岗位职责 1、智能合约安全审计 对自研或集成的 Solidity(EVM)、Move(Sui/Aptos)等智能合约进行人工代码审计,识别重入、权限绕过、逻辑错误、经济模型缺陷等风险; 编写详细审计报告,提出可落地的修复建议,并验证修复有效性。 2、后端服务安全审查 审计核心后端服务(如提币审批、API 网关、风控引擎)的 Go/Java/Node.js 代码,重点关注: 身份认证与权限控制(RBAC/ABAC) 敏感操作日志与不可抵赖性 与链上交互的签名验证逻辑 3、前端安全检查(关键路径) 对涉及私钥交互、交易构造、地址展示的前端代码(React/Vue/Flutter)进行安全 review,防范钓鱼、地址替换、XSS 等风险。 4、推动安全左移 参与需求评审与架构设计,提前识别安全风险; 制定《安全编码规范》《常见漏洞 checklist》,嵌入 CI/CD 流程; 为研发团队提供安全培训与代码示例。 5、工具链建设与自动化 集成并优化静态分析工具(如 Slither、Semgrep、SonarQube); 开发内部审计辅助脚本(如自动构造边界测试用例、Gas 异常检测)。 6、应急响应支持 在安全事件中快速定位代码层根因,协助制定热修复方案。
5 年以上软件开发或安全审计经验,至少 1 年专注 Web3 智能合约或金融系统安全; 精通 Solidity 审计,熟悉 EVM 底层机制(如 delegatecall、storage 布局、gas 限制); 熟悉常见 Web3 攻击手法(重入、闪电贷操纵、预言机操纵、签名重放)及防御方案; 具备后端语言(Go/Java/Node.js)代码阅读能力,能理解业务逻辑与安全边界; 有 CEX、DEX、钱包、DeFi 协议审计或开发经验者优先; 责任心极强,注重细节,能承受高压,具备良好沟通能力
0-1参与一家初创CEX的技术安全保障构建
