Инженер по безопасности at Ju.com

Описание работы

Ключевые обязанности

• Аудит безопасности смарт-контрактов: Проведение комплексного аудита безопасности для смарт-контрактов (в основном на Solidity) в публичных блокчейнах, таких как Ethereum, Solana, Aptos и др. Охват критических модулей, включая логику кода, управление правами, математические операции и внешние взаимодействия, для выявления уязвимостей (например, повторные атаки, переполнение целых чисел, логические ошибки).
• Фаззинг-тестирование: Использование инструментов фаззинг-тестирования Solidity (например, Foundry, Echidna, Harvey) для автоматизированного тестирования основных функций контрактов и проверки безопасности в экстремальных условиях.
• Глубокий анализ DeFi-протоколов: Проведение детального аудита популярных DeFi-протоколов, таких как DEX, Liquid Staking, кредитные протоколы (например, Compound, Aave) и стейблкоины. Анализ бизнес-логики и экономических моделей с обеспечением безопасности в ключевых модулях (например, сопоставление сделок, награды за стейкинг, механизмы ликвидации).
• Межсетевая безопасность: Анализ рисков взаимодействия между смарт-контрактами и инфраструктурой блокчейна (например, ноды, кросс-чейн мосты), разработанной на Rust/Go, для обеспечения сквозной безопасности.
• Анализ инцидентов безопасности: Отслеживание глобальных инцидентов безопасности в DeFi (например, атаки с помощью flash loan, утечки приватных ключей, уязвимости логики протоколов). Анализ векторов атак и разработка стратегий защиты, применимых в практике аудита.
• Отчетность по аудиту: Предоставление детальных отчетов с описанием уязвимостей, уровнем риска, рекомендациями по исправлению и шагами воспроизведения. Помощь командам разработчиков в устранении уязвимостей и проведении повторной проверки.
• Оптимизация инструментов: Участие в создании внутренних инструментов аудита, оптимизация статического анализа Solidity (например, Slither, Mythril) и динамических тестовых процессов для повышения эффективности и точности.
• Обмен знаниями: Разработка методологий аудита, написание руководств по безопасности смарт-контрактов и проведение технического обучения для новых членов команды.

Требования к кандидату

• Опыт: Не менее 1 года в сфере информационной безопасности, предпочтительно с опытом аудита смарт-контрактов, блокчейн-безопасности или исследования уязвимостей Web3.
• Портфолио: Обязательно наличие минимум 3 независимых аудитов публичных блокчейн-проектов (предоставление анонимизированных ссылок на проекты или кратких отчетов).
• Технические навыки:
  • Свободное владение программированием на Solidity, понимание принципов компиляции, развертывания и взаимодействия смарт-контрактов.
  • Способность анализировать сложные кодовые базы контрактов (более 5000 строк).
  • Опыт работы с инструментами фаззинг-тестирования Solidity (Foundry, Echidna) для разработки тестовых сценариев.
  • Знание Rust/Go для оценки взаимодействия с блокчейн-протоколами (механизмы консенсуса, P2P-сети).
• Знание протоколов: Глубокое понимание:
  • DEX: Механизмы AMM (Uniswap V2/V3, SushiSwap), модели ордербуков.
  • Liquid Staking: Токенизированные стейкинг-активы (Lido, Rocket Pool), логика распределения доходности.
  • Кредитные протоколы: Коэффициенты залога, механизмы ликвидации, модели начисления процентов (Compound, Aave).
• Экспертиза в безопасности:
  • Знание рисков DeFi: повторные атаки, переполнение/недополнение целых чисел, ошибки прав доступа, flash loan, MEV.
  • Опыт работы с инструментами, такими как Slither, Mythril (статический анализ), Certora (формальная верификация), Nansen/Dune (мониторинг в блокчейне).
• Гибкие навыки:
  • Сильные аналитические способности и умение решать проблемы.
  • Отличные навыки документирования для создания четких отчетов по аудиту.
  • Нулевая терпимость к уязвимостям безопасности, ориентация на командную работу.

Преимущества

• Предоставление MacBook для работы.
• Возможность удаленной работы.
• Бонусы за производительность дважды в месяц.