암호화 산업 최고의 화이트 해커 samczsun은 어떻게 탄생했는가?

저자: 구위, 체인캐처

"U up?"（너 일어나 있어?）

이 질문은 samczsun의 문의로, 모든 DeFi 프로젝트 팀이 가장 두려워하는 메시지 중 하나입니다. 이는 samczsun이 해당 프로젝트의 스마트 계약에 심각한 취약점이 있음을 발견했음을 의미할 가능성이 높기 때문입니다. 사용자 자산이 언제든지 해커에게 도난당할 수 있습니다.

암호화 세계에서는 다양한 프로토콜의 스마트 계약 취약점이 빈번하게 발생하며, 해커들에게 매력적인 "먹잇감"이 되고 있습니다. Footprint Analytics에 따르면, 2021년에는 최소 90개의 DeFi 프로젝트가 다양한 공격을 받았으며, 초기 손실 금액은 10억 달러를 초과하여 일반 사용자에게 큰 손실을 안겼습니다. 그러나 해커들이 마음껏 행동하는 동안, 많은 화이트 해커들이 프로젝트 팀이 스마트 계약의 취약점을 사전에 발견하도록 돕고 있습니다.

samczsun은 암호화 산업에서 가장 유명한 화이트 해커로, 그 누구와도 비교할 수 없습니다. 지난 몇 년 동안, samczsun은 프로젝트 팀에 개인 메시지를 통해 최소 20개 이상의 프로젝트에서 시스템 취약점을 사전에 발견하도록 도와주었으며, 수억 달러의 손실을 방지했습니다. 여기에는 Sushiswap, ENS, Rari, Tokenlon 등이 포함됩니다.

samczsun의 공식 신분은 유명한 암호화 벤처 캐피탈 기관 Paradigm의 연구 파트너로, Paradigm의 포트폴리오 회사 및 보안과 관련된 주제에 대한 연구에 집중하고 있습니다. 그의 모든 공개 발언은 거의 암호화 프로젝트의 취약점에 대한 보고서와 분석으로, 암호화 생태계의 건강한 발전을 보호하기 위한 것입니다.

samczsun은 투자 포트폴리오 회사가 새로운 코드를 발표할 계획을 우선적으로 검토하겠다고 밝혔지만, 그가 취약점을 공개한 프로젝트의 대부분은 Paradigm의 포트폴리오 프로젝트가 아닙니다. 예를 들어 Sushiswap, ENS, ForTube, Tokenlon 등이 있으며, 이는 그가 DeFi 생태계 및 암호화 산업의 보안 분야에 가장 큰 기여를 하고 영향력이 높은 인물 중 하나가 되도록 만들었습니다.

Dragonfly Capital의 파트너 Haseeb는 최근 인터뷰에서 samczsun이 Web3에서 가장 똑똑한 사람이라고 생각한다고 언급했습니다. Paradigm의 또 다른 파트너 Dan Robinson은 그를 암호화 산업의 배트맨이라고 부릅니다. 암호화 생태계에서 대규모 자금이 위험에 처할 때마다 배트 신호가 발신되며, samczsun이 상황을 구하기 위해 등장합니다.

그렇다면 samczsun은 어떻게 오늘날의 최고의 화이트 해커가 되었을까요? 체인캐처는 본문에서 공개 자료를 통해 그의 과거 경험을 대략 정리하고 요약하겠습니다.

samczsun의 소셜 미디어 자료에 따르면, 그의 가장 초기의 온라인 활동은 2014년 11월로, 그는 그 달에 Github에 가입하고 11-12월 동안 114개의 기여를 했습니다.

samczsun의 최초로 추적 가능한 취약점 탐지 기록은 2016년 1월로, 당시 그는 트위터 @Enjin 공식 트위터에 심각한 보안 문제가 해결되어야 한다고 언급했으며, 이후 Enjin 공식 트위터가 답변하고 보고서 제출 링크를 제공했습니다. 이 Enjin은 현재 인기 있는 NFT 게임 플랫폼 Enjin이지만, 당시에는 암호화 및 NFT 분야에 진입하지 않았습니다.

2017년, samczsun은 취약점 보상 플랫폼 Hackerone에 여러 프로젝트의 취약점을 제출했으며, 인도판 메이투안 Zomato, 법률 계약 분석 회사 Legal Robot 등을 포함했습니다. 그는 블로그에 여러 취약점 분석 기사를 발표했습니다.

samczsun이 DeFi 프로토콜의 취약점을 공개적으로 조사한 것은 2019년 7월로, 그는 0x 프로토콜에 존재하는 스마트 계약의 취약점을 공개했습니다. 이 취약점은 악의적인 행위자가 승인된 0x 계약을 대신하여 자산을 사용하는 외부 소유 계정(EOA)을 통해 유효한 주문을 생성할 수 있게 했습니다. 프로젝트 팀은 취약점을 수정하기 위해 프로토콜을 종료해야 했고, 0x v2.1 스마트 계약을 처음부터 다시 배포해야 했습니다. 이 취약점 사건에서 samczsun은 10만 달러의 보상을 받았습니다.

samczsun은 이후 공식적으로 화이트 해커의 길을 시작하며, 상당히 높은 생산성의 취약점 연구로 DeFi 산업에서 빠르게 유명해졌습니다.

그 후 1년 동안, 2020년의 "De-Fi 여름" 열풍과 함께, samczsun은 ENS, Livepeer, bZx Network, Curve Finance 등 많은 암호화 프로젝트의 잠재적 취약점을 발견했습니다.

그 중 Curve Finance의 취약점은 누구나 해당 취약점을 이용해 스마트 계약을 고갈시킬 수 있게 했고, ENS 취약점은 ENS 사용자가 특정 방식으로 소유권을 다른 사람에게 양도한 후 다시 소유권을 회수할 수 있게 했습니다. 이러한 취약점은 프로젝트 발전에 중대한 부정적 영향을 미칠 수 있는 것으로, samczsun의 기여가 얼마나 큰지를 보여줍니다.

"소프트웨어를 구축하는 데 있어 일반적인 오해는 시스템의 모든 구성 요소가 개별적으로 안전하다고 검증되면 시스템 자체도 안전하다는 것입니다. 이 신념은 DeFi에서 가장 잘 설명됩니다. DeFi에서 조합 가능성은 개발자의 제2의 본능입니다. 불행히도, 두 구성 요소를 조합하는 것이 대부분의 경우 안전할 수 있지만, 단 하나의 취약점만으로 수백 또는 수천 명의 무고한 사용자에게 심각한 경제적 손실을 초래할 수 있습니다." samczsun은 많은 DeFi 프로젝트의 취약점을 발견한 후 이렇게 요약했습니다. "안전한 구성 요소도 함께 모여 특정 것을 불안전하게 만들 수 있습니다."

2020년 초, samczsun은 Gitcoin 플랫폼에서 보조금을 시작했으며, Gitcoin의 다섯 번째 라운드 보조금 활동에서 가장 많은 자금을 모은 대상이 되었습니다. 같은 시기에, samczsun은 암호화 보안 회사 Trail of Bits에 보안 엔지니어로 합류했습니다.

2020년 9월, 이미 DeFi 보안 분야에서 꽤 유명한 samczsun은 Paradigm 창립자의 초청으로 해당 투자 기관의 연구 파트너가 되어 "잠재적 포트폴리오 회사의 보안 상태를 평가하고, 현재 포트폴리오 회사를 지원하며, 이더리움 생태계의 전반적인 보안을 추진하는" 역할을 맡았습니다.

이더리움 실행 계층 취약점 보상 순위

그 후 지금까지 samczsun은 Alpha Homora, DODO, Rari, Tokenlon, ForTube, BendDAO 등 프로젝트에 대한 취약점 공개 관행을 계속하고 있으며, Rari 코드 취약점은 Fuse 풀의 모든 대출 가능한 자산이 도난당할 수 있는 가능성이 있습니다. 이더리움 재단이 발표한 이더리움 실행 계층 취약점 보상 순위에서 samczsun은 오랫동안 1위를 차지하고 있습니다. 또한, samczsun은 dYdX, Gelato Network 등 프로젝트 팀이 긴급하게 취약점 사건을 처리하도록 도왔습니다.

그 중 samczsun의 명성을 크게 높인 사례는 MISO 취약점 사건으로, 프로젝트 팀이 최대 3.5억 달러의 자금 손실을 피하도록 도왔습니다.

2021년 8월 17일, samczsun이 SushiSwap IDO 플랫폼 MISO가 역사상 최대 규모의 IDO(BitDAO)를 진행하고 있다는 것을 알게 되었을 때, 그는 Etherscan에서 MISO의 스마트 계약을 열어보았고, 곧 initMarket 기능에 접근 제어가 없고 initAuction 호출의 함수에도 접근 제어 검사가 포함되어 있지 않다는 것을 발견했습니다.

구체적으로, 이 취약점은 MISO가 네덜란드식 경매에서 실패한 거래를 잘못 처리하게 하여, 스마트 계약이 경매 토큰 한도를 초과하는 거래를 거부하지 않고, 오히려 경매가 끝난 후 사용자에게 환불하게 만듭니다. 따라서 공격자는 MISO 플랫폼의 취약점을 이용해 무료로 경매에 참여하고, 제출 금액과 현재 입찰가 간의 차액을 환불받아 계약 내 모든 자금을 고갈시킬 수 있습니다. 즉, 이 취약점은 해당 프로젝트가 모집한 10.9만 ETH(당시 가치 3.5억 달러)를 초과하는 자산이 도난당할 위험에 처하게 합니다.

취약점의 심각성을 인식한 samczsun은 Sushi 팀에 연락하여 구체적인 취약점을 알리는 전화 회의를 진행한 후, 프로젝트 팀과 긴밀히 소통하여 스마트 계약 내 자금을 긴급 처리했습니다. 결국 3시간 내에 이 위기를 해결했습니다. 사건 후, samczsun은 Sushi 팀으로부터 100만 USDC의 보상금을 받았습니다.

사건 후 Immunefi와의 인터뷰에서 samczsun은 이번 취약점을 발견한 심정을 "흥분과 두려움의 이상한 조합"이라고 묘사했습니다. "흥분은 당신이 찾고 있던 것을 방금 발견했기 때문입니다. 두려움은 시계가 똑딱거리고 있고, 매초 다른 사람들이 같은 오류를 발견할 수 있기 때문입니다. 내 심박수는 위험의 양에 비례합니다."

이번 사건을 통해 samczsun의 영향력은 보안 분야에서 암호화 산업 전체로 확장되었으며, 그는 업계에서 가장 유명한 화이트 해커이자 암호화 보안 연구자가 되었습니다.

그러나 samczsun의 두드러진 기여는 암호화 보안 생태계가 여전히 상당히 취약하다는 불안하고 잔혹한 사실을 암시합니다. samczsun과 같은 소수의 화이트 해커들이 높은 산업 책임감과 도덕성을 가지고 프로젝트 팀에 취약점을 공개하는 선택을 하지만, 대부분의 해커들은 취약점을 발견한 후 적극적으로 공격하여 더 많은 이익을 추구합니다.

이로 인해 올해 들어 다양한 보안 사고가 암호화 산업에서 계속 발생하고 있으며, Ronin 크로스 체인 브릿지에서 6억 달러 이상이 도난당하고, Rari Capital에서 8000만 달러가 도난당하는 사건(이전에 samczsun이 해당 프로젝트의 중대한 취약점을 보고하고 수정했음에도 불구하고), Beanstalk Farms에서 8000만 달러 이상이 도난당하는 사건 등이 암호화 커뮤니티의 신뢰를 계속해서 흔들고 있습니다.

samczsun의 모든 기여는 산업의 행운이지만, 동시에 산업의 슬픔을 반영합니다.

주: samczsun이 암호화 산업 해커 생태계를 어떻게 이해하고, 어떻게 구체적으로 취약점을 발굴하는지에 대한 내용은 《대화 "암호화 배트맨" samczsun: 화이트 해커가 되는 것은 어떤 경험인가?》를 참조하시기 바랍니다.