现场培训 #7 – 智能合约安全 #2

Live Training #7 – Smart Contract Security #2

区块链行业收入最高的技能是什么？
安全。
作为智能合约安全专家，您每年可以获得高达 25 万美元的收入。

是的。

智能合约黑客攻击导致数亿美元损失。
如果你能编写安全的智能合约，那就值很多钱。

在安全领域，智能合约审计是报酬最高的。
区块链公司为一次智能合约审计支付数十万美元。

在智能合约审计中，有两个组成部分：

• 寻找安全漏洞
• 在报告中展示您的发现

其心态与尝试编写安全智能合约的开发人员不同。
作为智能合约审核员，您将自己置于黑客的境地，并尝试利用安全漏洞（如果有）。

在本次培训中，您将向专业安全专家学习如何进行智能合约审计。
完成本次培训后，您将能够进行自己的智能合约审计并收取高额费用！

现场活动

培训什么时候进行？

• 7 月 20 日晚上 11 点（UTC+8）
• 如果您无法访问现场活动，您仍然可以在之后访问录制内容

第一部分：智能合约中的进攻性安全

• 渗透测试人员的心态
• 扫描类型：
  • 手动扫描
  • 静态分析
  • 动态分析

第二部分：审计方法

• 黑盒子
• 灰盒
• 白盒
• 如何撰写报告和风险评估

第三部分：检测智能合约中的关键端点

• 独奏
• 关键功能签名

第六部分：SWC 寄存器（智能合约弱点分类）

第五部分：利用 SOLIDITY 漏洞

• 检测和利用重入攻击
• 检测和利用整数上溢/下溢
• 检测拒绝服务
• 强制发送以太币
• 绕过 Tx.Origin 身份验证

第六部分：静态分析

• 使用 Slither 检测 Solidity 问题

第七部分：动态分析

• 神话X
• 蝎狮

先决条件

• Basics of NodeJS
• Basics of the command line
• Ethereum
• Solidity
• ERC20
• Truffle
• 所需软件：
  • 代码编辑器（例如：Visual Studio Code）
  • 终端（对于 Windows 用户，可以使用 git for windows 的 bash 模拟）
  • NodeJS
  • 松露
• 适用于 Windows 8/10、最新版本的 Ubuntu 和 MacOS