웹3 버그 바운티 플랫폼 이뮨파이, 윤리적 해커 지불액 1억 달러 돌파하며 업계 선도

김민준 기자

2024.06.21 (금) 23:00

웹3 버그 바운티 플랫폼 이뮨파이, 윤리적 해커 지불액 1억 달러 돌파하며 업계 선도 / 셔터스톡

웹3 버그 바운티 및 보안 서비스 플랫폼 이뮨파이(Immunefi)가 윤리적 해커와 연구원들에게 지불한 금액이 1억 달러를 넘어섰다고 회사가 더 블록과 공유한 데이터에 따르면 밝혔다.

20일(현지시간) 더 블록에 따르면, 이 팀은 이뮨파이가 2020년 12월에 출시된 지 약 3년 만에 3000건 이상의 유료 버그 바운티 보고서를 통해 이 성과를 달성했다고 말했다.

버그 바운티 프로그램은 개발자와 보안 연구원들이 프로젝트의 코드를 검토하고 취약점을 식별한 뒤 그 발견에 대한 대가를 받도록 초대한다.

이뮨파이의 총 1억 21만 달러 지불액 중 스마트 계약 버그가 가장 큰 비중을 차지해 7797만 달러(77.5%)의 바운티를 차지했다. 블록체인 및 분산 원장 기술 프로토콜 관련 취약점이 1876만 달러(18.6%)로 그 뒤를 이었고, 웹사이트 및 애플리케이션 버그 보고서가 385만 달러(3.8%)를 차지했다. 1만 9550달러 상당의 지불액은 '미정의'로 표시되었다.

총 버그 바운티 중 641건(8834만 달러)이 심각도 '치명적'으로 분류되어 전체 지불된 바운티의 87.8%를 차지했다. 559건(745만 달러)은 '높음' 심각도, 723건(334만 달러)은 '중간' 심각도, 656건(100만 달러)은 '낮음' 심각도, 458건(56만 6000달러)은 '정보성'으로 분류되었다.

데이터에 따르면 동일한 버그와 관련된 최고 지불액은 2021년 1월 치명적인 취약점과 관련된 1482만 달러였다. 최저 지불액은 단 25달러였다.

이뮨파이의 창업자 겸 CEO 미첼 아마도르(Mitchell Amador)는 더 블록과의 인터뷰에서 '온체인 생태계를 보호하기 위해 끊임없이 노력하고 있으며, 이 성과는 버그 바운티 프로그램의 효과와 연구원 커뮤니티의 헌신을 보여주는 증거'라고 말했다. '그들의 작업은 웹3에서 상당한 재정적 손실을 방지하는 데 필수적이며, 우리는 계속해서 혁신하고 차세대 프로젝트와 사용자를 보호하는 데 그들을 지원할 것'이라고 덧붙였다.

이뮨파이는 4만 5000명 이상의 연구원으로 구성된 최대 규모의 블록체인 보안 커뮤니티를 운영하고 있다고 주장하며, 폴리곤, 옵티미즘, 체인링크, 더 그래프, 신세틱스, 메이커다오와 같은 프로토콜에서 250억 달러 이상의 사용자 자금이 도난당하는 것을 방지했다고 밝혔다. 이뮨파이가 중개한 최고액의 화이트햇 해커 바운티는 웜홀의 크로스체인 프로토콜에서 발견된 취약점에 대한 1000만 달러의 보상이었다.

그러나 암호화폐 업계의 윤리적 해킹 노력에도 불구하고, 더 블록의 데이터 대시보드에 따르면 지난 4년간 DeFi 공격자들에 의해 34억 달러 이상의 자금이 도난당했다.

이뮨파이는 3월 보고서에서 올해 1분기에만 해킹과 사기로 인한 암호화폐 손실액이 3억 3600만 달러에 달했다고 밝혔다.

주목받는 화이트햇 해킹

수요일, 크라켄이 한 블록체인 보안 회사의 연구원들이 버그 공개와 관련해 자사 지갑에서 거의 300만 달러를 인출하고 자금 반환을 거부했다고 주장하면서 화이트햇 암호화폐 업계가 들썩였다.

서티크(CertiK)는 나중에 그 회사라고 밝히며, 크라켄의 보안팀이 개별 직원들에게 6시간이라는 '비합리적인' 시간 내에 '불일치하는' 암호화폐 금액을 상환하라고 '위협'했으며 상환 주소도 제공하지 않았다고 주장했다.

서티크는 자사 기록에 따라 크라켄이 접근할 수 있는 계정으로 자금을 이체하고 있다고 말했다. 한편 암호화폐 커뮤니티는 서티크가 제시한 사건 타임라인이 온체인 활동과 일치하지 않으며, 인출과 관련된 주소들이 미국의 제재 대상인 토네이도 캐시 믹서와도 상호작용하고 체인지나우를 사용해 자산을 스왑했다고 주장했다. 이는 화이트햇 해커들의 전형적인 활동 패턴이 아니다.

서티크는 이러한 주장에 대한 더 블록의 논평 요청에 응답하지 않았다.