DataKeys
Blockchain15 jours

Parcours Auditeur Smart Contracts

Developpeurs Solidity souhaitant se specialiser en securite et audit

105h de formationdistancielpresentiel
Parcours Auditeur Smart Contracts

Objectifs pedagogiques

  • Maitriser les techniques d'audit de smart contracts
  • Identifier et exploiter les vulnerabilites critiques
  • Utiliser les outils d'analyse statique et dynamique (Slither, Mythril, Echidna)
  • Rediger des rapports d'audit professionnels
  • Realiser des audits manuels et automatises complets
  • Participer a des CTF blockchain et bug bounties
  • Obtenir une certification reconnue Auditeur Smart Contracts

Programme

  • Methodologie d'audit : pre-audit, audit, post-audit
  • Types d'audits : white-box, black-box, gray-box
  • Outils de l'auditeur : checklist, frameworks, environnements de test
  • Standards de securite : OWASP Smart Contracts, SWC Registry
  • Cas d'etude : audits celebres (The DAO, Parity, Poly Network)
  • Atelier : analyse d'un rapport d'audit reel

  • Opcodes EVM : CALL, DELEGATECALL, STATICCALL, SELFDESTRUCT
  • Storage layout et slots
  • Memory et calldata
  • Stack et stack too deep
  • Gas metering et optimisations
  • Atelier : reverse engineering d'un contrat depuis bytecode

  • Reentrancy : simple, cross-function, cross-contract, read-only
  • Integer overflow/underflow (pre-0.8)
  • Unchecked return values
  • Delegatecall injection
  • Access control flaws
  • Atelier : exploitation de contrats vulnerables en local

  • Front-running et MEV
  • Timestamp manipulation
  • Randomness vulnerabilities
  • Denial of Service (gas limit, block stuffing)
  • Signature replay attacks
  • Atelier : construction de PoC d'exploits

  • Flash loan attacks
  • Price oracle manipulation
  • Storage collisions dans proxies
  • ERC-20/721 peculiarities (fee-on-transfer, rebasing)
  • Cross-chain bridge vulnerabilities
  • Atelier : analyse post-mortem d'exploits recents (Ronin, Wormhole)

  • Installation et configuration Slither
  • Detectors par defaut et personnalises
  • Printers : call-graph, inheritance, storage-layout
  • Integration dans CI/CD
  • Faux positifs et tuning
  • Atelier : audit automatise avec Slither sur un protocole DeFi

  • Symbolic execution : principe
  • Installation et utilisation de Mythril
  • Detection de vulnerabilites complexes
  • Limites et state explosion
  • Atelier : detection de vulnerabilites non visibles par Slither

  • Property-based testing
  • Installation et configuration Echidna
  • Definition de proprietes et invariants
  • Fuzzing campaigns et corpus
  • Coverage-guided fuzzing
  • Atelier : fuzzing d'un DEX pour detecter des invariants casses

  • Introduction a la verification formelle
  • Certora Prover : installation et syntaxe
  • Specification CVL (Certora Verification Language)
  • Verification d'invariants et de properties
  • Atelier : verification formelle d'un contrat ERC-20 upgradeable

  • Lecture de code : ou commencer, comment progresser
  • Identification des entry points critiques
  • Trace des flux de tokens et permissions
  • Verification des assumptions et preconditions
  • Checklist d'audit complete
  • Atelier : audit manuel guide d'un protocole de lending

  • AMM : slippage, sandwich attacks, JIT liquidity
  • Lending protocols : liquidation attacks, interest rate manipulation
  • Stablecoins : depeg, collateral ratio
  • Yield aggregators : rug pulls, vault draining
  • Atelier : audit d'un fork Uniswap V2 avec vulnerabilite cachee

  • Structure d'un rapport professionnel
  • Classification de severite : Critical, High, Medium, Low, Informational
  • Redaction de recommandations claires et actionnables
  • Communication avec les developpeurs
  • Outils : Markdown, LaTeX, templates
  • Atelier : redaction d'un rapport d'audit complet

  • Introduction aux CTF (Capture The Flag)
  • Plateformes : Ethernaut, Damn Vulnerable DeFi, Paradigm CTF
  • Outils : Foundry, Hardhat, cast, seth
  • Resolution de challenges Ethernaut (10 challenges)
  • Atelier : competition en equipe

  • Damn Vulnerable DeFi : challenges avances
  • Techniques d'exploitation complexes
  • Optimisation de gas pour exploits
  • Atelier : resolution de 5 challenges Damn Vulnerable DeFi

  • Audit complet d'un protocole DeFi reel (fourni)
  • Analyse manuelle et automatisee
  • Redaction du rapport d'audit professionnel
  • Presentation des findings
  • Examen de certification Auditeur Smart Contracts
  • Bug bounties : introduction et roadmap
  • Bilan de competences et prochaines etapes

Prerequis

  • Maitrise de Solidity et de l'EVM
  • Experience en developpement de smart contracts (minimum 6 mois)
  • Comprehension des patterns de securite de base
  • Connaissance de Hardhat ou Foundry

Modalites d'evaluation

Audit pratique tout au long du parcours, resolution de CTF, rapport d'audit final, examen de certification Auditeur Smart Contracts

Feuilles d'emargement, suivi de connexion pour le distanciel, evaluation des acquis en fin de formation, certification Auditeur Smart Contracts.

Accessibilite handicap

Formation accessible aux personnes en situation de handicap. Referent handicap disponible pour adapter les modalites.