Nỗ lực Kỹ sư An ninh Web3: Nói chuyện thực tế từ chiến trường

Tôi đã làm việc trong lĩnh vực bảo mật blockchain nhiều năm nay, và cho phép tôi nói với bạn - nó không phải là con đường sự nghiệp hào nhoáng như những người có ảnh hưởng trên LinkedIn mô tả. Nhưng thật sự thì nó rất thú vị.

Điều đầu tiên: bạn phải thực sự dấn thân vào những điều cơ bản. Không chỉ là đọc các bài viết trên Medium, mà thực sự phải vật lộn với Solidity, JavaScript và Python cho đến khi mắt bạn mỏi. Tôi đã dành nhiều đêm để gỡ lỗi các hợp đồng thông minh có thể đã làm mất hàng triệu nếu được triển khai với lỗi. Đây là một trò chơi mạo hiểm.

Kiến thức về an ninh mạng mà bạn cần là rất khắc nghiệt - các thuật toán mã hóa, hàm băm, tất cả những thứ đó. Hầu hết các lập trình viên mà tôi biết đều bỏ qua phần này và cuối cùng tạo ra các hợp đồng dễ bị tổn thương bị khai thác. Tôi đã chứng kiến các dự án sụp đổ vì ai đó không hiểu đúng về các cuộc tấn công tái nhập.

Đừng chỉ học các khái niệm blockchain - hãy SỐNG chúng. Tôi bắt đầu bằng cách phân tích mọi cuộc tấn công lớn trên các chuỗi khác nhau ( sẽ không nêu tên vì họ đã chịu đựng đủ ). Cảnh quan DeFi đặc biệt nguy hiểm - chỉ cần một bước đi sai lầm và bùng nổ, giao thức của bạn sẽ bị rút cạn nhanh hơn bạn có thể tweet "chúng tôi đang điều tra."

Những "tiêu chuẩn bảo mật" mà mọi người ca ngợi? Một nửa trong số chúng đã lỗi thời trước khi chúng được công bố. Kiến thức thực sự đến từ thực tiễn - tham gia vào những đêm kiểm toán không ngủ khi bạn đang chạy đua chống lại những hacker ẩn danh đang tìm kiếm điểm yếu.

Bạn muốn có kinh nghiệm thực tế? Hãy phá vỡ mọi thứ. Thiết lập các môi trường thử nghiệm và cố gắng hack các hợp đồng của chính bạn. Tôi đã học được nhiều hơn từ việc tìm ra các lỗ hổng trong các chương trình thưởng hơn bất kỳ khóa học chứng nhận nào. Cảm giác khi bạn nhìn thấy một lỗi nghiêm trọng có thể đã gây tốn hàng triệu... không gì sánh bằng.

Các cuộc kiểm toán bảo mật không chỉ là những bài tập kỹ thuật - chúng là chiến tranh tâm lý. Bạn không chỉ đang săn tìm lỗi; bạn đang suy nghĩ như một kẻ tấn công với nguồn lực tiềm tàng không giới hạn, người chỉ cần đúng MỘT LẦN. Tôi đã thấy những nhà phát triển xuất sắc bỏ lỡ những lỗ hổng hiển nhiên vì họ không thể thoát khỏi tư duy của người tạo ra.

Khía cạnh cộng đồng rất quan trọng nhưng cũng gây thất vọng. Một số nhóm Discord này là những phòng vang của các thực tiễn xấu. Hãy tìm những người thực sự - những nhà nghiên cứu bảo mật chỉ trích những điều vô lý và không quảng bá các dự án bên ngoài.

Chứng chỉ? Chắc chắn, chúng trông rất đẹp trên một bản sơ yếu lý lịch. Nhưng tôi đã phỏng vấn những "chuyên gia có chứng chỉ" mà không thể phát hiện một lỗ hổng tràn cơ bản. Lĩnh vực này phát triển quá nhanh để các chứng chỉ có thể theo kịp.

Và vì Chúa, hãy đóng góp một cái gì đó thực sự. Không gian này đang chìm trong những "nhà lãnh đạo tư tưởng" nhai lại những mẹo cơ bản trong khi những lỗ hổng thực sự xảy ra theo những cách mới mẻ.

Con đường sự nghiệp này không dành cho tất cả mọi người. Nó đòi hỏi tinh thần kiệt sức, luôn thay đổi và áp lực rất lớn. Nhưng nếu bạn đam mê những câu đố về bảo mật và muốn bảo vệ tương lai của tài chính, không gì có thể tuyệt vời hơn. Chỉ cần đừng mong nó sẽ dễ dàng - hoặc có thể dự đoán được.