懒友们,好久不见...:)
许多朋友知道我这些年精力主要放在区块链/加密货币或当下流行叫法 Web3 安全上,不管是什么叫法,底层都是围绕区块链技术。Web3 更接近某种用户交互的应用形态,和 Web1、Web2 的感觉类似,Web3 其实也包括了 Web1/2 里的相关技术或产品模式,只是 Web3 底层多了个区块链,利于去信任、抗审查运作。至于加密货币,可有可无,但我觉得有加密货币的 Web3 玩法上会更不一样,主要是激励及治理的原生体验上。不展开细说这方面的内容了,因为这篇主要是给一些对 Web3 安全感兴趣的朋友分享下入门有关知识。虽然这些知识,我前些天在推特已经发过。
进入主题,我简单列点当下觉得还不错的资源...
牢记下:这玩意,最重要的是实战,是需要你一天到晚长期在这个领域积累,才可能有些成就。另外,兴趣一定是最大的驱动力,三天打鱼两天撒网,那不叫兴趣,那叫自欺欺人...
先推荐下智能合约尤其是 Solidity 的入门教程,来自 @WTFAcademy_ 的:
没有编程基础,搞安全很容易碰到瓶颈。智能合约中,先从主流的 Solidty 入手,这玩意是当下绝对的主流。
然后看看 Web3 项目安全实践要求都有哪些,从这里可以了解到 Web3 安全的体系性工程,不是仅仅智能合约安全部分,虽然这部分很核心:
https://github.com/slowmist/Web3-Project-Security-Practice-Requirements
都说工欲善其事,黑白帽黑客皆如此,这里总结了当下不少优秀的 Web3 安全工具,足够你测试了解了:
如果你想成为安全审计师,下面这两个链接总结的很不错:-)
进阶的,可以学习智能合约相关的漏洞复现,尤其带 PoC 的,这里强烈推荐来自 @1nf0s3cpt 主导的 DeFiHackLabs:
如果你还想学习 Web3 领域用户安全有关的知识,可以看我写的黑手册,包括了许多钓鱼姿势,同样也是个系统性安全知识:-)
过完这些,Web3 安全就算入门了,等待你的将是波澜壮阔、噩梦连连的黑暗森林战争...😂欢迎一起入坑...