Mô Tả Công Việc
Chúng tôi đang tìm kiếm một Kiểm Toán Viên Bảo Mật có tay nghề cao để gia nhập đội ngũ. Ứng viên lý tưởng sẽ chịu trách nhiệm đảm bảo an ninh cho các hợp đồng thông minh, dịch vụ backend và ứng dụng frontend của chúng tôi. Vai trò này đòi hỏi hiểu biết sâu sắc về công nghệ blockchain, các phương pháp bảo mật tốt nhất và khả năng xác định cũng như giảm thiểu các lỗ hổng tiềm ẩn.
Trách Nhiệm Chính
- Kiểm Toán Bảo Mật Hợp Đồng Thông Minh: Thực hiện kiểm tra mã thủ công cho các hợp đồng thông minh tự phát triển hoặc tích hợp (Solidity/EVM, Move/Sui/Aptos), xác định các rủi ro như tái nhập, bỏ qua quyền, lỗi logic và lỗi mô hình kinh tế. Chuẩn bị báo cáo kiểm toán chi tiết với các đề xuất khắc phục hành động và xác minh hiệu quả của các bản sửa lỗi.
- Đánh Giá Bảo Mật Dịch Vụ Backend: Kiểm toán các dịch vụ backend cốt lõi (ví dụ: phê duyệt rút tiền, cổng API, động cơ kiểm soát rủi ro) được viết bằng Go/Java/Node.js, tập trung vào xác thực, kiểm soát truy cập (RBAC/ABAC), ghi nhật ký hoạt động nhạy cảm, không thể từ chối và logic xác minh chữ ký cho các tương tác blockchain.
- Kiểm Tra Bảo Mật Frontend (Các Đường Dẫn Quan Trọng): Xem xét mã frontend (React/Vue/Flutter) liên quan đến tương tác khóa riêng tư, xây dựng giao dịch và hiển thị địa chỉ để ngăn chặn lừa đảo, thay thế địa chỉ, XSS và các rủi ro khác.
- Bảo Mật Từ Sớm: Tham gia đánh giá yêu cầu và thiết kế kiến trúc để xác định sớm các rủi ro bảo mật. Phát triển và thực thi "Hướng Dẫn Mã Hóa An Toàn" và "Danh Sách Kiểm Tra Lỗ Hổng Thường Gặp", tích hợp chúng vào quy trình CI/CD. Cung cấp đào tạo bảo mật và ví dụ mã cho các nhóm phát triển.
- Phát Triển Công Cụ & Tự Động Hóa: Tích hợp và tối ưu hóa các công cụ phân tích tĩnh (ví dụ: Slither, Semgrep, SonarQube). Phát triển các kịch bản kiểm toán nội bộ (ví dụ: tạo trường hợp kiểm thử biên tự động, phát hiện bất thường Gas).
- Hỗ Trợ Ứng Phó Khẩn Cấp: Nhanh chóng xác định nguyên nhân gốc rễ ở cấp độ mã trong các sự cố bảo mật và hỗ trợ phát triển các giải pháp sửa lỗi nhanh.
Yêu Cầu Công Việc
- 5+ năm kinh nghiệm phát triển phần mềm hoặc kiểm toán bảo mật, với ít nhất 1 năm tập trung vào hợp đồng thông minh Web3 hoặc bảo mật hệ thống tài chính.
- Thành thạo kiểm toán Solidity và hiểu biết sâu sắc về cơ chế EVM (ví dụ: delegatecall, bố trí lưu trữ, giới hạn gas).
- Quen thuộc với các phương thức tấn công Web3 phổ biến (tái nhập, thao tác flash loan, thao tác oracle, phát lại chữ ký) và chiến lược phòng thủ.
- Khả năng đọc và hiểu mã backend (Go/Java/Node.js) để đánh giá logic nghiệp vụ và ranh giới bảo mật.
- Ưu tiên kinh nghiệm kiểm toán hoặc phát triển CEX, DEX, ví hoặc giao thức DeFi.
- Tinh thần trách nhiệm cao, chú ý đến chi tiết, khả năng làm việc dưới áp lực và kỹ năng giao tiếp tốt.
Phúc Lợi
Cơ hội tham gia xây dựng khung bảo mật kỹ thuật cho một CEX khởi nghiệp từ đầu.
