Post

Web 3 半年学习计划

一个正反馈系统,记录。

Posted
By David
10 min read
Web 3 半年学习计划

每天 1-2 小时,持续半年,这是一个非常现实且有效的投入。总时长大约在 180-360 小时,足以让你从入门到具备初级 Web3 安全职位的实战能力。

以下 GEMINI 是为我量身定制的为期 6 个月的 Web3 安全学习路径,严格遵循我们之前讨论的“正反馈引擎”模型。

学习到的东西记住要使用小黄鸭方法来向 AI 教学,巩固自己学习到的东西。

学习路径总览

  • 核心原则:实践驱动、成果导向、持续反馈。
  • 时间分配:理论学习与动手实践大约 4:6。
  • 工具:Notion/Obsidian (做笔记)、GitHub (存代码和报告)、Twitter (关注行业动态)。

第一阶段:基础构建与微型胜利 (第 1 - 2 个月)

目标: 理解 Web3 运行原理,无障碍阅读 Solidity 代码,获得高频的“我做到了”的成就感。

  • 第 1-2 周:区块链与以太坊核心概念
    • 任务
      1. 观看 Finematics YouTube 频道关于 Blockchain, Ethereum, Smart Contracts, Gas, Wallet 的动画视频 (每天1-2个)。
      2. 阅读《精通以太坊》前三章,理解公私钥、交易、区块结构。
      3. 实践:创建自己的 MetaMask 钱包,获取测试币(Sepolia 测试网),进行几笔转账,学会在 Etherscan 上查看交易详情。
    • 正反馈输出:在笔记中用自己的话解释“Gas 费为什么会波动?”、“什么是交易的 Nonce?”。
  • 第 3-6 周:Solidity 语言核心
    • 任务
      1. 主线任务:完成 CryptoZombies 所有课程。这是你的核心。每天坚持完成一部分。
      2. 支线任务:并行查阅 Solidity by Example,巩固学到的语法(如 mapping, struct, modifier, event 等)。
      3. 了解 ERC20, ERC721 标准的基本接口。
    • 正反馈输出:每完成 CryptoZombies 一大章,就在 GitHub 建一个 repo,把代码存进去,并写一个简短的 README.md 总结本章学到的知识点。
  • 第 7-8 周:开发工具与合约交互
    • 任务
      1. 跟随 Hardhat 官方的 “Getting Started” 教程,完整地走一遍:初始化项目、编写一个简单的 Greeter.sol 合约、编译、编写测试、部署到测试网。
      2. 学习使用 Remix IDE,快速部署和调试简单合约。
    • 正反馈输出:成功将你的第一个合约部署到 Sepolia 测试网,并将合约地址和 Etherscan 链接记录在你的学习笔记中。这是你的第一个“上链”作品

第二阶段:漏洞利用与创造者模式 (第 3 - 4 个月)

目标: 从理论转向实践,亲手利用经典漏洞,构建自己的“攻击复现”作品集。

  • 第 9-12 周:经典漏洞靶场实战
    • 任务
      1. 主线任务:攻克 Ethernaut 靶场。目标是每周完成 2-3 关。
      2. 每攻克一关,必须做两件事:
        • 在网上搜索这一关对应的漏洞(如 Reentrancy)的详细分析文章。
        • 写一篇你自己的 Writeup,解释漏洞原理和你的解法。
    • 正反馈输出:在你的 GitHub 上创建一个名为 Ethernaut-Solutions 的 repo,每完成一关就提交一份详细的 Writeup。到月底,你将拥有一个包含 10+ 个经典漏洞分析的个人项目。
  • 第 13-16 周:DeFi 进阶与漏洞复现
    • 任务
      1. 开始挑战 Damn Vulnerable DeFi。这个难度很高,不要气馁。目标不是全部通关,而是至少成功复现 2-3 个挑战,特别是与闪电贷、预言机相关的。
      2. 阅读至少 2 份顶级审计公司(如 Trail of Bits, OpenZeppelin)发布的真实审计报告,理解报告结构和漏洞描述方式。
      3. 特别任务 (关联你的兴趣):深入研究一个与稳定币相关的协议(如 MakerDAO, Aave),画出其核心架构图,理解其运作模式。
    • 正反馈输出
      • 为成功复现的 Damn Vulnerable DeFi 挑战编写攻击脚本和分析报告。
      • 写一篇关于你研究的稳定币协议的分析博客或笔记,即使很简单。这是你专业方向的起点。

第三阶段:实战演练与贡献者模式 (第 5 - 6 个月)

目标: 参与真实世界的安全活动,获得社区认可,为求职做好准备。

  • 第 17-20 周:审计竞赛初体验与工具学习
    • 任务
      1. 注册 Code4rena (C4)Sherlock。每周花 3-4 小时阅读正在进行的审计竞赛的代码。
      2. 核心目标:不要追求找高危漏洞。你的目标是:提交一个有效的低风险/无风险 (Low/Non-critical) 的 issue,或者一个Gas 优化建议。这相对容易,且能让你完整体验审计流程。
      3. 学习使用静态分析工具 Slither。对你之前写的或者正在审计的合约,跑一遍 Slither,看看能发现什么。
    • 正反馈输出
      • 里程碑式的成就:成功提交一个被接受的 issue!并将链接保存到你的简历和作品集中。
      • 写一篇笔记,总结 Slither 的常用功能和检测器。
  • 第 21-24 周:能力整合与求职准备
    • 任务
      1. 继续参与 C4 或其他平台的活动,目标是提交更高质量的发现。
      2. 整理你的 GitHub 和学习笔记,打造成一份专业的个人作品集。包括:Ethernaut 题解、Damn Vulnerable DeFi 攻击复现、稳定币协议分析、C4 提交记录等。
      3. 撰写你的简历。将“两年 Web2 安全经验”和这半年的 Web3 学习成果结合起来。突出你的实践项目和对稳定币赛道的理解。
      4. 在 Twitter 上关注行业大咖(samczsun, pashovkrum, BlockSec, PeckShield 等),了解最新的安全事件和技术趋势。
    • 正反馈输出:一份让你自己感到自信的简历和作品集。开始尝试投递初级 Web3 安全研究员或合约审计员的职位。

如何坚持下去?

  1. 公开承诺 (Public Commitment):在 Twitter 或你的朋友圈宣布你的半年学习计划。这会给你一种“被监督”的动力。
  2. 寻找同伴 (Find a Buddy):找一个也在学习 Web3 的朋友,定期交流进度,互相鼓励。
  3. 定期复盘 (Regular Review):每个月底,回顾你这个月完成的任务和产出的“正反馈作品”。看到自己的进步是最好的鸡血。
  4. 允许自己休息:如果某天真的很累,就休息。但第二天一定要回归正轨。学习是马拉松,不是百米冲刺。

这个计划非常紧凑,但每一步都为你设计了明确的、可达成的目标和正反馈。半年后,你将不再是那个迷茫的爱好者,而是一个拥有扎实基础、实战经验和专业方向的准 Web3 安全专家。

现在,就从第一周的任务开始吧!祝你成功!

Web 3 入门
Web3
This post is licensed under CC BY 4.0 by the author.