Web3 Güvenlik Mühendisi Çabası: Siperlerden Gerçek Konuşma

Yıllardır blok zinciri güvenliği alanında çalışıyorum ve size söyleyeyim - bu, LinkedIn etkileyicilerinin sunduğu kadar parlak bir kariyer yolu değil. Ama heyecan verici değil mi?

Öncelikle şunları söyleyeyim: temellerle uğraşmaya başlamalısın. Sadece Medium makalelerini okumakla kalma, aynı zamanda gözlerin kanayana kadar Solidity, JavaScript ve Python ile boğuşmalısın. Hatalarıyla dağıtıldığında milyonları içerebilecek akıllı sözleşmeleri hata ayıklamakla sayısız gece geçirdim. Bu iş yüksek risk.

Siber güvenlik bilgisi acımasızdır - kriptografik algoritmalar, hashing fonksiyonları, bunların hepsi. Tanıdığım çoğu geliştirici bu kısmı göz ardı ediyor ve sonuçta istismar edilen savunmasız sözleşmeler oluşturuyor. Birinin reentrancy saldırılarını doğru anlamadığı için projelerin çökmesine tanık oldum.

Sadece blockchain kavramlarını öğrenmekle kalmayın - onlara YAŞAYIN. Başlangıcımı çeşitli zincirlerdeki her büyük hack'i inceleyerek yaptım ( adlarını vermeyeceğim çünkü zaten yeterince acı çektiler ). DeFi manzarası özellikle tehlikeli - bir yanlış adım ve pat, protokolünüz "soruşturma yapıyoruz" diye tweet atacak kadar hızlı boşaltılır.

Herkesin övdüğü bu "güvenlik standartları"? Bunların yarısı yayımlanmadan önce bile eski. Gerçek bilgi, siber saldırganların zayıflıkları araştırdığı, uykusuz denetim gecelerinde yer alarak edinilir.

Pratik deneyim mi istiyorsun? Git, bir şeyler kır. Test ortamları kur ve kendi sözleşmelerini hacklemeyi dene. Hata bulma programlarında zayıflıklar tespit etmekten daha fazla şey öğrendim, herhangi bir sertifika kursundan. Milyonlara mal olabilecek kritik bir hatayı fark ettiğinde yaşadığın heyecan... hiçbir şey buna benzemez.

Güvenlik denetimleri sadece teknik egzersizler değildir - psikolojik bir savaş gibidir. Sadece hataları avlamıyorsunuz; bir kez doğru olması gereken, potansiyel olarak sınırsız kaynaklara sahip bir saldırgan gibi düşünüyorsunuz. Harika geliştiricilerin, yaratıcı zihniyetlerinden çıkamadıkları için bariz zafiyetleri kaçırdıklarını gördüm.

Topluluk yönü kritik ama aynı zamanda sinir bozucu. Bu Discord gruplarının bazıları kötü uygulamaların yankı odaları. Gerçek olanları bulun - saçmalıkları eleştiren ve yan projeleri tanıtmayan güvenlik araştırmacıları.

Sertifikalar mı? Tabii, bir özgeçmişte güzel görünüyorlar. Ama "sertifikalı uzmanlar" ile görüştüm ki temel bir taşma açığını bile tespit edemediler. Bu alan, sertifikaların yetişemeyeceği kadar hızlı ilerliyor.

Ve Tanrı aşkına, gerçek bir şeyler katkıda bulunun. Alan, aynı temel ipuçlarını yineleyen "düşünce liderleri" ile boğulurken, gerçek istismarlar yeni yollarla gerçekleşiyor.

Bu kariyer yolu herkes için değil. Zihinsel olarak yorucu, sürekli gelişiyor ve baskı çok büyük. Ama eğer güvenlik bulmacalarına takıntılıysanız ve finansın geleceğini korumak istiyorsanız, daha tatmin edici bir şey yok. Sadece bunun kolay veya tahmin edilebilir olmasını beklemeyin.