взаимодействия с блокчейном.
- Проверка безопасности фронтенда: Анализ критического фронтенд-кода (React/Vue/Flutter), связанного с обработкой приватных ключей, формированием транзакций и отображением адресов, для предотвращения фишинга, подмены адресов, XSS и других рисков.
- Раннее внедрение безопасности: Участие в обзорах требований и проектировании архитектуры для раннего выявления рисков. Разработка и внедрение стандартов безопасного кодирования и чек-листов уязвимостей, их интеграция в CI/CD-процессы. Проведение обучения по безопасности и предоставление примеров кода для команд разработки.
- Разработка инструментов и автоматизация: Интеграция и оптимизация инструментов статического анализа (например, Slither, Semgrep, SonarQube). Создание внутренних скриптов для генерации тестовых случаев и обнаружения аномалий расхода газа.
- Реагирование на инциденты: Быстрое определение причин инцидентов безопасности и помощь в разработке оперативных решений.
Требования
- 5+ лет опыта в разработке программного обеспечения или аудите безопасности, включая не менее 1 года работы с безопасностью Web3 смарт-контрактов или финансовых систем.
- Экспертные знания в аудите Solidity и глубокое понимание работы EVM (например, delegatecall, организация хранилища, лимиты газа).
- Знание распространенных векторов атак в Web3 (реентерабельность, манипуляции с flash loan, манипуляции с оракулами, повторное использование подписей) и методов их предотвращения.
- Умение анализировать бэкенд-код (Go/Java/Node.js) для оценки бизнес-логики и границ безопасности.
- Опыт аудита или разработки CEX, DEX, кошельков или DeFi-протоколов будет значительным преимуществом.
- Высокая ответственность, внимание к деталям, способность работать в условиях давления и отличные коммуникативные навыки.
Преимущества
Возможность создать техническую инфраструктуру безопасности с нуля в быстрорастущем стартапе CEX. Вы будете играть ключевую роль в формировании лучших практик безопасности и напрямую влиять на безопасность пользователей и активов нашей платформы.
