에어스왑, 취약점 제보 시 최대 2만 달러 포상

이더리움(ETH) 탈중앙 거래소 프로토콜 에어스왑(AirSwap)이 최대 2만 DAI(2만 달러 상당)의 포상금을 건 취약점 제보 포상 프로그램을 시행한다고 발표했다. 기간은 지금부터 시작되어 종료시한 없이 계속된다.

12월 4일, 에어스왑 팀은 이 취약점 제보 포상금 액수가 발견되는 취약점의 중대성에 좌우될 것이라고 말했다. 이는 OWASP 위험 등급 방법에 따라, 그리고 에어스왑 팀의 판단에 따라 결정된다.

에어스왑 취약점 제보 포상금은 낮은 수준의 수정사항일 경우에는 최대 250 DAI, 높은 수준의 수정사항일 경우에는 최대 2,000 DAI가 주어진다. 에어스왑 팀이 위험의 중대성이 치명적인 수준에 이르렀다고 판단할 경우, 포상금은 최대 2만 DAI까지 올라간다.

지난 9월, 에어스왑 팀은 이 시스템의 새로운 스마트 컨트랙트에서 중대한 취약점을 발견했다고 발표했는데, 이 문제가 감지된 후 즉시 구 버전으로 다운그레이드 했다고 한다.

에어스왑은 당시에 자신들의 Instant나 Trader 제품 어느 쪽도 해당 취약성의 영향을 받지 않았으며, 자금 손실을 막기 위한 조치가 필요했던 것은 단지 9개 주소의 소유자들뿐이었다고 말했다.

암호화폐 취약점 제보 포상금의 규모

암호화폐 분야에서의 해킹은 수억 달러 상당의 토큰이 도난 당하는 결과를 가져올 수 있으므로, 암호화폐 회사들은 자신들의 보안 시스템에 실질적인 위협을 가하는 해커들과 싸우기 위해 취약점 제보 프로그램을 이용하는 경우가 많다.

이들은 종종 엄청난 포상금을 내거는데, 그 액수는 제보되는 취약점의 심각성에 따라 달라진다. 즉, 낮은 수준의 수정사항일 경우에는 50달러~100달러에 불과할 수 있지만, 중요한 버그일 경우에는 1만 달러가 넘어갈 수도 있다. 

포상금 5만 달러로 잡은 치명적인 버그!

지난 10월에 메이커다오(MakerDAO)는 모든 플랫폼 사용자의 자금을 완전히 손실하게 될 수도 있는 극히 중요한 버그를 수정해야 했다. HackerOne 사용자인 Lucash-dev가 메이커다오가 계획했던 업그레이드에 존재하는 치명적인 버그에 대한 보고서를 공개해 5만 달러의 포상금을 받았는데, 이는 메이커다오의 포상금 프로그램에서 처음으로 발견된 중요 버그였다.