Описание вакансии
Мы ищем высококвалифицированного аудитора безопасности для присоединения к нашей команде. Идеальный кандидат будет отвечать за обеспечение безопасности наших смарт-контрактов, бэкенд-сервисов и фронтенд-приложений. Эта роль требует глубокого понимания технологии блокчейн, лучших практик безопасности и способности выявлять и устранять потенциальные уязвимости.
Ключевые обязанности
- Аудит безопасности смарт-контрактов: Проведение ручного аудита кода для самостоятельно разработанных или интегрированных смарт-контрактов (Solidity/EVM, Move/Sui/Aptos), выявление рисков, таких как реентерабельность, обход разрешений, логические ошибки и недостатки экономической модели. Подготовка детальных отчетов с практическими рекомендациями по исправлению и проверка эффективности исправлений.
- Проверка безопасности бэкенд-сервисов: Аудит основных бэкенд-сервисов (например, одобрение выводов, API-шлюз, механизм контроля рисков), написанных на Go/Java/Node.js, с акцентом на аутентификацию, контроль доступа (RBAC/ABAC), логирование чувствительных операций, неотказуемость и логику проверки подписей для взаимодействия с блокчейном.
- Проверка безопасности фронтенда (критические пути): Анализ фронтенд-кода (React/Vue/Flutter), связанного с взаимодействием с приватными ключами, построением транзакций и отображением адресов, для предотвращения фишинга, подмены адресов, XSS и других рисков.
- Сдвиг безопасности влево: Участие в проверке требований и проектировании архитектуры для раннего выявления рисков безопасности. Разработка и внедрение "Руководства по безопасному кодированию" и "Чек-листа распространенных уязвимостей", их интеграция в CI/CD-процессы. Проведение обучения по безопасности и предоставление примеров кода для команд разработки.
- Разработка инструментов и автоматизация: Интеграция и оптимизация инструментов статического анализа (например, Slither, Semgrep, SonarQube). Разработка внутренних скриптов для аудита (например, автоматическая генерация тестовых случаев для граничных условий, обнаружение аномалий Gas).
- Поддержка реагирования на инциденты: Быстрое определение первопричин на уровне кода во время инцидентов безопасности и помощь в разработке оперативных исправлений.
Требования к кандидату
- 5+ лет опыта разработки программного обеспечения или аудита безопасности, включая не менее 1 года работы с Web3 смарт-контрактами или безопасностью финансовых систем.
- Опыт аудита Solidity и глубокое понимание механизмов EVM (например, delegatecall, структура хранения, лимиты Gas).
- Знание распространенных векторов атак в Web3 (реентерабельность, манипуляции с flash loan, манипуляции с оракулами, повторное использование подписей) и стратегий защиты.
- Способность читать и понимать бэкенд-код (Go/Java/Node.js) для оценки бизнес-логики и границ безопасности.
- Предпочтителен опыт аудита или разработки CEX, DEX, кошельков или DeFi-протоколов.
- Высокая ответственность, внимание к деталям, способность работать под давлением и отличные коммуникативные навыки.
Преимущества
Возможность участвовать в создании технической системы безопасности для стартапа CEX с нуля.
