암호화폐 생태계에 대한 사이버 공격으로 인한 총 손실 규모가 15억 달러에 달하면서 심각한 보안 취약점이 드러났으며, 이는 버그 바운티 프로그램 강화의 시급성을 강조하고 있습니다.
암호화폐 산업은 점점 더 증가하는 사이버 공격에 직면하고 있으며, 2월 한 달 동안 약 15억 달러의 손실이 발생했습니다. 2023년 3월 3일 블록체인 보안 기업 CertiK의 보고서에 따르면, 이는 역대 최대 손실 규모를 기록한 것으로, 많은 거래소와 전자지갑의 보안 시스템에 여전히 심각한 취약점이 존재함을 보여줍니다.
주목할 만한 점은 바이비트(Bybit) 거래소 해킹 사건이 전체 손실의 대부분을 차지했다는 것으로, 이는 시급히 해결해야 할 시스템적인 문제를 반영하고 있습니다.
보안 기업 FearsOff의 운영 책임자이자 경험 많은 화이트 해커인 Marwan Hachem은 현재의 버그 바운티 프로그램이 최고 수준의 보안 전문가들을 유치하기에는 충분히 매력적이지 않다고 지적했습니다. 그는 바이비트 해킹 사건의 원인이 버그 바운티 프로그램의 범위를 벗어난 취약점에서 비롯되었으며, 이로 인해 화이트 해커들이 문제를 발견해도 보고할 동기가 부족했다고 설명했습니다.
구체적으로, 바이비트의 멀티시그 지갑 제공업체인 Safe의 버그 바운티 프로그램은 사용자 인터페이스(UI) 및 백엔드 관련 오류를 포함하지 않아, 해커들이 이를 악용할 수 있었습니다. 또한 최대 보상 금액이 Bybit에서 4,000달러, HackerOne에서 10,000달러로 너무 낮아 화이트 해커들의 동기를 저하시켰습니다.
Hachem은 사고 발생 후 보상금을 지급하는 것보다는 초기부터 버그 바운티 보상을 더 높게 책정하는 것이 중요하다고 강조했습니다. 이를 통해 취약점이 해커들에 의해 악용되기 전에 발견되고 해결될 수 있습니다.
버그 바운티 프로그램 개선 외에도 CertiK은 거래소들이 더 강력한 보안 조치를 취할 것을 권고했습니다. 이에는 오프라인 거래 서명 장치 사용, 격리된 운영 체제 환경 구축, 대규모 거래에 대한 강화된 인증 절차 적용 등이 포함됩니다. 또한 정기적인 보안 점검과 피싱 공격 시뮬레이션도 사회 공학적 위험을 줄이는 데 도움이 될 것으로 제안되었습니다.
CertiK에 따르면, 바이비트 해킹 사건은 피싱 공격에서 비롯되었으며, 멀티시그 거래 승인자들이 악성 계약을 실수로 승인함으로써 해커들이 자금을 빼냈습니다.
