Product Security Engineer

Standort: Remote - APAC & EURemote | Vollzeit

Vergütung: $75K - $85K

Unser Kunde ist ein schnell wachsendes, unternehmensgerechtes Softwareunternehmen, das sich der Unterstützung, Entwicklung und dem Service einer führenden Open-Source, Proof-of-Stake Distributed Ledger Plattform verschrieben hat. Als ein EVM-kompatibles Netzwerk, das den strengen Anforderungen globaler Entwickler und Institutionen gerecht wird, priorisiert die Plattform Geschwindigkeit, Sicherheit, Stabilität und Nachhaltigkeit und wird von branchenführenden Organisationen aus verschiedenen Sektoren und Regionen geleitet.

Mit der Skalierung der Plattform durch neue Protokoll-Upgrades, EVM-kompatible Dienste, Cross-Chain-Infrastruktur und kryptografische Primitiven ist das Management der wachsenden Angriffsfläche von größter Bedeutung. Der Product Security Engineer ist verantwortlich für die Integration von Sicherheit direkt in den Produktentwicklungszyklus, um sicherzustellen, dass Sicherheit eine erstklassige Eigenschaft jedes Protokoll-Upgrades, Smart Contracts und Nodes bleibt, die in die Produktion gehen. Diese Rolle konzentriert sich auf die praktische Entdeckung von Schwachstellen, adversarielle Tests und proaktive Bedrohungsminderung, bevor der Code in die Produktion gelangt.

Hauptverantwortlichkeiten

• Sicherheitsbewertungen & Bedrohungsmodellierung: Durchführung von End-to-End-Sicherheitsbewertungen von blockchain-basierten Systemen, einschließlich Design kryptografischer Primitiven, Protokollarchitektur, Implementierung von Smart Contracts und bereitgestellter Infrastruktur. Verantwortung für Bedrohungsmodellierung und Sicherheitsarchitektur-Reviews in allen Produktphasen.
• Schwachstellenerkennung & Ausnutzung: Identifizierung realer Schwachstellen durch rigorose praktische Code-Überprüfungen, adversarielle Tests und die Entwicklung von Proof-of-Concept-Exploits für native Dienste, EVM-kompatible Verträge, Cross-Chain-Brücken und Komponenten der Konsensschicht.
• Ingenieurpartnerschaft: Direkte Zusammenarbeit mit den Kernengineering-Teams, um komplexe kryptografische und protokollbezogene Risiken in priorisierte, umsetzbare Remediation-Workflows zu übersetzen. Definition und Durchsetzung von Sicherheitskontrollen vor der Produktionsbereitstellung.
• Sicherheitsautomatisierung & Tools: Aufbau, Skalierung und Verbesserung von Sicherheitstools, Fuzzing-Infrastruktur und CI/CD-Sicherheitsautomatisierung, um die Sicherheitsabdeckung effizient zu maximieren.
• Forschung & Minderung: Verfolgung neuer Blockchain- und Web3-Angriffsmuster, Zuordnung zu dem internen Code und Vorantreiben proaktiver Minderungstrategien.

Anforderungen

• Kernfähigkeiten & Erfahrung: Nachweisliche Erfolge bei der praktischen Entdeckung von Schwachstellen und Sicherheitstests über Blockchain-Protokolle, Smart Contracts, Nodes und APIs, mit der nachgewiesenen Fähigkeit, tiefgreifende architektonische Fehler über automatisierte Scans hinaus zu identifizieren.
• Starke Erfahrung in Bedrohungsmodellierung und Sicherheitsarchitektur-Reviews, die direkt auf verteilte kryptografische Systeme angewendet werden.
• Direkte Erfahrung in der Bewertung von Cross-Chain-Protokollen, Schwellenwertsignaturschemata oder anderen kryptografischen Systemen mit komplexen Vertrauensannahmen, einschließlich der Prüfung oder des Brechens von Cross-Chain-Brücken.
• Tiefe Kenntnisse in angewandter Kryptografie (z.B. BLS-Signaturen, paarbasierte Schemata, polynomiale Verpflichtungen und Fiat-Shamir-Konstruktionen) und die Fähigkeit, über kryptografische Fehlermodi in Produktionsumgebungen nachzudenken.
• Fähigkeit zur Analyse von Vertrauensmodell-Abwägungen, einschließlich State Proof, Multisig und Oracle-Bestätigungsmodellen, und deren Auswirkungen auf die breitere Angriffsfläche.

Funktionale & Technische Expertise:

• Beherrschung der Blockchain-Sicherheit und sicherer Programmierpraktiken sowohl über EVM-kompatible als auch nicht-EVM-Ketten.
• Kenntnisse in Sicherheitstest-Tools, einschließlich statischer Analyse, dynamischer Analyse und Fuzzing, sowie Erfahrung in der Entwicklung benutzerdefinierter Fuzzing-Harnesses oder Sicherheits-Testinfrastruktur.
• Starke Fähigkeit, kryptografischen Code, der in Rust und/oder Java geschrieben wurde, zu lesen, zu überprüfen und zu prüfen.
• Klare Verständnis von Speichersicherheit, konstanten Zeitkorrekturen, Geheimnisbehandlung und den einzigartigen Sicherheitsrisiken an JNI-Grenzen.

Bevorzugte Qualifikationen:

• Erfahrung in der Gestaltung und Durchführung von grammatikbewussten Fuzzing-Kampagnen gegen gRPC, JSON-RPC oder protokollbezogene Endpunkte.
• Erfahrung im Aufbau von Klassifizierungs-Pipelines zur Isolierung von Sicherheits-Signalen aus Rauschen oder im Aufbau benutzerdefinierter Sicherheitsautomatisierungstools.
• Frühere Sicherheitsarbeit, die sich auf Ethereum-Konsens-Clients oder Produktions-Schwellenwertsignatursysteme konzentrierte.
• Erfahrung in der Integration von KI-unterstützten Workflows in Sicherheitsüberprüfungs- und Triage-Prozesse.

Vorteile:

• Wettbewerbsfähiges Gehalt und Vergütungspaket.
• Gelegenheit, an der Spitze der Unternehmens-Web3-Infrastruktur und kryptografischen Innovation zu arbeiten.
• Kollaborative, hochqualifizierte Ingenieurumgebung, die sich auf die Lösung komplexer, großangelegter Herausforderungen verteilter Systeme konzentriert.
• Flexible Arbeitsbedingungen und umfassende Möglichkeiten zur beruflichen Weiterentwicklung.

Interviewprozess:

Der Interviewprozess besteht aus den folgenden Phasen: Recruiter / HR Screening Call, Interview mit dem Einstellungsmanager, technisches Interview, technische Aufgabe, abschließendes Interview. Aufgrund des hohen Bewerbungsvolumens, das wir erwarten, bedauern wir, dass wir nicht in der Lage sind, allen Kandidaten individuelles Feedback zu geben. Wenn Sie innerhalb von 4 Wochen nach Ihrer Bewerbung nichts von uns hören, gehen Sie bitte davon aus, dass Sie in diesem Fall nicht erfolgreich waren. Wir schätzen Ihr Interesse und wünschen Ihnen viel Erfolg bei Ihrer Jobsuche.

Engagement für Gleichheit und Zugänglichkeit: Bei MLabs setzen wir uns dafür ein, allen Kandidaten gleiche Chancen zu bieten. Wir stellen sicher, dass keine Diskriminierung stattfindet, dass Stellenanzeigen zugänglich sind und Informationen in zugänglichen Formaten bereitgestellt werden. Unser Ziel ist es, einen vielfältigen, integrativen Arbeitsplatz mit gleichen Chancen für alle zu fördern. Wenn Sie während eines Teils des Einstellungsprozesses angemessene Anpassungen benötigen oder die Stellenanzeige in einem zugänglichen Format sehen möchten, lassen Sie es uns bitte so früh wie möglich wissen, indem Sie eine E-Mail an human-resources@mlabs.city senden.

MLabs Ltd sammelt und verarbeitet die persönlichen Informationen, die Sie bereitstellen, wie Ihre Kontaktdaten, Berufserfahrung, Lebenslauf und andere relevante Daten nur zu Rekrutierungszwecken. Diese Informationen werden sicher gemäß der Datenschutzrichtlinie und der Informationssicherheitsrichtlinie von MLabs Ltd verwaltet und unterliegen den geltenden Datenschutzgesetzen. Ihre Daten dürfen nur mit Kunden und vertrauenswürdigen Partnern geteilt werden, wenn dies für Rekrutierungszwecke erforderlich ist. Sie können jederzeit die Löschung Ihrer Daten anfordern oder Ihre Zustimmung widerrufen, indem Sie legal@mlabs.city kontaktieren.