Mô Tả Công Việc
Chịu trách nhiệm kiểm toán bảo mật các hợp đồng thông minh trên blockchain. Thông qua đánh giá mã nguồn, phát hiện lỗ hổng, kiểm thử fuzz và các phương pháp khác để xác định các rủi ro bảo mật tiềm ẩn trong hợp đồng thông minh. Cung cấp đánh giá bảo mật chuyên nghiệp cho các dự án blockchain như DeFi, NFT, giao thức cho vay... đảm bảo hợp đồng được bảo vệ khỏi các cuộc tấn công của hacker, thất thoát tài sản và các sự cố bảo mật sau khi triển khai.
Trách Nhiệm Chính
- Kiểm toán bảo mật hợp đồng thông minh: Thực hiện kiểm toán bảo mật toàn diện cho hợp đồng thông minh (chủ yếu bằng Solidity) trên các chuỗi công khai như Ethereum, Solana, Aptos... Bao gồm các mô-đun quan trọng như logic mã, quản lý quyền, phép toán và tương tác bên ngoài để phát hiện lỗ hổng (ví dụ: tấn công reentrancy, tràn số nguyên, lỗi logic).
- Kiểm thử Fuzz: Sử dụng các công cụ kiểm thử fuzz Solidity (ví dụ: Foundry, Echidna, Harvey) để tự động hóa kiểm tra chức năng cốt lõi của hợp đồng và xác thực bảo mật trong các điều kiện biên.
- Phân tích sâu giao thức DeFi: Thực hiện kiểm toán chuyên sâu các giao thức DeFi phổ biến như DEX, Liquid Staking, giao thức cho vay (ví dụ: Compound, Aave) và stablecoin. Phân tích logic nghiệp vụ và mô hình kinh tế đồng thời đảm bảo bảo mật các mô-đun cốt lõi (ví dụ: khớp lệnh giao dịch, phần thưởng staking, cơ chế thanh lý).
- Bảo mật đa chuỗi: Đánh giá rủi ro tương tác giữa hợp đồng thông minh và cơ sở hạ tầng blockchain (ví dụ: client nút, cầu nối đa chuỗi) được phát triển bằng Rust/Go, đảm bảo bảo mật end-to-end.
- Phân tích sự cố bảo mật: Theo dõi các sự cố bảo mật DeFi toàn cầu (ví dụ: tấn công flash loan, rò rỉ khóa riêng, lỗ hổng logic giao thức). Phân tích vectơ tấn công và đề xuất chiến lược phòng thủ áp dụng vào thực tiễn kiểm toán.
- Báo cáo kiểm toán: Cung cấp báo cáo kiểm toán chi tiết bao gồm mô tả lỗ hổng, mức độ rủi ro, đề xuất khắc phục và các bước tái hiện. Hỗ trợ nhóm phát triển sửa lỗi và xác minh thứ cấp.
- Tối ưu công cụ: Tham gia xây dựng bộ công cụ kiểm toán nội bộ, tối ưu quy trình phân tích tĩnh (ví dụ: Slither, Mythril) và kiểm thử động Solidity để nâng cao hiệu quả và độ chính xác.
- Chia sẻ kiến thức: Phát triển phương pháp luận kiểm toán, biên soạn hướng dẫn bảo mật hợp đồng thông minh và đào tạo kỹ thuật cho thành viên mới.
Yêu Cầu Công Việc
- Kinh nghiệm: Từ 1 năm trở lên trong lĩnh vực an ninh thông tin, ưu tiên có kinh nghiệm kiểm toán hợp đồng thông minh, bảo mật blockchain hoặc nghiên cứu lỗ hổng Web3.
- Portfolio: Đã từng kiểm toán độc lập ít nhất 3 dự án blockchain công khai (cung cấp liên kết dự án ẩn danh hoặc tóm tắt báo cáo).
- Kỹ năng kỹ thuật:
- Thành thạo lập trình Solidity, hiểu nguyên lý biên dịch, triển khai và tương tác hợp đồng thông minh.
- Khả năng phân tích codebase hợp đồng phức tạp (5.000+ dòng).
- Kinh nghiệm với công cụ kiểm thử fuzz Solidity (Foundry, Echidna) để thiết kế test case.
- Quen thuộc với Rust/Go để đánh giá tương tác giao thức blockchain (cơ chế đồng thuận, mạng P2P).
- Hiểu biết giao thức: Nắm vững:
- DEX: Cơ chế AMM (Uniswap V2/V3, SushiSwap), mô hình order-book.
- Liquid Staking: Tài sản staking token hóa (Lido, Rocket Pool), logic phân phối lợi nhuận.
- Giao thức cho vay: Tỷ lệ thế chấp, cơ chế thanh lý, mô hình lãi suất (Compound, Aave).
- Chuyên môn bảo mật:
- Hiểu biết rủi ro DeFi: reentrancy, tràn số nguyên, lỗi phân quyền, flash loan, MEV.
- Kinh nghiệm với công cụ như Slither, Mythril (phân tích tĩnh), Certora (xác minh hình thức), Nansen/Dune (giám sát on-chain).
- Kỹ năng mềm:
- Khả năng phân tích và giải quyết vấn đề mạnh mẽ.
- Kỹ năng tài liệu xuất sắc để viết báo cáo kiểm toán rõ ràng.
- Không khoan nhượng với lỗ hổng bảo mật, tinh thần làm việc nhóm.
Phúc Lợi
- Được cấp MacBook phục vụ công việc.
- Môi trường làm việc linh hoạt từ xa.
- Thưởng hiệu suất 2 lần/tháng.
