Volver a la red
Retrato de Souhail Mssassi, CCSSA, CBSP, CEE

Especialista independiente · Red de Expertos Wavect

Souhail Mssassi, CCSSA, CBSP, CEE

11 años en seguridad ofensiva. Auditorías de smart contracts y de programas Solana en Quantstamp y Halborn, ahora en Enya Labs Security. Lo incorporamos cuando un build de Wavect necesita una revisión adversarial antes de salir a mainnet o cuando el modelo de amenazas tiene que pasar la criba de un comprador regulado.

Especialidad
Security
Ubicación
Casablanca, MA
Experiencia
11+ años
Estado
Disponible · Mandatos seleccionados
01  ·  SEÑALES

Por qué respondemos por él

  • CCSSA, CryptoCurrency Security Standard Auditor (C4 · CryptoCurrency Certification Consortium, 2023)
  • CBSP, Certified Blockchain Security Professional (Blockchain Council, 2023)
  • CEE, Certified Ethereum Expert (Blockchain Council, 2023)
  • Security Researcher, Enya Labs Security (actual)
  • Ex Senior Security Researcher, Quantstamp (jul 2021–ene 2024). Lideró equipos de auditoría sobre programas grandes en Solana y contratos en Solidity. Reverse engineering de exploits on-chain a nivel de ensamblador. Desarrolló herramientas internas para el scoping y la estimación de tiempos de auditoría
  • Ex Offensive Security Engineer, Halborn (may 2020–jun 2021). Auditorías de smart contracts en Solidity, pentests de programas Solana, evaluaciones de dApps y de DEX/DeFi, pruebas de SDK e infraestructura de red blockchain
  • Ex Senior Security Consultant, Société Générale Marruecos (jun 2018–abr 2020). Integración de DevSecOps sobre Nginx, Zuul, Keycloak y Jenkins. Auditorías de banca móvil bajo compliance europeo y marroquí. 90 % de reducción de vulnerabilidades tras el hardening
  • Consultoría previa: IT6 Group (2017–2018) y Absec Cybersécurité (2014–2017). Análisis de vulnerabilidades y pentests sobre banca marroquí (EURAFRIC), Ministerio de Agricultura, Ministerio de Salud, plataformas de trading y seguros
  • Investigador en seguridad blockchain, Universidad Cadi Ayyad (Marrakech). Investigación en smart contracts con preservación de privacidad, internals de la EVM y diseño de sistemas informado por la criptografía
  • 22+ intervenciones como keynote en universidades marroquíes, Arab Security Conference, Arab EmTech & Startups, BlaBlaConf y GDG
  • Publicaciones con revisión por pares en Applied Sciences (MDPI), International Journal of Computer Networks and Applications y un capítulo de libro en Springer
  • Mentor de blockchain en MentorCruise (desde 2021)
02  ·  BIOGRAFÍA

En su propio terreno de trabajo

Souhail empezó en ciberseguridad en 2014 en Absec Cybersécurité en Marruecos. Plataformas de trading, apps móviles de seguros, análisis de vulnerabilidades, reverse engineering. Después llegó IT6 Group, con pruebas de seguridad sobre la infraestructura bancaria marroquí (EURAFRIC), revisión de código de la plataforma del Ministerio de Agricultura y el programa de vulnerabilidades de la plataforma del Ministerio de Salud. Cuando entró en Société Générale Marruecos como Senior Security Consultant ya llevaba la integración de DevSecOps en el ciclo de desarrollo. Auditorías de banca móvil, análisis de riesgo, compliance europeo y marroquí. Redactó la referencia de metodología de pentesting para Société Générale Marruecos, endureció Nginx, Zuul, Keycloak y Jenkins y recortó cerca del 90 % de las vulnerabilidades encontradas en los tests previos al despliegue.

En mayo de 2020 viró al ecosistema Web3. Halborn lo trajo como Offensive Security Engineer para auditorías de smart contracts en Solidity, pentests de programas Solana y evaluaciones de DEX y DeFi. En 2021 Quantstamp lo incorporó como Senior Security Researcher. Allí lideró equipos de auditoría sobre programas grandes en Solana y contratos en Solidity, analizó transacciones fraudulentas y desensambló exploits en vivo a nivel de ensamblador, y construyó herramientas internas que ayudaron a los auditores a definir el alcance y estimar tiempos con más precisión. Hoy está en Enya Labs en el lado de seguridad, en la misma disciplina: revisión adversarial de código que sostiene valor real.

En paralelo Souhail mantiene una vía académica y de divulgación. Es investigador en seguridad blockchain en la Universidad Cadi Ayyad de Marrakech, con publicaciones revisadas por pares sobre el trilema de la blockchain en Applied Sciences (MDPI), sobre frameworks de capa de aplicación con preservación de privacidad en IJCNA y un capítulo de libro en Springer sobre identidad descentralizada en el Web of Things. Ha dado 22+ keynotes y talleres en universidades marroquíes, en la Arab Security Conference, Arab EmTech, BlaBlaConf y GDG. Es mentor de blockchain en MentorCruise desde 2021. Mantiene las certificaciones CCSSA, CBSP y CEE sobre custodia de criptomonedas, seguridad de protocolos blockchain y Ethereum.

Cuando Wavect incorpora a Souhail, el encargo está claro. Revisión adversarial del código justo antes de que sostenga valor. Threat modeling de una arquitectura antes de cerrarla. Forense cuando algo ya ha salido mal. No es un consultor generalista. Es el auditor que ha leído el ensamblador.

03  ·  CUÁNDO LO LLAMAMOS

Dónde se incorpora Souhail Mssassi, CCSSA, CBSP, CEE a un proyecto de Wavect

Wavect construye el producto. Cuando un proyecto entra en un dominio que excede nuestro propio banco de experiencia, traemos al especialista que ya vive en él. Aquí va el brief para este caso.

  • Auditoría de smart contract antes de mainnet

    Auditor senior en Quantstamp y Halborn. Auditorías de programas en Solidity y Solana, revisión a nivel EVM, threat modeling de dApps, DEX y protocolos DeFi. Cuando un build de Wavect va a mainnet y hay valor real en juego, Souhail hace la pasada adversarial antes del deployment. Ha entregado suficientes informes de auditoría como para saber qué hallazgos paran un lanzamiento y cuáles pueden esperar.

  • Forense on-chain y reverse engineering

    En Quantstamp analizó transacciones fraudulentas y desensambló exploits en vivo en la cadena, leyendo ensamblador para entender qué pasó realmente. Cuando un cliente recibe un golpe y el equipo necesita un post-mortem que aguante frente a inversores, reguladores o aseguradoras, Souhail hace el trabajo forense.

  • DevSecOps para compradores regulados

    Société Générale Marruecos: integró DevSecOps en el ciclo de desarrollo, endureció Nginx, Zuul, Keycloak y Jenkins, recortó un 90 % de las vulnerabilidades y redactó la referencia de metodología de pentesting. Cuando un build de Wavect tiene que pasar compliance europeo o marroquí, o vender en una industria regulada donde los audit trails importan, esa es la profundidad que alquilamos.

  • Revisión de arquitectura informada por la criptografía

    Investigador académico en la Universidad Cadi Ayyad con artículos revisados por pares sobre el trilema de la blockchain, capas de aplicación con preservación de privacidad e identidad descentralizada para IoT. Cuando un build necesita que las primitivas criptográficas se contrasten antes de cerrar el sistema, Souhail lee la especificación como la leería un atacante.

Incorporados. No referidos.Incorporamos a estos especialistas dentro de nuestros propios proyectos cuando el brief exige una profundidad que nuestro banco no cubre.

04  ·  PROYECTOS EXTERNOS

Trabajos seleccionados, ejecutados con sus propios clientes

Proyecto externo

GDG on Campus ENSAM Casablanca

2024

Ponente keynote · Introduction to Blockchain Security

Sector
Comunidad de desarrolladores · webinar público

Un webinar público de dos horas sobre la superficie de ataque de los sistemas blockchain modernos. Souhail recorre patrones de ataque sobre smart contracts, errores a nivel EVM y el workflow de divulgación que usan los auditores cuando un protocolo en vivo recibe un golpe. La sesión queda como un artefacto público que respalda su profundidad docente.

Souhail Mssassi en Introduction to Blockchain Security, grabado en directo en GDG on Campus ENSAM Casablanca el 9 de noviembre de 2024.
Recursos
Página del evento GDG Ver en YouTube ↗
05  ·  PUBLICACIONES

Trabajo con revisión por pares

Publicaciones académicas indexadas. Lista completa en Google Scholar.

  1. 2024Artículo de revista

    The Blockchain Trilemma: A Formal Proof of the Inherent Trade-Offs Among Decentralization, Security, and Scalability

    Applied Sciences (MDPI)

    Leer artículo
  2. 2025Artículo de revista

    An Application-Layer Framework for Privacy-Preserving Blockchain Transactions and Smart Contracts

    International Journal of Computer Networks and Applications (IJCNA)

    Leer artículo
  3. 2026Capítulo de libro

    Building Trust in the Web of Things: Decentralized Identity Management with Blockchain

    Signals and Communication Technology (Springer)

    Leer artículo

La lista completa indexada, con artículos adicionales sobre detección de nodos maliciosos, seguridad en FPGA y enfoques constant-time, está disponible en Google Scholar.

06  ·  CHARLAS Y TALLERES

En el escenario, en sus propias palabras

Keynotes, talleres y webinars públicos, impartidos de forma independiente. Enlaces de eventos y grabaciones cuando están disponibles.

  1. nov 2024Webinar

    Introduction to Blockchain Security

    GDG on Campus ENSAM CasablancaOnline

    Evento Grabación
  2. 2023Charla

    Tecnología blockchain y Decentralized Finance (DeFi)

    ENSA AgadirAgadir, MA

  3. 2022Charla de conferencia

    Reverse engineering de la EVM

    Arab EmTech & Startups ConferenceCasablanca, MA

    Evento
  4. oct 2021Charla de conferencia

    Advanced Attacks in Decentralized Applications

    BlaBlaConfOnline

    Evento
  5. sep 2020Taller

    Advanced Attacks in dApps and Solidity

    Arab Security ConferenceOnline

    Evento
  6. sep 2019Taller

    Side Channel Attack in Blockchain

    Arab Security ConferenceOnline

    Evento
  7. dic 2019Charla

    Application Security: seguridad de sitios web y metodología de pentester

    EHTPCasablanca, MA

  8. nov 2019Charla

    La seguridad de las aplicaciones móviles

    EST EssaouiraEssaouira, MA

  9. oct 2019Charla

    Seguridad de redes inalámbricas: redes celulares

    Netcom ENSA KhouribgaKhouribga, MA

  10. oct 2019Charla

    Exfiltración de datos en un sistema de información aislado

    Netcom ENSA FesFes, MA

  11. may 2019Charla

    Carreras en la industria de la seguridad informática

    ENSA BerrechidBerrechid, MA

  12. may 2019Charla

    Profesiones de ciberseguridad y blockchain

    EMIRabat, MA

  13. abr 2019Charla

    Seguridad física: Internet of Things

    Netcom ENSA TangerTánger, MA

  14. abr 2019Taller

    Application Security: Advanced Attacks on Web Applications

    ENSA AgadirAgadir, MA

  15. mar 2019Charla

    Application Security: Advanced Attacks on Web Applications

    FST MarrakechMarrakech, MA

  16. feb 2019Charla

    Introducción a blockchain

    1337 KhouribgaKhouribga, MA

  17. dic 2018Charla

    Seguridad de redes inalámbricas y aplicaciones descentralizadas

    ENCG MarrakechMarrakech, MA

  18. dic 2018Charla

    Bitcoin y las profesiones de la seguridad organizacional

    ENSA SafiSafi, MA

  19. dic 2018Charla

    Seguridad física y el Internet of Things

    ENSA OujdaOujda, MA

  20. dic 2018Charla

    Concienciación en ciberseguridad

    EMSI MarrakechMarrakech, MA

  21. oct 2018Charla

    Protección de la confidencialidad de los datos personales del paciente

    Facultad de Medicina de AgadirAgadir, MA

  22. oct 2018Charla

    Introducción a la seguridad de redes y sitios web

    ENSA AgadirAgadir, MA

07  ·  LINKEDIN

Publicaciones recientes

Conozca cómo piensa Souhail. Publicaciones recientes, en sus propias palabras.

¿Fuera de nuestro dominio?

Si no tenemos la profundidad en casa, contrate a través de Wavect (un contrato) o directamente con él. Sin comisión de referido.

Hablar de un proyecto