의미 퇴색된 ‘버그 바운티’…올해 가상화폐 공격 피해액 487억 달러↑

입력 2022-12-27 17:21

  • 작게보기

  • 기본크기

  • 크게보기

화이트해커 제보에 지급하던 버그 바운티…해커 협상금 ‘의미 퇴색’
“탈취금 일부라도 받기 위해 제안·협상…불법 규정도 어려운 상황”
올해 피해액만 487억 달러 이상…테라·루나 제외해도 87억 달러

(출처=댑레이더)

올해 가상자산 업계 공격으로 인한 피해액은 487억 달러 이상일 것으로 집계됐다. 이와 함께 ‘버그 바운티’의 의미마저 퇴색되며 공격자 및 해커들은 막대한 이익을 챙겨가고 있다.

27일 가상자산 업계에 따르면, 최근 V1, V2 프로토콜에 대한 플래시론 공격을 받은 디파이 프로토콜 ‘디프로스트 파이낸스’가 해커로부터 V1 프로토콜의 도난 자금을 반환받은 것으로 알려졌다. 디프로스트 측이 지난 23일 플래시론 공격 이후 해커에게 총액의 20%를 지급하는 조건으로 반환을 요청한 바 있는 만큼, 일부 금액이 해커에게 ‘버그 바운티’ 명목으로 제공됐을 가능성이 크다.

앞서 이달 16일에는 솔라나 기반의 자동화 마켓 메이커(AMM) ‘레이디움’이 취약점 공격(잇스플로잇)에 노출돼 약 439만 달러를 도난당했다. 이에 레이디움 측은 해커에 최초 17일에는 10%, 21일에는 15%의 버그 바운티 제안했다. 다만, 아직까지 해커의 신원을 파악하거나 해커로부터 도난 자금을 반환받지는 못한 것으로 알려졌다.

기존의 ‘버그 바운티’는 기업이 자사 서비스 및 제품의 취약점을 찾아 제보하는 화이트해커에게 포상금을 주는 제도다. 국내에선 삼성과 네이버, 카카오, 토스 등이 버그 바운티를 실시하고 있다. 최근에는 빗썸, 업비트 등 가상자산 거래소들도 버그 바운티 제도를 도입했다.

그러나 가상자산 업계에서는 ‘버그 바운티’가 제보에 대한 포상이 아닌, 해킹에 대한 협상금을 뜻하는 경우가 많다.

업계 한 관계자는 “DAO(탈중앙화조직)가 있는 곳이면, 예를 들어 해커가 지급 비율을 60%로 정해 안건을 올린다”라면서 “해킹을 당한 입장에선 40%라도 돌려받고 싶으니 안건을 통과시키는 게 현실이고, 그마저도 돌려주지 않는 경우도 많다”라고 설명했다. 그는 이어 “관련 법이 명확하지 않은 상황이라 가상자산 익스플로잇(취약점 공격)을 명백한 불법으로 규정하기도 힘든 상황”이라고 덧붙였다.

한편, 해커가 탈취한 자금으로 인질극을 벌이고 ‘버그 바운티’를 포상으로 가져가는 가운데, 올해 가상자산 해킹 및 사고 등으로 인한 피해액은 역대 최대가 될 전망이다.

가상자산 데이터 업체 댑레이더가 지난 21일 공개한 ‘2022년 디앱 산업 보고서’에 따르면, 올해 해킹, 취약점 공격, 러그풀, 파산 등으로 인해 발생한 피해액은 487억4000만 달러로 나타났다. 5월 발생한 400억 달러 규모 테라·루나 사태를 제외해도 약 87억 달러에 달한다. 해킹 피해는 한 달 평균 25건이 발생했고, 건당 피해액은 약 28만 달러다.

댑레이더는 “올해 중앙화거래소·디파이가 가장 큰 해킹 피해를 발생시킨 플랫폼”이라면서, 탈중앙화 플랫폼이 이런 위험을 줄일 수 있다고 설명했다. 다만 “더 나은 보안과 제어 기능을 제공할 수 있지만, 사용자에 높은 수준의 기술 지식을 요구하며 사용도 더 복잡할 수 있다”라고 덧붙였다.

  • 좋아요0
  • 화나요0
  • 슬퍼요0
  • 추가취재 원해요0
주요뉴스
댓글
0 / 300
e스튜디오
많이 본 뉴스