Unabhängiger Spezialist · Wavect Expertennetzwerk
11 Jahre in der offensiven Security. Smart-Contract- und Solana-Audits bei Quantstamp und Halborn, jetzt Enya Labs Security. Wir holen ihn dazu, wenn ein Wavect-Build vor dem Mainnet einen adversarial Review braucht oder wenn das Threat Model an einem regulierten Käufer vorbeikommen muss.
Souhail hat 2014 bei Absec Cybersécurité in Marokko in der Cybersecurity begonnen. Trading-Plattformen, Versicherungs-Mobile-Apps, Schwachstellenanalyse, Reverse Engineering. Es folgte IT6 Group mit Sicherheitstests der marokkanischen Bankeninfrastruktur (EURAFRIC), Code-Review der Plattform des Landwirtschaftsministeriums und dem Vulnerability-Programm für die Plattform des Gesundheitsministeriums. Bei seinem Wechsel zu Société Générale Marokko als Senior Security Consultant verantwortete er die DevSecOps-Integration über den gesamten Entwicklungszyklus. Audits für Mobile-Banking, Risikoanalysen, EU- und marokkanische Compliance. Er hat die Pentesting-Methodik-Referenz für Société Générale Marokko verfasst, Nginx, Zuul, Keycloak und Jenkins gehärtet und rund 90 % der in vorgelagerten Tests gefundenen Schwachstellen eliminiert.
Im Mai 2020 wechselte er in den Web3-Bereich. Halborn holte ihn als Offensive Security Engineer für Solidity-Smart-Contract-Audits, Pentests von Solana-Programmen und DEX/DeFi-Bewertungen. 2021 stellte ihn Quantstamp als Senior Security Researcher ein. Dort leitete er Audit-Teams bei großen Solana-Programmen und Solidity-Verträgen, analysierte betrügerische Transaktionen und nahm Live-Exploits auf Assembly-Ebene auseinander. Außerdem baute er internes Tooling, mit dem Auditoren Mandate schneller scopen und ihre Zeit präziser schätzen konnten. Heute arbeitet er bei Enya Labs auf der Security-Seite, in derselben Disziplin: adversarialer Review von Code, der reale Werte trägt.
Parallel verfolgt Souhail eine akademische und öffentliche Lehrlinie. Er ist Blockchain-Security-Forscher an der Cadi Ayyad Universität in Marrakesch mit Peer-Review-Arbeiten zum Blockchain-Trilemma in Applied Sciences (MDPI), zu Privacy-Preserving Application Layers in IJCNA und einem Springer-Buchkapitel zu Decentralized Identity im Web of Things. Er hat 22+ Keynotes und Workshops an marokkanischen Universitäten, auf der Arab Security Conference, Arab EmTech, BlaBlaConf und GDG gehalten. Auf MentorCruise ist er seit 2021 Blockchain-Mentor. Er hält die Charters CCSSA, CBSP und CEE über Kryptoverwahrung, Blockchain-Protokoll-Security und Ethereum.
Wenn Wavect Souhail dazuholt, ist die Arbeit klar umrissen. Adversarialer Review von Code, der gleich Werte halten wird. Threat Modeling einer Architektur, bevor sie verriegelt wird. Forensik, wenn bereits etwas schiefgegangen ist. Er ist kein Generalist. Er ist der Auditor, der das Assembly gelesen hat.
Wavect baut das Produkt. Wenn ein Build in eine Domäne hineinreicht, die unsere eigene Bank übersteigt, holen wir die Spezialistin oder den Spezialisten dazu, die dort ohnehin zu Hause sind. Hier ist das Briefing dafür.
Senior Auditor bei Quantstamp und Halborn. Audits von Solidity- und Solana-Programmen, Review auf EVM-Ebene, Threat Modeling für dApps, DEXs und DeFi-Protokolle. Wenn ein Wavect-Build aufs Mainnet geht und reale Werte auf dem Spiel stehen, übernimmt Souhail den adversarialen Durchlauf vor dem Deployment. Er hat genug Audit-Reports geliefert, um zu wissen, welche Findings einen Launch stoppen und welche warten können.
Bei Quantstamp hat er betrügerische Transaktionen analysiert und Live-Exploits auf der Chain auseinandergenommen, inklusive Assembly-Lesung, um nachzuvollziehen, was tatsächlich passiert ist. Wenn ein Kunde getroffen wird und das Team eine Post-Mortem-Analyse braucht, die vor Investoren, Regulatoren oder Versicherern besteht, übernimmt Souhail die forensische Arbeit.
Société Générale Marokko: DevSecOps in den Entwicklungszyklus integriert, Hardening für Nginx, Zuul, Keycloak und Jenkins, 90 % Schwachstellenreduktion und die Pentesting-Methodik-Referenz verfasst. Wenn ein Wavect-Build die EU- oder marokkanische Compliance passieren muss oder in einer regulierten Branche verkauft, in der Audit-Trails zählen, ist das die Tiefe, die wir mieten.
Akademischer Forscher an der Cadi Ayyad Universität mit Peer-Review-Arbeiten zum Blockchain-Trilemma, zu Privacy-Preserving Application Layers und zu Decentralized Identity für IoT. Wenn ein Build kryptografische Primitive auf Plausibilität geprüft haben muss, bevor das System verriegelt wird, liest Souhail die Spezifikation so, wie ein Angreifer sie liest.
Eingebunden. Nicht vermittelt.Wir binden diese Spezialisten in unsere eigenen Projekte ein, wenn ein Briefing eine Tiefe verlangt, die unsere Bank nicht trägt.
Keynote-Sprecher · Introduction to Blockchain Security
Ein zweistündiges öffentliches Webinar zur Angriffsoberfläche moderner Blockchain-Systeme. Souhail führt durch Angriffsmuster auf Smart Contracts, EVM-Fallstricke und den Disclosure-Workflow, mit dem Auditoren arbeiten, wenn ein Live-Protokoll getroffen wird. Die Session liegt als öffentlich einsehbarer Beleg seiner Lehrtiefe vor.
Indexierte wissenschaftliche Publikationen. Vollständige Liste auf Google Scholar.
Öffentliche Keynotes, Workshops und Webinare, eigenständig gehalten. Konferenz-Links und Aufzeichnungen, wo verfügbar.
Lernen Sie kennen, wie Souhail denkt. Aktuelle Beiträge, in eigenen Worten.
Verifizierte Profile & Bewertungen
Nicht unser Fachgebiet?
Fehlt uns die Tiefe inhouse — buchen Sie über Wavect (ein Vertrag) oder direkt mit ihm. Keine Vermittlungsprovision.
Projekt besprechen