해결되지 않은 라이트코인의 버그… ‘자체적 자금 지원 시스템의 필요성 부각’

569

한 트위터 사용자가 약 1년 전 자신이 발견한 라이트코인의 버그가 아직도 해결되지 않았다는 점을 꼬집는 글을 남겼다. 이로써 자체적 자금 지원 프로그램의 필요성이 한층 부각되었다.

2018년 3월 11일, @Oasace는 라이트코인의 라이트코어 구현(insight-lite-api)에서 스택 트레이스 버그를 발견했다는 글을 남겼다. 그가 버그를 발견한 부분은 라이트코인의 개발 팀이 유지 보수 중이다. 지금까지 이 오류는 수정되지 않았으며, Github 설명에 따르면 이는 여전히 악용될 수 있다고 한다.

“각기 다른 API 엔드 포인트에 POST 요청을 보내는 것은 스택 트레이스를 잘못된 방식으로 덤핑하는 것입니다. 이 정보는 공격자에게 더 많은 정보를 주어 잠재적으로 타깃 시스템에 대한 공격을 개발하도록 하거나 새로운 공격을 만들어내기 위해 에러를 연구하게 만들 가능성이 있습니다.”

Duckduckgo에서 검색해보면, “간단히 말해서 ‘스택 트레이스’는 해당 어플리케이션이 예외 상황에 처해있음을 나타내는 방식의 리스트를 의미한다”는 점을 찾을 수 있다. 즉 이 버그는 다른 버그와 비교할 때 보안에 관련하여 큰 우려를 야기하지는 않으며, LTC 개발 팀이 이 버그에 관심을 가지지 않은 이유가 여기에 있을 가능성이 높다. 그러나 1년이 지났음에도 여전히 해당 버그가 수정되지 않았다는 점은 버그 수정에 대한 인센티브가 부족하다는 점을 나타낸다.

버그를 발견하고 수정하는데 대한 인센티브

어떤 다른 소프트웨어와 마찬가지로 암호화폐 역시 정기적으로 발생하는 버그로 인해 어려움을 겪는다. 오픈 소스 소프트웨어의 장점은 누구나 코드를 리뷰하고 어떠한 잠재적 에러라도 보고할 수 있으며, 발견된 버그를 패치하기 위해 커뮤니티의 도움을 얻을 수 있다는 점이다. 많은 사람들은 이데올로기적 이유로 오픈 소스 소프트웨어 공간에서 이와 같은 도움을 무료로 제공하지만, 한편으로 암호화폐 내의 많은 사람들은 자신이 투자한 코인의 코드가 안전함을 보장하기 위한 투자 인센티브를 가지고 있다. 그러나 여기에서 한 걸음 더 나아가면, 해당 코드에 대해 더욱 다양한 코더들의 관심을 끌기 위한 버그 바운티를 시행할 수 있다. 이로써 잠재적인 버그를 재빨리 발견 및 수정 할 수 있도록 보장하는 것이다.

대시는 DAO 재무 시스템을 통해 버그크라우드(Bugcrowd)의 버그 바운티 프로그램에 자금을 지원함으로써 그 코드베이스에 대한 신뢰를……