최대 규모 탈중앙화 거래소 중 하나인 유니스왑이 자사 프로토콜 최신 버전의 취약점을 찾아내는 사람에게 1550만 달러(약 215억 원)의 상금을 내걸었다. 회사 측은 이를 역대 최대 규모의 '버그 바운티'라고 밝혔다. 유니스왑 v4로 알려진 프로토콜의 최신 버전을 최대한 안전하게 만들기 위한조치다.

버그 바운티 프로그램은 기술 업계에서 널리 사용되는 방식이다. '화이트해커'라 불리는 선의의 해커들이 악의적인 해커들보다 먼저 코드의 취약점을 발견하도록 유도하는 것이 목적이다.

유니스왑 v4는 2021년 출시된 v3를 기반으로 하며, 거래 비용을 낮추고 더 많은 맞춤 설정이 가능하도록 개선되었다. 유니스왑은 개발 단계가 마무리되는 시점에 이 버그 바운티를 시작했다. 상금액을 1550만 달러로 책정한 이유는 2023년 크로스체인 메시징 프로토콜인 레이어제로(LayerZero)가 제시한 1500만 달러를 뛰어넘기 위해서다.

회사 측에 따르면, 프로토콜의 최신 버전은 이미 9번의 독립적인 감사와 500명의 연구원이 참여한 235만 달러 규모의 보안 경연대회를 거쳤으며, 심각한 취약점은 발견되지 않았다.

v4의 보안성이 여러 차례 평가되었음에도 유니스왑이 이런 추가 조치를 취하는 이유가 있다. 이 프로토콜이 매일 수십억 달러 규모의 거래량을 처리하며 한 번 배포되면 변경이 불가능하기 때문이다.

유니스왑 랩스의 CEO 헤이든 애덤스(Hayden Adams)는 "유니스왑 프로토콜은 분산 금융(DeFi)의 핵심 기반으로, 2.5조 달러 이상거래량을 안전하게 처리했으며, v4는 무한한 맞춤 설정을 도입한다"고 말했다. 그는 또 "이번 1550만 달러 규모의 버그 바운티는 역사상 최대 규모로, 우리가 모든 사용자와 개발자들을 위해 안전한 스마트 계약을 구축하는 데 얼마나 전념하고 있는지를 보여준다"고 덧붙였다.

이 프로그램은 유니스왑 v4 핵심 계약에서 발견된 버그만을 대상으로 한다. 유니스왑 랩스가 배포하지 않은 제3자 계약, v4 저장소 계약에 대한 감사에서 이미 나열된 문제, 유니스왑 랩스가 배포한 계약을 사용하는 제3자 계약이나 애플리케이션의 버그, 또는 내부적으로 이미 알려진 문제는 포함되지 않는다.

취약점을 발견한 모든 해커가 1550만 달러를 받는 것은 아니다. 보상금은 각 버그의 위험도에 따라 등급이 매겨지는 계층적 접근 방식을 사용한다. '치명적' 버그를 발견하면 1550만 달러, '높은' 위험도의 버그는 100만 달러, '중간' 위험도의 버그는 10만 달러의 보상금이 지급된다.

보상금을 받으려면 버그를 발견한 후 24시간 이내에 보고해야 하며, 문제가 해결될 때까지 기밀로 유지해야 한다.

이런 유형의 프로그램은 1980년대부터 있었다. 당시 헌터 앤 레디(Hunter and Ready)라는 소프트웨어 회사가 자사 운영 체제의 취약점을 찾아내는 사람에게 폭스바겐 비틀('버그'를 의미)을 상품으로 내걸었다. 그 이후로 큰 규모의 바운티가 기술 업계에서 점점 더 인기를 얻었고, 때로는 미국 정부에서도 사용하고 있다.

/ 토토 커뮤니티 김타영 기자 young@fortunekorea.co.kr