Kegiatan Insinyur Keamanan Web3: Pembicaraan Nyata dari Medan Perang

Sudah bertahun-tahun saya berkecimpung di bidang keamanan blockchain, dan biarkan saya memberitahu Anda - ini bukan jalur karier yang mengkilap seperti yang digambarkan oleh para influencer di LinkedIn. Tapi sial, ini memang menarik.

Hal pertama yang pertama: kamu harus terjun langsung dengan dasar-dasarnya. Bukan hanya membaca artikel di Medium, tetapi benar-benar bergulat dengan Solidity, JavaScript, dan Python sampai matamu berdarah. Saya menghabiskan banyak malam untuk memperbaiki kontrak pintar yang bisa menguras jutaan jika dikerahkan dengan bug. Ini adalah hal yang berisiko tinggi.

Pengetahuan keamanan siber yang Anda butuhkan sangat brutal - algoritma kriptografi, fungsi hashing, semua itu. Kebanyakan pengembang yang saya kenal mengabaikan bagian ini dan akhirnya membuat kontrak yang rentan yang dieksploitasi. Saya telah menyaksikan proyek-proyek runtuh karena seseorang tidak memahami serangan reentrancy dengan baik.

Jangan hanya belajar konsep blockchain - HIDUPKAN mereka. Saya memulai dengan membedah setiap peretasan besar di berbagai rantai (tidak akan menyebutkan mereka karena mereka sudah menderita cukup). Lanskap DeFi sangat berbahaya - satu langkah salah dan boom, protokol Anda terkuras lebih cepat daripada Anda bisa tweet "kami sedang menyelidiki."

"Standar keamanan" yang semua orang banggakan itu? Setengah dari mereka sudah usang sebelum bahkan diterbitkan. Pengetahuan yang sebenarnya datang dari pengalaman langsung - berpartisipasi dalam malam audit tanpa tidur di mana Anda berlomba melawan peretas anonim yang sedang mencari kelemahan.

Anda ingin pengalaman langsung? Cobalah untuk merusak sesuatu. Siapkan lingkungan pengujian dan coba untuk meretas kontrak Anda sendiri. Saya belajar lebih banyak dari menemukan kerentanan dalam program bounty daripada dari kursus sertifikasi manapun. Sensasi saat Anda menemukan bug kritis yang bisa menghabiskan biaya jutaan... tidak ada yang bisa dibandingkan.

Audit keamanan bukan hanya latihan teknis - mereka adalah perang psikologis. Anda tidak hanya memburu bug; Anda berpikir seperti penyerang dengan sumber daya yang berpotensi tidak terbatas yang hanya perlu benar SEKALI. Saya telah melihat pengembang brilian melewatkan kerentanan yang jelas karena mereka tidak bisa keluar dari pola pikir pencipta mereka.

Aspek komunitas sangat penting tetapi juga membuat frustrasi. Beberapa grup Discord ini adalah ruang gema dari praktik buruk. Temukan yang asli - para peneliti keamanan yang mengungkap kebohongan dan tidak mempromosikan proyek sampingan.

Sertifikasi? Tentu, mereka terlihat bagus di resume. Tapi saya sudah mewawancarai "ahli bersertifikat" yang tidak bisa menemukan kerentanan overflow dasar. Bidang ini bergerak terlalu cepat untuk sertifikasi bisa mengikuti.

Dan demi Tuhan, berkontribusilah dengan sesuatu yang nyata. Ruang ini tenggelam dalam "pemimpin pemikiran" yang mengulang-ulang tips dasar yang sama sementara eksploitasi nyata terjadi dengan cara-cara baru.

Jalur karier ini bukan untuk semua orang. Ini melelahkan secara mental, terus berkembang, dan tekanannya sangat besar. Tetapi jika Anda terobsesi dengan teka-teki keamanan dan ingin melindungi masa depan keuangan, tidak ada yang lebih memuaskan. Hanya saja, jangan berharap itu akan mudah - atau dapat diprediksi.