Kỹ sư QA/QC at AstroX

Với vai trò Kiểm Toán Viên Bảo Mật Hợp Đồng Thông Minh, bạn sẽ chịu trách nhiệm đảm bảo tính bảo mật và toàn vẹn của các hệ thống dựa trên blockchain. Các nhiệm vụ chính bao gồm:

• Kiểm Toán Bảo Mật Hợp Đồng Thông Minh: Thực hiện đánh giá mã thủ công cho các hợp đồng thông minh Solidity (EVM) và Move (Sui/Aptos) để xác định các rủi ro như tái nhập, bỏ qua quyền, lỗi logic và lỗ hổng mô hình kinh tế. Chuẩn bị báo cáo kiểm toán chi tiết với các đề xuất khắc phục khả thi và xác minh các bản sửa lỗi.
• Đánh Giá Bảo Mật Dịch Vụ Backend: Kiểm toán các dịch vụ backend cốt lõi (ví dụ: phê duyệt rút tiền, cổng API, động cơ kiểm soát rủi ro) được viết bằng Go/Java/Node.js, tập trung vào xác thực, kiểm soát RBAC/ABAC, ghi nhật ký hoạt động nhạy cảm, không từ chối và logic xác minh chữ ký cho các tương tác trên chuỗi.
• Kiểm Tra Bảo Mật Frontend: Đánh giá mã frontend quan trọng (React/Vue/Flutter) liên quan đến xử lý khóa riêng, xây dựng giao dịch và hiển thị địa chỉ để ngăn chặn lừa đảo, thay thế địa chỉ, XSS và các rủi ro khác.
• Bảo Mật Shift-Left: Tham gia đánh giá yêu cầu và thiết kế kiến trúc để xác định rủi ro sớm. Phát triển và thực thi các tiêu chuẩn mã hóa bảo mật và danh sách kiểm tra lỗ hổng, tích hợp chúng vào quy trình CI/CD. Cung cấp đào tạo bảo mật và ví dụ mã cho các nhóm phát triển.
• Phát Triển Công Cụ & Tự Động Hóa: Tích hợp và tối ưu hóa các công cụ phân tích tĩnh (ví dụ: Slither, Semgrep, SonarQube). Phát triển các kịch bản kiểm toán nội bộ để tạo trường hợp kiểm thử biên và phát hiện bất thường gas.
• Ứng Phó Sự Cố: Nhanh chóng xác định nguyên nhân gốc rễ trong các sự cố bảo mật và hỗ trợ phát triển các giải pháp sửa chữa nóng.

• 5+ năm kinh nghiệm phát triển phần mềm hoặc kiểm toán bảo mật, với ít nhất 1 năm tập trung vào hợp đồng thông minh Web3 hoặc bảo mật hệ thống tài chính.
• Chuyên môn về kiểm toán Solidity và hiểu biết sâu sắc về cơ chế EVM (ví dụ: delegatecall, bố trí lưu trữ, giới hạn gas).
• Quen thuộc với các phương thức tấn công Web3 phổ biến (tái nhập, thao tác flash loan, thao tác oracle, phát lại chữ ký) và chiến lược giảm thiểu.
• Thành thạo đọc mã backend (Go/Java/Node.js) để đánh giá logic nghiệp vụ và ranh giới bảo mật.
• Kinh nghiệm trước đây trong kiểm toán hoặc phát triển CEX, DEX, ví hoặc giao thức DeFi là một lợi thế lớn.
• Tinh thần trách nhiệm cao, chú ý đến chi tiết, khả năng làm việc dưới áp lực và kỹ năng giao tiếp xuất sắc.

Cơ hội xây dựng cơ sở hạ tầng bảo mật kỹ thuật từ đầu tại một sàn giao dịch CEX khởi nghiệp đang phát triển nhanh. Bạn sẽ đóng vai trò quan trọng trong việc định hình các phương pháp bảo mật tốt nhất và tác động trực tiếp đến sự an toàn của người dùng và tài sản trên nền tảng của chúng tôi.