研发代码审计

岗位职责

1、智能合约安全审计

对自研或集成的 Solidity（EVM）、Move（Sui/Aptos）等智能合约进行人工代码审计，识别重入、权限绕过、逻辑错误、经济模型缺陷等风险；

编写详细审计报告，提出可落地的修复建议，并验证修复有效性。

2、后端服务安全审查

审计核心后端服务（如提币审批、API 网关、风控引擎）的 Go/Java/Node.js 代码，重点关注：

身份认证与权限控制（RBAC/ABAC）

敏感操作日志与不可抵赖性

与链上交互的签名验证逻辑

3、前端安全检查（关键路径）

对涉及私钥交互、交易构造、地址展示的前端代码（React/Vue/Flutter）进行安全 review，防范钓鱼、地址替换、XSS 等风险。

4、推动安全左移

参与需求评审与架构设计，提前识别安全风险；

制定《安全编码规范》《常见漏洞 checklist》，嵌入 CI/CD 流程；

为研发团队提供安全培训与代码示例。

5、工具链建设与自动化

集成并优化静态分析工具（如 Slither、Semgrep、SonarQube）；

开发内部审计辅助脚本（如自动构造边界测试用例、Gas 异常检测）。

6、应急响应支持

在安全事件中快速定位代码层根因，协助制定热修复方案。

岗位要求

3 年以上软件开发或安全审计经验，至少 1 年专注 Web3 智能合约或金融系统安全； 

精通 Solidity 审计，熟悉 EVM 底层机制（如 delegatecall、storage 布局、gas 限制）； 

熟悉常见 Web3 攻击手法（重入、闪电贷操纵、预言机操纵、签名重放）及防御方案； 

具备后端语言（Go/Java/Node.js）代码阅读能力，能理解业务逻辑与安全边界； 

有 CEX、DEX、钱包、DeFi 协议审计或开发经验者优先； 

责任心极强，注重细节，能承受高压，具备良好沟通能力