学徒之路 - Trail of Bits博客
寻找人才的挑战
在区块链安全行业寻找人才异常困难。这个领域太新,找不到拥有数十年智能合约经验的工程师。技术迭代迅速,线上内容很快过时,培训难度很大。此外,对区块链技术的诸多误解也让安全工程师望而却步。最终,能同时掌握区块链技术和安全工程师思维模式的人才池非常有限。
我们从事区块链项目已超过五年,始终难以找到合格的申请人。去年为缓解这个问题,我们创建了高强度学徒计划,让学员在三个月内获得相当于两年经验的训练。该计划取得巨大成功,所有学徒都获得了全职offer!
学徒计划核心架构
导师制度
每位学徒配备区块链团队资深导师(高级别以上),实行一对一指导。导师负责:
- 确保学徒理解流程与技术规范
- 布置黄皮书章节研读与问题解答
- 研究DeFi生态系统新型攻击手法
- 通过内部挑战题库提升实战能力
审计实战跟随
学徒全职参与实际审计项目(不向客户收费),通过实战学习:
- 代码库分析方法论
- 安全工具实操(Slither/Echidna/Manticore)
- 审计报告撰写规范
- 跨团队协作与客户沟通
学徒会在不同审计团队间轮换,接触多种代码审查策略。
目标学员画像
区块链专家/安全爱好者
具备Solidity和EVM深度知识但缺乏专业审计经验者。案例:Jaime Iglesias(2020 Underhanded Solidity竞赛获胜者)通过计划学习:
- 专业审计方法论
- 攻击者视角代码分析
- 客户报告撰写与管理
安全专家/区块链爱好者
拥有传统信息安全背景的研究人员。案例:Anish Naik(原攻防安全分析师)在计划中:
- 全职投入区块链项目
- 完善Solidity/EVM边缘案例认知
- 掌握最新审计策略与威胁情报
技术能力提升路径
漏洞研究与审计基础
- 学习Secureum培训材料与YouTube视频(含常见漏洞测验)
- 研读真实审计报告,重点关注漏洞描述结构与罕见漏洞类型
高级主题与工具链掌握
- 精通合约可升级性等概念
- 掌握Echidna模糊测试库与Solidity编译器
- 完成building-secure-contracts仓库的"程序分析"练习
- Slither/ Echidna/ Manticore专业工具实战
知识验证与实践
- 完成Ethernaut/CaptureTheEther/Damn Vulnerable DeFi CTF挑战
- 通过博客文章或工具贡献展示技术能力(如直接向Slither提交PR)
技术栈与链生态
- 主要聚焦:智能合约安全审计
- 支持链:Ethereum/Algorand/Cairo/Cosmos/Solana/Substrate
- 核心工具:Slither(静态分析)、Echidna(模糊测试)、Manticore(符号执行)
学员成果验证
所有8名学徒均成功获得全职offer,其中包括:
- 4名拥有1年区块链经验者
- 2名原有网络安全背景者
- 2名完成Secureum训练营者
- 3名曾有创业经历者
常见技术问题
Q:计划是否远程? A:完全远程,覆盖太平洋时间至印度标准时区(需重叠美东上午工作时间)
Q:三个月未达标怎么办? A:可延长培训周期,目标确保学员成功入职
Q:仅限以太坊技术栈? A:支持多链背景学员,提供以太坊+其他链的双重训练
计划每月招收新学员,下一期于10月启动。申请需展示技术博客或工具贡献等公开技术证明。