[블록미디어 지승환 기자] 슈퍼폼(Superform)이 웹3 보안 플랫폼 칸티나(Cantina)와 협력해 스마트 컨트랙트 취약점 점검을 위한 버그 바운티 프로그램을 진행한다고 14일(현지시각) X(옛 트위터)를 통해 밝혔다.
이번 프로그램은 지난 1일부터 개시됐으며, 슈퍼폼 v2 스마트 컨트랙트 내에 존재하는 미지의 취약점을 선제적으로 발견해 프로토콜의 보안성을 높이기 위해 마련됐다. 화이트햇(보안 연구원)을 대상으로 진행되는 이번 버그 바운티의 최대 보상 액수는 핵심(Critical) 취약점 제보시 받을 수 있는 10만 유에스디코인(USDC)과 시스템 고유 토큰인 UP이다. 고위험(High) 취약점 제보자에게는 2만 USDC와 UP 토큰이 지급되며, 중간 위험도(Medium) 취약점은 재량에 따라 UP 토큰으로만 보상이 지급된다.
취약점 점검 대상은 슈퍼폼 v2 스마트 컨트랙트 전반이다. 슈퍼폼은 자산을 여러 수익 전략에 배분하는 ‘슈퍼볼트(SuperVault)’ 인프라를 운영하고 있다. 주당가격(PPS) 회계는 오라클과 이중 머클 훅 검증을 통해 처리된다.
프로토콜 측이 정의한 핵심 취약점은 △특권 권한 없이 내부 자산을 직접 탈취하는 행위 △자금을 영구적으로 동결시키는 결함 △PPS 오라클 서명 및 검증 우회 △이중 머클 훅 검증 우회 등이다. 가동 유지 자금 무단 인출이나 수수료 및 이자 탈취, 48시간 이상의 자금 일시 동결 등은 고위험 취약점으로 분류돼 평가된다.
보상 자격을 얻으려면 파운드리(Foundry) 또는 하드햇(Hardhat) 환경에서 로컬 포크를 통해 재현 가능한 개념증명(PoC) 코드를 필수로 제출해야 한다. 실제 메인넷이나 슈퍼폼이 운영하는 테스트넷 인프라를 대상으로 테스트를 수행하는 행위는 엄격히 금지된다.
제보자는 이전에 공개되지 않은 취약점을 최초로 접수해야 하며, 보상 집행 전 고객신원확인(KYC) 절차를 완료해야 한다. 또 슈퍼폼 측의 서면 동의 없이 취약점 내용을 외부에 임의로 공개하거나 제3자에게 누설해서는 안 된다. 현재 칸티나 플랫폼을 통해 접수된 누적 제보 건수는 총 70건이다.
관련 기사
