記事ディレクトリ
[スマートコントラクトセキュリティ] スマートコントラクトセキュリティ監査用Code4rena (またはC4) \ スマートコントラクト監査人になる方法
背景 - ブロックチェーンのセキュリティ
スマートコントラクトのセキュリティ監査がなぜ重要なのか
参考URL:https://www.jinse.com/news/blockchain/1666661.html
ブロックチェーン空間は非常に速いペースで発展しています。スマート コントラクトに対する攻撃が頻繁に発生し、犯罪者はますます多くの暗号化資産を盗みます。
あらゆる種類のハッキング事件は、すべての人にセキュリティの警鐘を鳴らし、スマートコントラクト監査の重要性と必要性を常に思い出させてきたと思います。
ブロックチェーン業界は常に犯罪者にとって大きな誘惑であり、それがボトムチェーン、取引所、ウォレット、あるいは長期間オンライン上にあるプロジェクトであっても、立ち上げたばかりの新しいプロジェクトであっても、犯罪者は注目しています。攻撃は絶えず秘密裏に行われ、一旦抜け穴が見つかると容赦なく資金を最大限に盗み出し、プロジェクト当事者、取引所、ウォレット、ユーザーに多大な経済的損失を与え、その損失は取り返しのつかないものになることが多いです。
優れたブロックチェーンプロジェクトとは、まずセキュリティを優先したプロジェクトである必要があり、そうでないとユーザーがプロジェクトに資産を投資する際に資産の安全性が保証されず、スマートコントラクトの安全性がプロジェクトの基盤となります。
バグ報奨金について
バグ報奨金は CTF に似ていますが、2 つの違いがあります。
「テストネット」スマート コントラクトではなく、メインネットに既にデプロイされているプロジェクトのバグを見つけようとしています。
脆弱性やバグを発見すると、多額の賞金が得られる可能性があります。
スマートコントラクト監査にはどのような補償がありますか?
私はこの件に関して専門家ではありませんが、監査人の時給はおおよそ次のとおりだと思います。
初心者: $100/時間
経験者: $100 − 250 -250− 250 /h
最高監査人: 250− 1000 -1000− 1000 /h
私は報酬を次の 2 つのカテゴリーに分類します。
- 固定: 仕事に対して固定 (時給) 給与を受け取ります。
- スキルベース: 発見したバグが多ければ多いほど、またはより重大なバグであればあるほど、補償額は大きくなります。
若手であれば監査法人への入社をお勧めします。
トップのバグ賞金稼ぎは、重大なバグに対してさらに何百万ドルも稼ぐことに注意してください。
Code4rena (または C4) とは何ですか
公式ウェブサイト: https://code4rena.com/
公式ドキュメント: https://docs.code4rena.com/
オンデマンドの Web3 セキュリティ。
- 500 万ドルの報酬支払い
- 500以上の重大度の高い脆弱性が発見される
- 48 時間以内に監査を開始してください: http://bio.link/code4rena
監査に C4 を使用するプロジェクトは何ですか?
最近の zksync では、C4 監査を使用することが発表されました。
本日、@code4rena と監査コンテストを開始します。コンテストと報奨金はネットワークのセキュリティを確保する上で重要な部分であり、zkSync 2.0 が開発者にとってナンバーワンの選択肢となるよう、コミュニティの貢献を期待しています。
コンテストのリンク: https://code4rena.com/contests/2022-10-zksync-v2-contest…
C4の始め方
zksync を例に挙げてみましょう:コンテストのリンク: https://code4rena.com/contests/2022-10-zksync-v2-contest…
特定のプロジェクトへの参加に関する説明を確認してください。たとえば、
賞金総額は 16.55w $、開始時刻は 10 月 28 日、終了時刻は 11 月 9 日です。
現在知られている未解決の問題を示しています
C4 Wardens 注: C4UDIT 出力に含まれる内容はすべて公に知られている問題であり、報奨金の対象にはなりません。
次に、独自のプロジェクト、名詞、具体的な契約について説明します。そして、すべての契約をリストします。
- L1 スマート コントラクト
zkSync
その他 - L2 契約
ブリッジ
その他
スマートコントラクト監査人になる方法
元のリンク: https://cmichel.io/how-to-become-a-smart-contract-auditor/
原文を読むことをお勧めします。フレームワークは次のとおりです。
-
プログラミングを学ぶ
-
ETH ブロックチェーンと Solidity の基礎を学ぶ
新しい言語を学ぶ最も早い方法は、コードを書いて実際に使用することです。ドキュメントを読むだけでは知識は定着しません (そして、何らかの理由で、何年も経っても、 Solidity のドキュメントは依然として混乱しており、構造化されていないと感じています)。Solidity の学習と ETH セキュリティの理解を組み合わせるには、CTF を解決するより良い方法はありません。
CTF (キャプチャ ザ フラッグ/ウォー ゲーム) は、脆弱なコードが存在し、その脆弱性を悪用するにはスマート コントラクトを作成する必要があるセキュリティ上の課題です。
-
最も一般的に使用されるスマート コントラクトについてよく理解する
監査のキャリアを通じて、特定のコントラクト、パターン、さらにはアルゴリズムを何度も目にすることになります。それらに慣れ、その仕組みとそのニュアンスをより深く理解することは良いことです。 -
財務の基本を学ぶ
従来の金融専門用語を多く使用する DeFi プロジェクトを監査すると、何も理解できない場合があります。これらの用語を調べると、存在を知らなかったさらに多くの用語を指す定義が得られます。したがって、何の仮定も立てずに、なぜ人々がその特定の金融商品を意図的に使用したいのかを実際に説明する、基礎的な金融コースを受講することは非常に役立つと思います。 -
mmunefi のバグ報奨金や Code4rena の監査コンペティションで実際の経験を積んでください。ここでの大きな利点は、パーミッションレスであることです。匿名で参加でき、面接に合格する必要はなく、給与は完全にスキルに応じて決まります。監査法人の職に応募したい場合、実際のバグ報奨金を受け取ることは大きなメリットとなります。
参考
Indexed Finance盗難の全貌:18歳の数学魔術師がDeFiプラットフォームを奪取
参考URL:https://www.qklw.com/news/20221002/269283.html