TL;DR
- 職種名称:スマートコントラクト監査員 / Web3 セキュリティ研究者 / プロトコルセキュリティエンジニア
- コアスキル:Solidity / Move · Foundry ファジング · EVM オペコード · 攻撃手法論 · 経済的攻撃モデリング
- 収益範囲:監査ファーム $150K–400K/年・競技監査 $50K–500K+/年・バグバウンティ 単件で最大 $10M
- 求人数:世界で約 2,500 件(供給不足が著しい)
- 参入時間:Solidity 経験者なら 4–6 ヶ月でコンテスト初参加可能
Web3 セキュリティ研究者とは何か
2026 年、DeFi プロトコルの総ロック価値(TVL)は $340 億を超えた。スマートコントラクトのバグ一つが、数億ドルの損失を引き起こす。
2023–2025 年の主要ハッキング事例(損失額):
→ Euler Finance(2023):$197M
→ Curve Finance(2023):$70M
→ Radiant Capital(2024):$50M
→ WazirX(2024):$235M
→ Bybit(2025):$1.5B(史上最大)
教訓:
→ 監査されたコードでもハッキングされる(再監査の需要)
→ 1つの脆弱性 = 数百億円規模の損失可能性
→ 優秀なセキュリティ研究者は「引き止められる存在」
Web3 セキュリティ研究者の仕事は、「ハッカーの視点でコードを読む」ことだ。スマートコントラクトに潜む脆弱性を、実際に悪用される前に発見する。
セキュリティ研究者の日常業務
監査ファームの研究者(例:Trail of Bits、Spearbit)の典型的な一週間:
月曜日:
→ 新規案件のキックオフ:DeFi 貸出プロトコルの監査開始
→ スコープ確認:対象コントラクト一覧・除外範囲・期間(3週間)
→ アーキテクチャ把握:README・設計ドキュメントを読む
→ 初回コードウォークスルー:全体像を掴む(バグ探索は後で)
火曜〜木曜:
→ 深堀り分析(1コントラクトあたり):
- アクセス制御のチェック:誰が何を呼べるか?
- 外部呼び出しのチェック:再入攻撃の可能性は?
- 演算ロジックのチェック:オーバーフロー・丸め誤差・精度問題
- 経済的ロジックのチェック:フラッシュローン攻撃・価格操作
- 状態遷移のチェック:予期しない状態に移行できるか?
→ Foundry でエクスプロイト POC を書いて脆弱性を証明
→ 発見事項を記録(重大度:Critical / High / Medium / Low)
金曜日:
→ チーム内レビュー:発見を共有し、見落としを補完
→ レポートの下書き:各脆弱性の説明・影響・修正提案
→ クライアントとの中間共有(重大な問題があれば即連絡)
特別タスク:
→ 修正後の再監査(Fix Verification)
→ 緊急インシデント対応(別プロトコルで攻撃発生時の支援)
→ CTF(Capture The Flag)での腕試し
→ 公開レポートのブログ執筆(個人ブランド構築)
セキュリティのキャリアパス:3 つのルート
ルート A:監査ファーム勤務
特徴:
→ 多様なプロトコルに触れる(毎案件が異なる技術スタック)
→ チームで動くため、知識の蓄積が速い
→ 安定した収入
代表的なファーム:
→ Trail of Bits(最も技術的に高評価)
→ OpenZeppelin(ライブラリ開発も兼任)
→ Consensys Diligence
→ Spearbit(Cantina プラットフォーム運営)
→ Sherlock(保険モデルの監査)
→ Cyfrin(教育特化型)
給与:
→ ジュニア監査員:$80K–120K/年(米国外リモート:$5K–8K/月)
→ シニア監査員:$180K–300K/年(リモート:$10K–18K/月)
→ リード監査員:$300K–500K/年
---
ルート B:競技監査(Code4rena / Sherlock / Cantina)
特徴:
→ 時間報酬型:コンテスト期間(1週間〜1ヶ月)で稼ぐ
→ 完全リモート・非同期
→ 実力がそのまま収益に直結
→ 初心者でも参加可能(賞金プールが収益保証ではない)
収益の実態(2026 年):
→ 上位 1%の競技監査員:$500K–$2M+/年
→ トップ 10%:$50K–$200K/年
→ 中級参加者(50–80%):$10K–$50K/年
→ 初心者(最初の 3 ヶ月):$0–$5K(学習期間と考える)
Code4rena の実例:
→ 1件のコンテストで High 脆弱性 1件発見 → $5K–$30K
→ Critical 発見 → $30K–$150K
→ 2024年最高賞金:$500K(単一コンテスト)
---
ルート C:バグバウンティ(Immunefi 中心)
特徴:
→ 賞金は脆弱性の重大度に依存(Critical で最大 $10M)
→ 報告 → 確認 → 支払いのサイクル(1–4 週間)
→ 独立型:時間・場所・プロジェクトの選択が完全に自由
Immunefi の報酬テーブル(典型例):
→ Low:$1,000–$5,000
→ Medium:$5,000–$20,000
→ High:$20,000–$100,000
→ Critical:$100,000–$10,000,000
2024–2025 年の Immunefi 実績:
→ Immunefi を通じた合計支払い:$100M+/年
→ 一人の研究者が Critical を発見 → $1M の事例が複数
→ 日本人研究者の参加は少ない → 希少性がある
必須スキルマップ
1. Solidity の深い理解(最重要)
スマートコントラクト攻撃パターン TOP 10:
→ Reentrancy(再入攻撃)
→ Integer overflow/underflow
→ Access control flaws(アクセス制御の欠陥)
→ Front-running / MEV(フロントランニング)
→ Oracle manipulation(価格オラクル操作)
→ Flash loan attacks(フラッシュローン攻撃)
→ Denial of Service(サービス拒否攻撃)
→ Signature replay(署名再利用)
→ Governance attacks(ガバナンス攻撃)
→ Logic errors in token math(代入精度・丸め誤差)
2. Foundry によるセキュリティテスト
→ Fuzz testing(ファジングテスト):
ランダム入力で境界ケースを自動探索
→ Invariant testing(不変条件テスト):
「総供給量は決して変化しない」などの不変条件を証明
→ Mainnet fork:
実際のオンチェーン状態でエクスプロイトを再現
3. EVM の深い知識
→ オペコードレベルでの挙動理解
→ Storage レイアウトと衝突(プロキシパターンの落とし穴)
→ calldata エンコーディングの解析
→ ABI デコードと型混同攻撃
4. DeFi プロトコル経済学
→ AMM の価格曲線と操作可能性
→ 貸出プロトコルの清算メカニズム
→ Stabecoin の担保比率と連鎖清算
→ DEX 価格とオラクル価格の乖離攻撃
入門ロードマップ(Solidity 経験者向け・4–6 ヶ月)
1–2ヶ月目:攻撃手法の系統的習得
→ Ethernaut(全 30 問)を解く
各問題は実際の攻撃パターンのシミュレーション
→ Damn Vulnerable DeFi(DVDFi)を解く
より高度な DeFi 特有の攻撃
→ 各問題について「なぜ脆弱か?どう修正するか?」を
ブログまたは GitHub に書き残す(アウトプットが重要)
→ 主要ハック事例を深く研究:
Euler Finance, Cream Finance, Nomad Bridge を選んで
POC(実証コード)を Foundry で再現する
---
3ヶ月目:競技監査に初参加
→ Code4rena か Sherlock で初コンテストに参加
→ 目標:最初は入賞ではなく「完走すること」
→ スコープを全部読む
→ 最低 5 件の「潜在的問題」を調査する
→ 何も見つからなくても、プロセスを学ぶ
→ 他の参加者のレポートを読む(コンテスト後に公開される)
→ 自分が見落とした脆弱性を分析する
---
4–5ヶ月目:実力を上げる
→ Move Prover / Certora:形式検証入門
→ Advanced Foundry パターン:
- Differential fuzzing(2 実装を比較テスト)
- Stateful invariant testing
→ 公開済みの監査レポートを 20 件読む
(Trail of Bits・Spearbit の GitHub に公開されている)
→ コンテストで「Medium」評価の脆弱性を初発見
---
6ヶ月目:キャリア構築
→ 発見した脆弱性の詳細なブログを書く(英語推奨)
→ Twitter でセキュリティコンテンツを発信(英語・日本語両方)
→ 監査ファームに応募(Trail of Bits, Spearbit, Cyfrin など)
→ または Immunefi でバグバウンティを本格開始
日本人セキュリティ研究者の希少価値
Immunefi や Code4rena のトップ参加者の多くは欧米・東アジア(韓国・台湾)出身だが、日本語話者の本格的な競技監査員はほとんど存在しない。英語でのセキュリティリサーチ発信に加えて、日本語でのコンテンツ発信を行う研究者は、国内 Web3 プロジェクトの独占的な監査パートナーとして非常に希少な位置を占めることができる。
給与と収益の現実(2026 年)
監査ファーム(固定給):
→ ジュニア(1年未満):$4K–8K/月(リモート)
→ ミドル(1–3年):$10K–18K/月(リモート)
→ シニア(3年+):$18K–35K/月(リモート)
→ 米国採用:$200K–$500K+/年
競技監査(変動収入):
→ 初年度(学習期間):$0–$20K
→ 2年目以降(中級):$30K–$150K/年
→ トップ 5%:$300K–$2M+/年
バグバウンティ(Immunefi):
→ 副業として:月 $500–$10K(週 10 時間程度)
→ 専業として:$100K–$2M+/年(実力次第)
→ 最大単件報酬:$10M(最高セキュリティリスクの Critical)
独立フリーランス監査:
→ 個人監査:$50K–$200K/案件(DeFi プロジェクト向け)
→ 2–3 件/年で年収 $200K–$500K 可能
→ 条件:高い評判・実績の公開レポートが必要
综合评分
9.5
職業機会スコア / 10
⭐
Web3 スマートコントラクトセキュリティは、2026 年の Web3 技術職の中で最も高い収益天井を持つキャリアだ。監査ファームの固定給でも市場最高水準、競技監査とバグバウンティでは「技術力が直接収入に変換される」仕組みが存在する。日本人エンジニアにとってはさらに有利な状況だ:日本語話者の競技監査員が少なく、国内 Web3 プロジェクトの需要は高い。唯一のハードル——Solidity と EVM の深い知識——は、正しいロードマップで 6 ヶ月かけて習得できる。
iBuidl で Web3 セキュリティを学ぶ:WeChat QR(コースページ)· Telegram: @kkdemian
— iBuidl リサーチチーム