返回网络
Souhail Mssassi 头像,CCSSA、CBSP、CEE

独立专家 · Wavect 专家网络

Souhail Mssassi, CCSSA, CBSP, CEE

11 年攻击性安全经验。曾在 Quantstamp 与 Halborn 进行智能合约与 Solana 程序审计,现就职于 Enya Labs Security。当 Wavect 的项目在主网部署前需要一次对抗性审查,或者威胁模型必须通过受监管买家的把关时,我们会请他加入。

专业领域
Security
所在地
卡萨布兰卡,摩洛哥
从业经验
11+ 年
状态
可接洽 · 精选委托
01  ·  资历

我们为何为其担保

  • CCSSA,CryptoCurrency Security Standard Auditor(C4 · CryptoCurrency Certification Consortium,2023)
  • CBSP,Certified Blockchain Security Professional(Blockchain Council,2023)
  • CEE,Certified Ethereum Expert(Blockchain Council,2023)
  • Security Researcher,Enya Labs Security(在职)
  • 前 Quantstamp 高级安全研究员(2021 年 7 月–2024 年 1 月)。带领审计团队完成大型 Solana 程序与 Solidity 合约的审计,逆向分析链上漏洞至汇编层,并构建了用于审计范围划定与时间估算的内部工具
  • 前 Halborn 攻击性安全工程师(2020 年 5 月–2021 年 6 月)。负责 Solidity 智能合约审计、Solana 程序渗透测试、dApp 与 DEX/DeFi 评估,以及区块链 SDK 与网络基础设施测试
  • 前 Société Générale 摩洛哥分公司高级安全顾问(2018 年 6 月–2020 年 4 月)。负责将 DevSecOps 集成到 Nginx、Zuul、Keycloak、Jenkins 中,按欧盟与摩洛哥合规要求审计移动银行系统。加固后将漏洞数量降低约 90%
  • 更早的咨询经历:IT6 Group(2017–2018)与 Absec Cybersécurité(2014–2017)。负责摩洛哥银行(EURAFRIC)、农业部、卫生部、交易平台与保险机构的漏洞分析与渗透测试
  • 区块链安全研究员,卡迪·阿亚德大学(马拉喀什)。研究方向:隐私保护型智能合约、EVM 内部机制、由密码学驱动的系统设计
  • 在摩洛哥多所大学、Arab Security Conference、Arab EmTech & Startups、BlaBlaConf 与 GDG 进行过 22+ 次主题演讲
  • Applied Sciences(MDPI)、International Journal of Computer Networks and Applications 上发表过同行评审论文,并参与撰写 Springer 出版的图书章节
  • MentorCruise 区块链导师(自 2021 年起)
02  ·  简介

其专业背景

Souhail 于 2014 年在摩洛哥 Absec Cybersécurité 开始网络安全生涯。涉及交易平台、保险公司的移动应用、漏洞分析与逆向工程。随后进入 IT6 Group,承担摩洛哥银行基础设施(EURAFRIC)的安全测试、农业部平台的代码审查,以及卫生部平台的漏洞处置项目。当他进入 Société Générale 摩洛哥分公司担任高级安全顾问时,他已经全权负责将 DevSecOps 集成到开发周期。他完成了多次移动银行系统审计、风险分析,并对接欧盟与摩洛哥合规要求。他撰写了 Société Générale 摩洛哥的渗透测试方法论参考文档,加固了 Nginx、Zuul、Keycloak 与 Jenkins,并将上线前测试中暴露的漏洞数量减少了约 90%。

2020 年 5 月,他转向 Web3 领域。Halborn 聘他为攻击性安全工程师,负责 Solidity 智能合约审计、Solana 程序渗透测试与 DEX、DeFi 评估。2021 年,Quantstamp 聘他为高级安全研究员。在那里,他带领审计团队完成大型 Solana 程序与 Solidity 合约的审计,分析欺诈交易,并将链上实时漏洞利用逆向分析到汇编层;他还构建了内部工具,帮助审计团队更精准地划定项目范围与估算时间。如今他在 Enya Labs 负责安全侧的工作,所做的事情没有变:对那些即将承载真实价值的代码进行对抗性审查。

与此同时,Souhail 还保持着学术与公开教学的另一条路径。他是卡迪·阿亚德大学的区块链安全研究员,已在 Applied Sciences(MDPI)发表关于区块链三难困境的同行评审论文,在 IJCNA 发表关于隐私保护型应用层框架的论文,并在 Springer 出版的图书中撰写关于物联网去中心化身份管理的章节。他曾在摩洛哥的多所大学,以及 Arab Security Conference、Arab EmTech、BlaBlaConf 与 GDG 上发表 22+ 场主题演讲与工作坊。自 2021 年起,他在 MentorCruise 担任区块链导师。他同时持有 CCSSA、CBSP 与 CEE 三张证书,覆盖加密货币托管、区块链协议安全与 Ethereum。

当 Wavect 请 Souhail 加入时,工作清楚明了:对即将承载价值的代码进行对抗性审查;在架构定型前完成威胁建模;在事件已经发生时进行取证。他不是泛泛而谈的顾问。他是那位读过汇编的审计员。

03  ·  我们何时邀请他

Souhail Mssassi, CCSSA, CBSP, CEE 何时进入 Wavect 项目

Wavect 负责构建产品。当某个项目延伸到超出我们自身领域专长的范畴时,我们会请那位本就深耕该领域的专家加入。以下就是这位专家的简要说明。

  • 主网部署前的智能合约审计

    Quantstamp 与 Halborn 的资深审计员。负责 Solidity 与 Solana 程序审计、EVM 层面的代码审查,以及对 dApp、DEX 与 DeFi 协议的威胁建模。当 Wavect 的项目即将部署到主网、确有真实价值存在时,Souhail 会在部署前完成对抗性审查。他交付过足够多的审计报告,知道哪些问题会阻断上线,哪些可以延后。

  • 链上取证与逆向分析

    在 Quantstamp,他分析过欺诈交易并逆向分析过链上的实时漏洞利用,阅读汇编以还原事件的真实过程。当客户被攻击、团队需要一份能够面对投资者、监管方或保险公司站得住脚的事后分析时,由 Souhail 负责取证工作。

  • 面向受监管买家的 DevSecOps

    Société Générale 摩洛哥:将 DevSecOps 集成到开发周期,加固 Nginx、Zuul、Keycloak 与 Jenkins,把漏洞数量降低约 90%,并撰写了渗透测试方法论的参考文档。当 Wavect 的项目需要通过欧盟或摩洛哥的合规要求,或需要进入对审计轨迹有严格要求的受监管行业时,这正是我们租用的深度。

  • 由密码学驱动的架构评审

    卡迪·阿亚德大学的学术研究员,发表过关于区块链三难困境、隐私保护型应用层框架以及 IoT 去中心化身份的同行评审论文。当项目在系统定型前需要对密码学原语进行可信性核查时,Souhail 会以攻击者的视角阅读规范。

引入项目,而非介绍。当项目所需的深度超出我们自身储备时,我们会把这些专家引入到我们自己的项目中。

04  ·  外部项目

精选项目,由其与自己的客户完成

外部项目

GDG on Campus ENSAM Casablanca

2024

主题演讲嘉宾 · Introduction to Blockchain Security

行业
开发者社区 · 公开网络研讨会

一场为期两小时的公开网络研讨会,主题是现代区块链系统的攻击面。Souhail 详细讲解了智能合约的攻击模式、EVM 层面的常见陷阱,以及在线上协议遭到攻击时审计员所采用的披露流程。整场会议以公开记录的形式呈现,是其教学深度的实证。

Souhail Mssassi 主讲 Introduction to Blockchain Security,于 2024 年 11 月 9 日在 GDG on Campus ENSAM Casablanca 现场录制。
资源
GDG 活动页 在 YouTube 观看 ↗
05  ·  学术论文

同行评审成果

已收录的学术论文。完整列表请见 Google Scholar。

  1. 2024期刊论文

    The Blockchain Trilemma: A Formal Proof of the Inherent Trade-Offs Among Decentralization, Security, and Scalability

    Applied Sciences (MDPI)

    阅读论文
  2. 2025期刊论文

    An Application-Layer Framework for Privacy-Preserving Blockchain Transactions and Smart Contracts

    International Journal of Computer Networks and Applications (IJCNA)

    阅读论文
  3. 2026图书章节

    Building Trust in the Web of Things: Decentralized Identity Management with Blockchain

    Signals and Communication Technology (Springer)

    阅读论文

完整的论文索引(包括关于恶意节点检测、FPGA 安全与常时算法等的其他论文)请见 Google Scholar

06  ·  演讲与工作坊

舞台上的他,原汁原味

公开主题演讲、工作坊和网络研讨会,独立完成。提供活动链接及录像(如有)。

  1. 2024 年 11 月网络研讨会

    Introduction to Blockchain Security

    GDG on Campus ENSAM Casablanca线上

    活动 录像
  2. 2023讲座

    区块链技术与去中心化金融(DeFi)

    ENSA Agadir阿加迪尔,摩洛哥

  3. 2022会议演讲

    EVM 逆向工程

    Arab EmTech & Startups Conference卡萨布兰卡,摩洛哥

    活动
  4. 2021 年 10 月会议演讲

    Advanced Attacks in Decentralized Applications

    BlaBlaConf线上

    活动
  5. 2020 年 9 月工作坊

    Advanced Attacks in dApps and Solidity

    Arab Security Conference线上

    活动
  6. 2019 年 9 月工作坊

    Side Channel Attack in Blockchain

    Arab Security Conference线上

    活动
  7. 2019 年 12 月讲座

    应用安全:网站安全与渗透测试方法论

    EHTP卡萨布兰卡,摩洛哥

  8. 2019 年 11 月讲座

    移动应用安全

    EST Essaouira索维拉,摩洛哥

  9. 2019 年 10 月讲座

    无线网络安全:蜂窝网络

    Netcom ENSA Khouribga胡里卜盖,摩洛哥

  10. 2019 年 10 月讲座

    在隔离信息系统中的数据外泄

    Netcom ENSA Fes非斯,摩洛哥

  11. 2019 年 5 月讲座

    IT 安全行业的职业路径

    ENSA Berrechid贝尔雷希德,摩洛哥

  12. 2019 年 5 月讲座

    网络安全职业与区块链

    EMI拉巴特,摩洛哥

  13. 2019 年 4 月讲座

    物理安全:物联网

    Netcom ENSA Tanger丹吉尔,摩洛哥

  14. 2019 年 4 月工作坊

    Application Security: Advanced Attacks on Web Applications

    ENSA Agadir阿加迪尔,摩洛哥

  15. 2019 年 3 月讲座

    Application Security: Advanced Attacks on Web Applications

    FST Marrakech马拉喀什,摩洛哥

  16. 2019 年 2 月讲座

    区块链导论

    1337 Khouribga胡里卜盖,摩洛哥

  17. 2018 年 12 月讲座

    无线网络安全与去中心化应用

    ENCG Marrakech马拉喀什,摩洛哥

  18. 2018 年 12 月讲座

    Bitcoin 与组织安全相关职业

    ENSA Safi萨非,摩洛哥

  19. 2018 年 12 月讲座

    物理安全与物联网

    ENSA Oujda乌季达,摩洛哥

  20. 2018 年 12 月讲座

    网络安全意识

    EMSI Marrakech马拉喀什,摩洛哥

  21. 2018 年 10 月讲座

    患者个人数据机密性的保护

    阿加迪尔医学院阿加迪尔,摩洛哥

  22. 2018 年 10 月讲座

    网络与网站安全导论

    ENSA Agadir阿加迪尔,摩洛哥

07  ·  LINKEDIN

近期帖子

了解 Souhail 的思考方式。近期帖子,原汁原味。

非我们的领域?

我们内部若缺该深度,可经 Wavect 签一份合同,或直接与其签约。无转介费用。

讨论项目