안전 분야의 집단 지혜: 커뮤니티 주도의 보상 및 감사 시장

저자: Ray, IOSG Ventures

서문

블록체인은 대규모 컴퓨터 시스템으로, 현재 시스템의 복잡성은 5년 전 수준을 훨씬 초과하였으며, 인프라의 모듈화 정도가 더욱 세분화되고, 애플리케이션 계층의 스마트 계약 논리가 점점 더 풍부해지고 있으며, 계약 간의 상호작용이 매우 빈번해지고 있습니다. 더 중요한 것은 블록체인 시스템이 관리하는 자산의 수량이 이미 매우 방대해졌기 때문에 최근 블록체인 보안 커뮤니티에서 보안 주기에 대한 논의가 많아졌습니다(상황은 2017년과 같으며, 사람들이 보안을 언급할 때 개발자가 계약을 작성한 후 이더리움 재단의 친구에게 보여주고 기본적인 테스트를 하는 것만을 생각합니다).

블록체인 프로그램의 전체 보안 생애 주기(테스트, 제3자 감사 초청, 사후 모니터링, 감사 업데이트 등)에서, 버그 바운티 커뮤니티는 게임 이론과 집단 작업을 통해 화이트 해커들이 프로젝트 측의 코드를 마지막으로 검토하도록 유도하는 안전 패드와 같은 역할을 합니다. 또한 스마트 계약 보안 작업자는 버그 바운티가 방어선의 마지막 사람처럼 느껴지기도 하지만, 저는 버그 바운티와 감사 경연이 미래에 더 큰 가치를 발휘할 잠재력이 있다고 생각하며, 전체 보안 생애 주기를 관통하는 역할을 하여 시스템의 전반적인 보안성을 향상시킬 수 있습니다.

물론 전통적인 사이버 보안 분야에도 버그 바운티 프로그램(Bug Bounty 또는 Vulnerability Rewards)이 존재합니다. 우선, 주요 기술 기업인 Facebook, Google, Microsoft 등은 자사의 인하우스 보안 팀과 제품 라인에 대해 바운티 프로그램을 배포합니다. 둘째, 2015년경부터 HackerOne과 Bugcrowd를 대표로 하는 버그 바운티 제3자 플랫폼이 등장했습니다. 현재 이 두 개의 선도적인 보안 회사는 바운티를 지급하고 수수료를 추출하여 연간 수익이 각각 거의 5천만 달러와 2천만 달러에 이를 수 있습니다. 블록체인 세계에서 바운티는 보안 커뮤니티에서 자주 논의되는 흥미로운 주제입니다. 그 주요 이유는 블록체인 코드의 오픈 소스화가 해커의 공격 및 공격 전략 향상 비용을 더욱 저렴하게 만들었고, 더불어 암호화 세계가 집단 작업, 창작자 및 소유 경제의 개방적 기여 모델을 매우 장려하기 때문에, 이러한 모든 요소가 더 개방적인 화이트 해커 경제 모델의 가치를 더욱 높이고 있습니다.

버그 바운티와 감사 경연이란 무엇인가? 우리는 왜 그것들이 필요한가?

보안은 공격자와 방어자 간의 동적 게임 과정입니다. 컴퓨터 보안 전문가이자 암호학자인 Bruce Schneier가 말했듯이 "보안은 제품이 아니라 과정이다. 그것은 사고 방식이며, 소프트웨어 개발 과정의 모든 측면에 걸쳐야 한다." 블록체인 세계에서 모든 코드가 오픈 소스이고 투명한 어두운 숲 속에서, 장기적으로 생존하고자 하는 블록체인 프로젝트는 자신의 제품/계약의 보안성에 대한 영원한 수요가 있을 것입니다. 대부분의 블록체인 제품은 어느 정도 금융 속성을 가지고 있으며, 금융에서 가장 중요한 자산은 신뢰입니다. 그러나 사용자의 신뢰는 단 한 번만 존재합니다.

그렇다면 전통적인 감사의 부족한 점과 문제는 무엇인가요? 커뮤니티 주도의 버그 바운티와 감사 경연은 이러한 문제를 어떻게 보완할 수 있을까요?

감사 서비스를 사용하는 개발자들은 종종 다음과 같은 문제를 발견합니다:

• 제3자 감사 회사의 서비스를 구매하더라도, 코드가 감사 후에도 문제가 발생하는 경우가 있습니다. 이러한 문제의 원인은 다양하지만(기술적, 비기술적), 결국 한 감사 회사에 의존하는 것이 완전히 신뢰할 수 없다는 것을 보여줍니다. 코드 감사의 품질은 여전히 감사자의 수준에 달려 있으며, 고객은 종종 "누가 더 좋은가"를 구별할 능력이 부족합니다.
• 반면, 바운티 플랫폼과 감사 경연은 보다 개방적인 "샌드박스"로서, 프로젝트 코드를 화이트 해커들이 자유롭게 검토할 수 있게 합니다. 배경은 제한이 없으며(전문 감사 회사의 직원일 수도 있고, 프리랜서 보안 분석가일 수도 있습니다), 무기고도 제한이 없습니다. 고객이 해야 할 일은 합리적인 보상을 설정하고, 화이트 해커가 문제를 발견했을 때 그들의 기여에 대해 보상하는 것입니다.
• 일반적으로 고객은 화이트 해커가 검토해야 할 코드를 제출하고, 취약점의 보안 수준(일반적으로 발생할 수 있는 경제적 손실과 관련이 있으며, 경제적 손실을 직접 초래할 가능성이 높은 취약점일수록 심각도가 높음), 보상의 예산, 테스트 코드 범위 및 테스트 단계를 정의합니다.

시장 규모는 얼마나 큰가?

바운티 플랫폼과 감사 경연의 비즈니스 모델은 일반적으로 고객이 지급하는 보상 또는 설정된 총 보상 풀에서 일정 비율을 플랫폼 서비스 수수료로 추출하는 것입니다. 코드 보안 감사에 대한 수요가 있는 고객(프로젝트 측)은 자신의 요구에 따라(어떤 코드가 감사 범위에 포함되어야 하는지, 취약점의 심각도를 어떻게 정의할 것인지, 얼마나 많은 보상을 지불할 의향이 있는지) 바운티 플랫폼에 자신의 계획을 발표하며, 화이트 해커들은 프로젝트 측의 요구에 따라 취약점을 찾습니다. 취약점이 화이트 해커에 의해 발견되고 프로젝트 측의 요구를 충족하면 보상이 화이트 해커에게 지급되며, 바운티 플랫폼은 그 중에서 수수료를 추출하여 서비스 수수료로 삼습니다.

Web2 전통 사이버 보안 분야에서 버그 바운티 플랫폼은 비교적 젊은 방향(2012년 이후 등장)이며, 현재 가장 큰 버그 바운티 플랫폼은 HackerOne과 Bugcrowd입니다. 2022년 HackerOne의 연간 수익은 5,800만 달러에 달했으며, 회사 가치는 약 5억 달러에 이르렀고, 역사적으로 지급된 보상은 2억 3천만 달러(2021, 2022년 두 해 동안 지급된 보상은 1억 5천만 달러)이며, 65,000개 이상의 소프트웨어 취약점을 발견하고, 등록된 해커 수는 100만 명을 초과하며, 매달 HackerOne 서비스를 사용하는 고객 수는 1,000개 이상입니다. 그 경쟁자인 Bugcrowd는 2022년 수익이 2,000만 달러를 초과했습니다.

Web3 보안 분야에서 2022년 모든 web3 버그 바운티 및 감사 경연 플랫폼은 화이트 해커에게 총 5천만 달러의 보상을 지급했으며, 이러한 플랫폼의 평균 수수료 수준은 약 10%~30%입니다. 따라서 현재 시장 규모는 보수적으로 $5m~$15m 정도로, 여전히 매우 신흥 시장입니다.

또한 흥미로운 점은 점점 더 많은 고객이 이러한 탈중앙화 보안 커뮤니티에서 제공하는 코드 감사 서비스를 직접 사용하고 싶어한다는 것입니다. 가장 유명한 예는 Opensea가 새로운 플랫폼 Seaport를 출시하기 전에 일반적으로 제3자 감사 회사를 직접 찾지 않고, 현재 가장 큰 탈중앙화 감사 경연 플랫폼인 Code4Rena를 선택하고 100만 달러의 보상 풀을 설정한 것입니다. 전통적인 보안 감사 시장이 점점 더 치열해지는 오늘날(인력 자원, 기술 도구, 시장 BD 경쟁), 탈중앙화 보안 서비스가 이 시장의 중요한 증가 요소가 될 수 있을까요? (현재 시장에는 56개의 감사 회사가 있으며, 상위 회사는 지난해 수익이 1천만 달러~4천만 달러에 이릅니다. 저는 탈중앙화 보안 시장의 상상 공간이 매우 크다고 생각합니다).

버그 바운티 플랫폼 vs 감사 경연 플랫폼

버그 바운티 플랫폼은 web2에서도 10년의 발전 역사를 가지고 있지만, 감사 경연 플랫폼은 web3 네이티브의 신선한 개념입니다. 감사 경연 서비스의 대상은 곧 출시될 제품이나 특정 추가 기능을 가진 프로젝트 측으로, 탈중앙화 커뮤니티의 힘을 통해 특정 시간(2주 이상) 내에 감사 서비스를 완료하도록 돕습니다. 이러한 관점에서 감사 경연은 전통적인 감사 회사에 상당한 상업적 위협을 줄 것입니다.

다음은 참여 방식, 보상 구조, 테스트 범위 세 가지 측면에서 이 두 플랫폼의 차이를 보여줍니다:

참여 방식

버그 바운티 플랫폼(예: Immunefi)에서는 일반적으로 오픈 프로젝트가 있으며, 누구나 참여할 수 있습니다. 참여자는 독립적으로 탐색하고 취약점을 보고하여 보상을 받습니다. 만약 두 사람이 동일한 중복 취약점을 발견하면, 선착순 원칙에 따라 먼저 보고한 사람이 먼저 보상을 받습니다.

커뮤니티 주도의 감사 경연 플랫폼(예: Code4rena, Sherlock)은 일반적으로 시간 제한이 있으며, 참여자들은 특정 시간 범위 내에서 경쟁하여 취약점을 찾고 보고합니다. 버그 바운티 플랫폼에 비해 일부 팀 협력이 있을 수 있으며(각 프로젝트에는 명확히 배정된 리드 수석 감사자와 리드 심사위원이 있어 모든 감사 결과를 검토하고 정리하여 감사 보고서를 고객에게 제출하며, 이 두 리더는 커뮤니티 선거 및 경연 경쟁의 탈중앙화 원칙을 따릅니다). 또한 정해진 시간 내에 두 감사 경쟁자가 중복 취약점을 발견하면 두 사람 모두 보상을 받을 수 있습니다.

보상 구조

두 플랫폼 모두 실제로 지급되는 보상은 발견된 취약점의 심각도를 주로 고려합니다.

유일한 차이점은 Code4Rena와 같은 커뮤니티 주도의 감사 경연 플랫폼에서는 각 프로젝트의 보상 풀의 일부(5%~10%)가 리드 수석 감사자와 리드 심사위원에게 고정 배분된다는 것입니다. 그들은 사실상 전통적인 감사 회사의 프로젝트 책임자의 역할을 수행합니다.

또한 흥미로운 점은 버그 바운티 플랫폼에서 프로젝트 측이 때때로 프로젝트 토큰을 보상으로 제공하지만, 일부 화이트 해커는 가격 변동이 있는 프로젝트 토큰보다 USDC, USDT와 같은 스테이블 코인을 선호하는 경우도 있다는 것입니다.

범위와 초점

버그 바운티 플랫폼의 프로젝트는 일반적으로 범위가 넓은 반면, 감사 경연의 프로젝트는 특정 기능이나 측면에 더 집중된 범위를 가지며, 화이트 해커들이 짧은 시간 내에 작업을 완료하는 데 집중해야 합니다.

감사 경연에 집중하는 프로젝트

Code4Rena - 전자 스포츠와 유사한 커뮤니티 주도의 감사 경연 플랫폼

Code4Rena에는 세 가지 역할 유형이 있습니다:

1. 감사자(Wardens)는 코드를 감사합니다. 전문 보안 엔지니어부터 더 많은 경험을 얻고자 하는 신입 개발자까지, 누구나 감사자로 등록하여 공개 감사 경연에 참여할 수 있습니다.

2. 심사위원(Judges)은 일반적으로 C4 커뮤니티에서 가장 뛰어난 엔지니어입니다. 그들은 취약점의 심각도, 유효성 및 품질을 결정하고 감사자의 성과를 평가합니다.

3. 후원자(Sponsors)는 Opensea, Blur, ENS, Chainlink 등과 같은 프로젝트 측으로, 그들은 감사자가 그들의 프로젝트 코드를 감사하도록 유도하기 위해 보상 풀을 생성합니다. 후원자는 또한 개인 초대만을 위한 비공식 경연을 개최하여 프라이버시를 높일 수 있습니다.

가장 흥미로운 점은 Code4Rena가 구축하고 있는 문화입니다: 협력과 팀워크를 장려합니다. 전통적인 버그 바운티 프로그램과는 달리, Code4Rena는 유효한 취약점을 보고한 모든 감사자에게 보상을 지급하여, 해당 취약점이 이미 보고된 경우에도 보상을 지급합니다. 이러한 방법은 감사자 간의 건강한 경쟁을 촉진하며, 그들은 높은 심각성과 일반적인 취약점을 찾기 위해 동기를 부여받습니다. 이 플랫폼에서는 일부 감사자 그룹이 임시 팀을 구성하여 함께 취약점을 찾습니다.

비즈니스 모델:

어떤 프로젝트든 Code4rena에서 감사 경연 프로그램을 시작하고 USDC 또는 ETH로 기본 보상 풀을 설정할 수 있습니다(일반적으로 보상 풀 규모는 $40,000~$100,000입니다). Code4rena는 기본 보상 풀에서 20%를 수수료로 수취하여 경연 조직, 평가 제공 및 감사 결과 보고서 정리 서비스 수익으로 삼습니다. 프로젝트 측은 기본 보상 풀 위에 프로젝트 토큰을 제공하여 추가 보상 풀을 설정할 수 있으며, Code4rena는 이 추가 보상 풀에서 40%의 수수료를 수취합니다.

Sherlock - 스마트 계약 보험 보장이 있는 커뮤니티 주도의 감사

Code4rena와 유사하게, Sherlock에도 감사자, 후원자 및 심사위원과 같은 역할이 있으며, Sherlock의 독특한 점은 플랫폼에서 제공하는 보험 서비스입니다. 누구나 Sherlock 플랫폼의 보험 풀에 투자할 수 있으며, 투자자는 USDC를 보험 풀에 예치하고, 프로토콜 고객은 서비스를 구매하여 스마트 계약 해킹 위험을 헤지할 수 있습니다. 보험 투자자의 수익원은 프로토콜 고객이 지급하는 보험료 + 보험 풀 자금을 다른 DeFi 풀(Aave, Compound 등)에 예치하여 얻는 이자 + Sherlock 토큰 인센티브입니다. 그러나 투자자는 수익을 얻는 동시에 보험금 지급의 위험을 감수해야 합니다.

Code4rena와는 다른 점은 플랫폼에서 제공하는 감사 서비스 수익의 분배 메커니즘입니다. Code4rena와 비교할 때, Sherlock은 수석 고급 보안 감사자와 수석 심사위원이 보상 풀에서 고정 금액(5%~10%)을 받을 수 있도록 하는 규칙이 있어 전문 고급 감사자에게 적절한 보상과 인센티브를 제공합니다. 또한 리더 역할을 선발하기 위한 선택과 경쟁 제도가 있습니다.

해커 커뮤니티를 어떻게 구축할 것인가? Web3 화이트 해커들이 가장 관심 있는 것은 무엇인가?

우리는 다양한 탈중앙화 보안 커뮤니티(ImmuneFi, Hats Finance, Code4Rena, Sherlock 등)를 관찰하고 일부 보안 기업가와 대화한 결과, 모든 탈중앙화 플랫폼이 하고자 하는 일은 더 건강하고 효율적인 소통 및 협력 플랫폼을 구축하는 것이라고 생각합니다. 바운티 플랫폼은 해커와 프로젝트 간의 마켓플레이스와 같으며, 그들은 해커의 관점에서 그들의 요구(아래 표 참조)를 고려해야 할 뿐만 아니라, 프로젝트 측의 가장 관심 있는 사항(감사 품질)도 고려해야 합니다.

출처: 《Bug Hunters' Perspectives on the Challenges and Benefits of the Bug Bounty Ecosystem》

일부 일반적인 요구 외에도, Immunefi 화이트 해커 커뮤니티(제가 가장 활발한 화이트 해커 Discord 커뮤니티라고 생각하는 곳)에서는 몇 가지 흥미로운 주제를 보았습니다.

예를 들어:

Rappie라는 화이트 해커는 그가 이전에 발견한 프로젝트 취약점을 공개하고 싶어하며, 어떤 커뮤니티 규칙을 준수해야 하는지 문의했습니다. (1. 이미 수정된 취약점만 공개할 것. 2. 공개하는 정보가 프로토콜이나 그 사용자에게 부정적인 영향을 미치지 않도록 할 것. 예를 들어, 그들이 당신의 SQL 인젝션 취약점을 수정한 후에는 그들의 전체 데이터베이스 정보를 공개하지 말 것. 3. 공개하기 전에 프로젝트 팀에 개인 메시지를 보내야 함).

Noam Yakov이라는 화이트 해커는 한 바운티 프로젝트의 정의에 의문을 제기했습니다(이는 자주 발생하는 일입니다. 일반적으로 심각한 보안 취약점을 발견해야만 보상을 받을 수 있기 때문에, 프로젝트 측이 취약점의 보안 수준을 어떻게 정의하는지가 화이트 해커들이 매우 관심을 가지는 사항입니다. 커뮤니티에서도 이러한 분쟁을 자주 듣습니다). 그는 Uniwhales의 바운티 프로젝트에서 그들이 MEV 영향을 심각한 보안 취약점으로 정의한 것에 의문을 제기했으며, 결국 모두의 논의는 이러한 설명이 모든 MEV 상황에 적합하지 않다는 것으로 귀결되었습니다. 예를 들어, 일부 독성 주문 흐름이 프로토콜 풀 자산을 고갈시킬 수 있는 경우는 분명히 심각한 보안 사고로 간주됩니다(따라서 보안 수준 프레임워크를 정의하는 것이 종종 충분하지 않으며, 일반적으로 플랫폼 내의 중재자와 유사한 역할이 실제 다양한 사례에 개입해야 합니다).

또한 "Immunefi와 같은 바운티 플랫폼에 대한 여러분의 요구와 기대는 무엇인가요?"라는 매우 흥미로운 주제에 대해 ckksec라는 화이트 해커는 다음과 같은 답변을 주었습니다: 1) 그들의 익명의 암호 화이트 해커의 노동 소득에 대한 법적 명확성을 제공하는 것, 예를 들어 세금 계산서를 발행하는 것. 2) 플랫폼은 화이트 해커들에게 평가 시스템을 제공할 뿐만 아니라, 프로젝트의 품질에 대해서도 평가해야 합니다. 왜냐하면 화이트 해커들은 종종 프로젝트 품질의 좋고 나쁨을 판단하는 데 시간을 소비해야 하기 때문입니다. 3) 자신의 프로필을 공개할 의향이 있는 화이트 해커들에게 플랫폼은 그들의 작업 흐름을 보여줄 수 있으며, 플랫폼은 또한 프로젝트 측이 받은 보안 분석 보고서 정보를 더 투명하게 보여줄 수 있어야 합니다.

어떤 도구가 화이트 해커들에게 도움을 줄 수 있을까?

LLMs GPT의 인기로 인해 최근 안전 감사가 AI에 의해 대체될 수 있을지에 대한 논의가 자주 들립니다. 제가 대화한 경험이 풍부한 보안 전문가들은 일반적으로 GPT가 인간의 지혜를 직접 대체하기는 어렵다고 생각합니다. 일부 저항이 적은 문제(쉽게 발견할 수 있는 문제)는 언어 모델이 감지할 수 있지만, 중간 및 고위험 문제는 여전히 전문가의 참여가 필요합니다. 예를 들어, 한 경험이 풍부한 보안 전문가의 피드백에 따르면, 데이터 분석, 동적 분석과 같은 더 복잡한 테스트는 사람이 프로토콜의 실제 비즈니스 논리에 맞춰 안전 분석 테스트를 수행하고 테스트 예상 목표 속성을 미리 정의해야 하며, 가장 어려운 부분은 좋은 속성을 작성하고 올바른 테스트 범위를 정의하는 것입니다. 그들은 GPT가 현재 단계에서 이를 완전히 대체할 수 없다고 생각합니다.

물론 현재 LLM이 보안 분석 도구의 분석 효율성을 크게 향상시키고 오탐률을 낮출 수 있다는 비교적 낙관적인 결과도 있습니다. https://twitter.com/HatforceSec/status/1671758690808913922

https://www.researchgate.net/publication/371758506Doyoustillneedamanualsmartcontract_audit。

이 주제에 대해 우리는 또 다른 흥미로운 비기술적 관점에서 생각해 볼 수 있습니다. 보안 공격자와 방어자 간의 동적 게임에서, 마법이 높아지면 도가 높아지듯, AI가 보안 공격자에게도 도움을 줄 수 있을까요?

인간 중심의 보안

사람들은 소프트웨어가 차갑고 기계적이며 논리적인 것이라고 습관적으로 생각합니다. 시스템 보안을 향상시키기 위해서는 분석 기술과 시스템 방어 수준을 높이면 됩니다. 그러나 사람들은 경제적 유인과 인간 본성의 관점에서 보안 문제를 생각하는 데 부족합니다. 오픈 소스 코드의 어두운 숲 속에서, 우리는 합리적 인간 가설에 더 부합하는 분배 시스템을 구축하여 긍정적이고 건전한 경제적 유인을 통해 블록체인 시스템의 보안에 장기적으로 기여할 지혜를 가진 사람들을 더 많이 끌어들여야 합니다.

현재 전통적인 보안 감사 시장의 구도는 안정적이며, 브랜드 평판은 이 분야의 회사에게 가장 중요한 무형 자산입니다. 시간이 지남에 따라, 상위 보안 브랜드의 영향력과 고객의 신뢰도는 꾸준히 증가하고 있지만, 전통적인 보안 감사도 그들 자체의 문제(상업 모델이 단일하고 인력에 의존하여 규모화 성장하기 어려움, 성장과 감사 품질 간의 균형을 맞춰야 하는 상위 기업들이 이러한 병목 현상에 직면하고 있으며, 이는 브랜드 가치에 영향을 미치고 있습니다)가 있습니다.

커뮤니티 주도의 보안 감사 경연은 혁신적인 비즈니스 모델로, 현재 두 개의 주요 플랫폼의 고객 수가 300개를 초과하여 점차 PMF를 찾고 있으며, 바운티 플랫폼은 보안 생애 주기에 좋은 보완 역할을 합니다. 이러한 탈중앙화 플랫폼이 아직 특별히 효과적인 토큰 모델을 찾지 못했지만, 우리는 이 시장이 미래에 규모화 성장을 이룰 것이라고 매우 긍정적으로 보고 있습니다(집단 지혜는 보안 시장 내의 공격과 방어 게임의 장면과 매우 잘 맞기 때문입니다).

커뮤니티 주도의 감사 플랫폼이 중앙 집중식 감사 회사에 위협이 될까요? 우리는 그들이 건강한 상호 경쟁과 상호 보완 관계가 될 것이라고 생각합니다. 단기적으로 Code4rena와 같은 플랫폼이 일정한 네트워크 효과를 형성하고 좋은 트랙 레코드를 제시하면(감사한 프로젝트의 해킹 비율이 낮음), 일부 중소형 중앙 집중식 회사에 일정한 경쟁 압력을 줄 수 있지만, 장기적으로는 이것이 중앙 집중식 감사 플랫폼과 커뮤니티 주도 플랫폼 간의 상업적 협력을 촉진할 수 있습니다. 이는 중앙 집중식 보안 감사 플랫폼의 고객층을 넓히고 감사 품질을 향상시킬 수 있기 때문입니다(예를 들어, 원래 web2 대기업 내부에서 독립적으로 운영되던 보안 바운티 프로젝트가 나중에 제3자 플랫폼인 HackerOne과 협력하게 되는 논리와 유사합니다).

비록 커뮤니티 주도형 보안 플랫폼의 방향이 더욱 DAO화되는 것을 목표로 하고 있지만, 현재 프로젝트의 실제 운영에서 여전히 다음과 같은 문제에 직면하고 있습니다: 작업 흐름과 경제 분배 프로세스를 더욱 투명하고 공개적으로 만드는 방법, 프로젝트 측의 프라이버시와 보안 고려 사항을 어떻게 균형 있게 조정할 것인지, 팀 협력과 개인 기여의 관계를 어떻게 더 명확하게 정의할 것인지, 이해관계 분쟁이 발생했을 때 어떻게 더 공정하고 전문적인 관점에서 문제를 해결할 것인지 등, 이러한 것들은 보안 DAO가 직면해야 할 도전 과제입니다.

참고 문헌:

1.《HackerOne Year Book》

2.《Bounty Everything - Hackers and the Making of the Global Bug Marketplace》

3.《An empirical study of vulnerability rewards programs》

4.《The 2022 Hacker Report》

5.《Productivity and Patterns of Activity in Bug Bounty Programs》

6. https://immunefi.com

7. https://bugrap.io/

8. https://hackenproof.com/

9. https://hats.finance/

10. https://code4rena.com/

11. https://www.sherlock.xyz/