From b5305fdd2cdc60b096a92bf0cd4654470f902437 Mon Sep 17 00:00:00 2001 From: Max Date: Sun, 11 Jan 2026 12:04:45 +0800 Subject: [PATCH] Add Contract Audit Engineer role description MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit 介绍合约审计这个工作 --- docs/zh/part2/position-introduction.md | 39 ++++++++++++++++++++++++++ 1 file changed, 39 insertions(+) diff --git a/docs/zh/part2/position-introduction.md b/docs/zh/part2/position-introduction.md index fa354380..85bfd334 100644 --- a/docs/zh/part2/position-introduction.md +++ b/docs/zh/part2/position-introduction.md @@ -129,6 +129,45 @@ createTime: '2025/06/12 00:30:37' ::: +### 4. 合约审计工程师 + +::: steps + +1. **主要职责:** + + - 对合约逻辑、状态管理、权限控制、资产流动等进行深入审查,发现潜在漏洞和风险点。 + - 理解项目协议架构,与协议开发者沟通合约设计意图、威胁模型及边界条件。 + - 对发现的高危或关键漏洞编写可复现的攻击示例(Proof Of Concept),以便量化风险和验证问题存在。 + - 输出包含漏洞描述、风险等级、修复建议的专业审计输出(Audit Report),使开发团队能够高效修复。 + - 跟进 Solidity & EVM 最新变化、漏洞案例与分析方法,并在团队内外分享经验。 + - 二次审计开发团队是否合理修复漏洞,以便合约安全上链。 + - 持续学习主流漏洞场景,理解市面大型合约攻击逻辑,提升个人审计水平。 + +2. **职位要求:** + + - 通常要求有一定 Web3 安全审计经验(如 ≥1 年起步,更高级别要求更长经验)。 + - 通常要求在 competitive audit 中获取一定量奖金,或者取得靠前排名。 + - 熟悉 Solidity 语法、EVM 机制、Gas 消耗、委托调用、继承、多重签名等复杂语义。 + - 熟悉常见合约漏洞场景(比如 reentrant attack,abi-smugging,MEV)并知道如何处理漏洞。 + - 熟悉主流 EIP,ERC(比如 ERC20,ERC4626)。 + - 能够进行风险评估、区分风险严重级别、建立完整威胁模型。 + - 能构建攻击场景以验证高影响性问题(POC, 构建 fuzz test, invarant test),确保审计输出具有可复现验证能力。 + - 审计报告需能让开发者、产品团队明确理解问题与解决方向。 + - 熟悉或愿意学习主流审计辅助工具(如 Mythril、Slither、Echidna、Foundry、Hardhat 等生态工具) + - 活跃于主流审计平台(如 code4rena, sherlock, immunefi 等等),学习其他审计员的 report。 + - 跟踪链上漏洞案例、参与漏洞披露与社区讨论。 + +```bash + # 常用技术栈 + - Solidity + - Foundry / Hardhat + - Phalcon / Tenderly / Slither + - Yul + - Huff + ``` + +::: + ## 二、非技术岗 接下来我们来看看非技术岗的工作,适合没有计算机背景的同学们。