한 트위터 사용자가 약 1년 전 자신이 발견한 라이트코인의 버그가 아직도 해결되지 않았다는 점을 꼬집는 글을 남겼다. 이로써 자체적 자금 지원 프로그램의 필요성이 한층 부각되었다.

 

 

2018년 3월 11일, @Oasace는 라이트코인의 라이트코어 구현(insight-lite-api)에서 스택 트레이스 버그를 발견했다는 글을 남겼다. 그가 버그를 발견한 부분은 라이트코인의 개발 팀이 유지 보수 중이다. 지금까지 이 오류는 수정되지 않았으며, Github 설명에 따르면 이는 여전히 악용될 수 있다고 한다.

 

“각기 다른 API 엔드 포인트에 POST 요청을 보내는 것은 스택 트레이스를 잘못된 방식으로 덤핑하는 것입니다. 이 정보는 공격자에게 더 많은 정보를 주어 잠재적으로 타깃 시스템에 대한 공격을 개발하도록 하거나 새로운 공격을 만들어내기 위해 에러를 연구하게 만들 가능성이 있습니다.”

 

Duckduckgo에서 검색해보면, “간단히 말해서 ‘스택 트레이스’는 해당 어플리케이션이 예외 상황에 처해있음을 나타내는 방식의 리스트를 의미한다”는 점을 찾을 수 있다. 즉 이 버그는 다른 버그와 비교할 때 보안에 관련하여 큰 우려를 야기하지는 않으며, LTC 개발 팀이 이 버그에 관심을 가지지 않은 이유가 여기에 있을 가능성이 높다. 그러나 1년이 지났음에도 여전히 해당 버그가 수정되지 않았다는 점은 버그 수정에 대한 인센티브가 부족하다는 점을 나타낸다.

 

버그를 발견하고 수정하는데 대한 인센티브

 

어떤 다른 소프트웨어와 마찬가지로 암호화폐 역시 정기적으로 발생하는 버그로 인해 어려움을 겪는다. 오픈 소스 소프트웨어의 장점은 누구나 코드를 리뷰하고 어떠한 잠재적 에러라도 보고할 수 있으며, 발견된 버그를 패치하기 위해 커뮤니티의 도움을 얻을 수 있다는 점이다. 많은 사람들은 이데올로기적 이유로 오픈 소스 소프트웨어 공간에서 이와 같은 도움을 무료로 제공하지만, 한편으로 암호화폐 내의 많은 사람들은 자신이 투자한 코인의 코드가 안전함을 보장하기 위한 투자 인센티브를 가지고 있다. 그러나 여기에서 한 걸음 더 나아가면, 해당 코드에 대해 더욱 다양한 코더들의 관심을 끌기 위한 버그 바운티를 시행할 수 있다. 이로써 잠재적인 버그를 재빨리 발견 및 수정 할 수 있도록 보장하는 것이다.

 

 

대시는 DAO 재무 시스템을 통해 버그크라우드(Bugcrowd)의 버그 바운티 프로그램에 자금을 지원함으로써 그 코드베이스에 대한 신뢰를 한 차원 더 높일 수 있었다. 이들은 최근 해당 프로그램의 1주년을 맞아 사례 연구를 진행하였으며 그 결과 ‘버그크라우드 연구자들이 대시 디지털 캐시 어플리케이션에 대한 11개의 유효한 고유 버그를 발견 및 수정’하였으며, 그 결과 ‘66개의 취약점을 필터링하여 대시의 시스템 운영에 있어 많은 시간을 절약할 수 있었다’고 전한 바 있다. 이들이 발견한 버그 중 하나는 현재는 폐기된 대시 코페이(Copay)지갑에서 발견되었으며, 민감한 데이터를 유출 할 가능성이 있었다고 한다. 다행히도 해당 버그는 이 지갑이 테스트넷에 있던 동안 발견되었다. 또한 해당 버그는 비트코인 버전의 지갑에서 이어진 것으로, 이는 라이트코인의 코드베이스에서 이어져 대시 채굴을 비정상적으로 빠르게 만들었던 오래된 버그가 재빨리 발견되고 수정되었던 기억을 불러온다.

 

대시, 제대로 된 코드 관리를 통해 인센티브화하다

 

대시는 소비자와 상인으로부터 최대한의 신뢰를 얻어 일상 생활에서 사용되는 디지털 캐시가 되기 위해 노력하고 있다. 대시는 우수한 코드를 작성하고 이를 검토함으로써 이를 달성할 수 있었다. 이는 모든 탑 코인의 최우선 순위이지만, 대시는 이와 같은 활동에 있어 대시 코어 그룹 및 기타 개발자들을 비롯하여 버그 체커에 자금을 지원하였다. 즉 코드의 우수성을 확실히할 수 있도록 함으로써 경제적으로 인센티브화 한 것이다.  자원 봉사를 기반으로 하는 작업 역시 훌륭하지만, 개발자들 역시 수입을 창출하는 소득 활동에 집중하게 되므로 이 작업을 수행하는 데에는 균형이 필요하다. 한편, 제3자를 통한 자금 조달 역시 위험을 초래할 수 있는데, 자금 조달이 갑자기 중지될 수도 있고 이익 충돌 현상이 발생할 수도 있기 때문이다. 대시는 코드 작성과 리뷰 과정을 내부화함으로써 이와 같은 문제를 미연에 방지하고 경제적 인센티브 루프를 완성할 수 있도록 보장하고 있다.