WEB 3 버그 바운티(bug bounty) 서비스, Immunefi
immunefi는 보안 취약점을 찾은 사람에게 현상금을 지급하는 블록체인 ‘버그 바운티(bug bounty)’ 서비스다. 블록체인 서비스에서 결함을 찾을 수 있다면 immunefi에서 누구나 수 십억에 달하는 현상금을 받을 수 있다. 방법은 간단하다. ‘immunefi’에 접속해 현상금을 확인 후 문제점을 immunefi에 보고만 하면 된다. 검증할 프로젝트를 선택하고 블록체인 서비스의 핵심인 ‘스마트 컨트랙트’ 코드 혹은 웹 사이트와 앱에서 문제점을 찾고 제출하면 상금을 받을 수 있는 구조다. De-Fi 서비스 ‘MakerDAO’의 경우에는 최대 현상금을 1천만 달러로 내걸었다. 예를 들어 ‘MakerDAO’의 앱 혹은 웹사이트를 중단시킬 수 있는 위험요소를 발견하면 $100,000달러를 지급받을 수 있는 방식이다.
물론 1천만 달러라는 현상금은 크리티컬 한 보안 이슈를 보고했을 때 지급하는 금액이다. 그럼에도 불구하고 블록체인 서비스들이 1천만 달러라는 큰돈을 선뜻 지급하는 것을 이해하지 못할 수 있다. 1천만 달러는 어마어마한 금액이기 때문이다.
블록체인 서비스들이 immunefi에서 현상금을 내거는 이유는 다수의 사람들에게 보안을 검증받고 잠재적인 보안 위협을 막기 위함이다. immunefi에서는 화이트 해커가 책임감 있게 버그를 보고하고 프로젝트가 이러한 취약점을 안전하게 해결할 수 있도록 프로젝트와 해커를 하나로 모으는 플랫폼을 제공하고 있다. 만약 자신만만하게 보안 위협에 대해 신경 쓰지 않는다면 어떻게 될까? '소 잃고 외양간 고친다’라는 속담이 있다. 만약 프로젝트가 잠재적인 보안 이슈를 신경 쓰지 않았을 때에는 잃는 건 ‘소’ 한 마리로 끝나지 않는다.
2022년, De-Fi 프로젝트 Beanstalk는 13초 만에 1억 8천만 달러를 해커에게 탈취당했다. 프로젝트가 가지고 있던 취약점을 파악한 해커가 Beanstalk 프로젝트가 관리하던 가상자산의 통제권을 얻어냈기 때문이다. 해킹으로 자산이 탈취당한 후 Beanstalk의 설립자는 ”우리는 망했다.”라는 트윗을 업로드하기도 했다. 1천 달러로 1억 8천만 달러의 손실을 예방할 수 있다면 현상금은 납득하기 쉬워진다.
Beanstalk뿐 만 아니라 많은 프로젝트들이 보안 문제로 상당량의 자산을 탈취당했다. 해킹당한 프로젝트들은 블록체인 자체의 결함이 아닌 서비스 구조 혹은 자체 보안의 구멍으로 막대한 손해를 봐야 했다. 이러한 프로젝트들은 한쪽에서는 안정적으로 보일 수 있지만, 사실 하나의 나무조각만 빼도 쉽게 무너질 수 있는 불안한 젠가와 같은 구조였다. 해커가 찾은 그 나무조각 하나로 프로젝트들은 자산에 대한 접근 권한을 한 순간에 잃어버렸다.
이 같은 이유로 Synthetix, Chainlink, SushiSwap, MakerDAO 등과 같은 De-Fi 프로젝트들은 immunefi에 현상금을 걸고 보안 강화에 힘을 쓰고 있다. 물론 보안 문제가 발생하지 않으면 현상금을 지급하지 않아도 된다. 만약 참여자가 보안 이슈를 찾아내 현상금을 지급해야 한다면 미래에 발생할 뻔한 손실을 막은 비용으로 수 억 원은 아깝지 않을 것이다.
프로젝트 등록 절차(https://immunefi.com/projects/get-started/)
Immunefi 버그 포상금 온보딩 양식을 작성한 후 설문지 작성(프로젝트)
설문지 기반으로 버그 현상금 프로그램 초안 작성(Immunefi)
검토를 위해 초안이 고객에게 전송
초안 수정 이후 Immunefi의 출시 전문가에게 전달
출시 전문가는 프로젝트 마케팅 팀과 협력하여 출시 시간과 포상금 PR/마케팅 세부 정보를 파악
만약 프로젝트 담당자로서 보안 이슈가 걱정된다면 immunefi에 프로젝트를 등록해 화이트 해커들에게 보안 점검을 한 번 받아보자. 프로젝트 담당자가 아닌 프로젝트의 보안 문제점을 찾아낼 수 있는 능력자라면 지금 당장 현상금을 받으러 가보자. 프로젝트는 보안을 강화할 수 있고 참여자들은 막대한 보상금을 얻을 수 있으니 서로 이로운 일이다.
(추가로 이 글을 읽는 당신이 100억 현상금의 주인공이 되지 말라는 법은 없다.)