감사를 거친 스마트 계약에서 예상치 못한 버그가 발견되면서 인공지능 에이전트에 집중하는 블록체인 기업 Virtuals Protocol은 즉각적인 수정 작업을 진행하고 버그 바운티 프로그램을 재개했다.

2024년 12월 3일, 가명을 사용하는 보안 연구원 Jinu는 감사된 계약 중 하나에서 버그를 발견한 후 Virtuals Protocol에 연락했다. 하지만 Jinu가 문제를 보고했을 때, 회사가 활성화된 버그 바운티 프로그램을 운영하지 않고 있어, 이 발견은 보상 대상에 해당하지 않는다는 사실을 알게 되었다.

Virtuals Protocol은 화이트해커의 버그 발견을 인정했다. 출처: Jinu

화이트해커, 취약점 공개

Jinu에 따르면, Virtuals Protocol 팀은 취약점을 보고하기 위해 별도로 개설된 Discord 그룹도 폐쇄했다. Jinu는 X(구 트위터) 스레드에서 다음과 같이 말했다:

“이 취약점은 단순하지만 virtuals 생태계에 영향을 미칠 수 있다(하지만 virtuals는 보안에 신경 쓰지 않는 것 같다).”

Jinu는 혹자에게 이 취약점이 내부 본드 임계값을 기반으로 AgentTokens를 생성할 때 유효성 검사가 부족한 것과 관련되어 있다고 설명했다. “만약 악용되었다면, 이 취약점은 스마트 계약이 수정될 때까지 AgentTokens의 생성을 막았을 것”이라고 Jinu는 말했다.

Virtuals Protocol, 버그 발견 보상 결정 중

즉각적인 수정이 이루어졌음에도 불구하고, Virtuals Protocol은 아직 Jinu의 버그 발견에 대한 보상 계획을 발표하지 않았다. 연구자에게 보낸 메시지에서 회사는 Jinu에게 문제를 보고해준 것에 감사하며 초기의 소통 부족에 대해 사과했다.

회사 관계자는 보안 연구자에게 “안녕하세요 Jinu, 우리는 취약점을 확인하고 아래에 패치를 적용했습니다. 이 문제를 제기해 주셔서 감사드리며 지원 팀과의 오해에 대해 사과드립니다. 내부적으로 문제의 심각성을 검토한 후 곧 버그 바운티를 지급하겠습니다”라고 말했다.

보상 기대치에 대해 질문받았을 때, Jinu는 버그 발견에 대한 일반적인 보상 금액을 잘 모른다고 답했다. Jinu는 혹자에게 친구가 Virtuals에서 생성된 토큰에 투자한 것을 계기로 Virtuals Protocol에 관심을 갖게 되었다고 전했다.

Jinu는 “코드가 잘 작성되었는지 확인하려고 약 30분 정도 살펴보다가 이 버그를 발견했다”고 말했다.

• 페이스북 공유
• 트위터 공유