Skip to content
TurboLoop
All articles

TurboLoop의 10만 달러 버그 바운티 vs Aave의 100만 달러 프로그램: 숫자가 실제로 의미하는 것

Aave는 치명적인 버그당 100만 달러를 제공합니다. TurboLoop는 중앙화 증명에 10만 달러를 제공합니다. 동일한 금액 개념이지만, 매우 다른 약속입니다. 각 프로그램이 배후 프로토콜에 대해 실제로 무엇을 말하는지 살펴보겠습니다.

TurboLoop의 10만 달러 버그 바운티 vs Aave의 100만 달러 프로그램: 숫자가 실제로 의미하는 것

TurboLoop의 10만 달러 버그 바운티 vs Aave의 100만 달러 프로그램: 숫자가 실제로 의미하는 것

Aave는 Immunefi를 통해 치명적인 스마트 계약 취약점에 대해 최대 1,000,000달러를 지급하는 버그 바운티 프로그램을 운영합니다. TurboLoop는 중앙화 또는 계약에서 자금을 유출할 수 있는 방법을 입증하는 모든 사람에게 100,000달러 챌린지를 운영합니다. 화이트햇 연구자를 위한 보안 인센티브라는 동일한 일반적인 영역이지만, 두 프로그램은 직접 비교를 통해 두 프로토콜 모두에 대해 무언가를 알려줄 만큼 충분히 다르게 구성되어 있습니다.

이 게시물은 각 프로그램이 실제로 무엇을 보상하는지, 상금 규모가 프로토콜의 위험 모델에 대해 무엇을 알려주는지, 그리고 올바른 비교가 "100만 달러가 10만 달러보다 크다"가 아닌 이유를 설명합니다.

Aave의 100만 달러 바운티가 보상하는 것

Immunefi를 통해 관리되는 Aave의 바운티는 버그 심각도에 따른 차등 지급 구조입니다:

  • 치명적: 최대 1,000,000달러 — 공격자가 프로토콜 자금을 유출하거나 동결할 수 있는 모든 것.
  • 높음: 최대 250,000달러 — 상당한 경제적 영향이 있지만 완전한 유출은 아님.
  • 중간: 최대 25,000달러 — 즉각적인 재정적 손실 없이 프로토콜 동작을 저하시키는 버그.
  • 낮음: 최대 2,500달러 — 사소한 문제, 문서 또는 예외적인 경우.

헤드라인 100만 달러는 좁은 범위의 버그에 적용됩니다. 대부분의 제출은 중간 또는 낮음으로 분류됩니다. 바운티의 구조는 Aave의 규모를 반영합니다: 약 100억 달러 이상의 TVL은 0.01%의 버그라도 100만 달러의 지급액보다 더 많은 비용이 들기 때문에 프로토콜은 이를 지불할 여유가 있습니다.

TurboLoop의 10만 달러 챌린지가 보상하는 것

TurboLoop의 챌린지는 다르게 구성되어 있습니다. 이것은 차등 바운티가 아니라 단일 질문 공개 챌린지입니다:

"팀이 포기 절차를 거치지 않고 사용자 자금에 접근할 수 있는 방법을 찾거나, 배포된 스마트 계약에서 자금을 유출하거나 잠글 수 있는 취약점을 찾으십시오. 증거를 제출하고 100,000 USDT를 청구하십시오."

그것이 전부입니다. 하나의 챌린지. 하나의 지급. 이 구조는 TurboLoop가 실제로 방어해야 하는 것을 반영합니다:

  • 계약은 포기되었습니다 — 어떤 관리 기능도 누구도 호출할 수 없습니다. 따라서 "중앙화 지점을 찾으십시오"가 핵심 질문입니다.
  • LP는 별도의 계약에 시간 잠금되어 있습니다. 따라서 "LP를 유출할 방법을 찾으십시오"는 제한적입니다.
  • 계약 로직은 감사되었으며 불변합니다. 따라서 "로직 버그를 찾으십시오"는 감사 통과 또는 실패 질문입니다.

이 챌린지는 자신감의 공개적인 표현입니다: 우리는 이들 중 어느 것도 찾을 수 없다고 믿으며, 우리가 틀렸음을 증명할 사람을 초대하기 위해 영원히 10만 달러를 걸겠습니다.

왜 비교가 단순히 금액에 관한 것이 아닌가

100만 달러 대 10만 달러의 격차는 불균형해 보입니다. 하지만 각 프로그램이 실제로 무엇을 방어하는지 고려하면 그렇지 않습니다:

Aave의 100만 달러는 복잡하고 거대한 거버넌스 중심 프로토콜을 방어합니다.

  • TVL: 약 100억 달러 이상
  • 코드베이스: 100개 이상의 Solidity 계약, 거버넌스를 통한 빈번한 업그레이드
  • 공격 표면: 모든 거버넌스 제안, 모든 체인 배포, 모든 오라클 통합
  • 방어자: Aave Companies 내부 팀 + 외부 감사자 + 바운티 프로그램

100만 달러는 Aave가 단일 치명적인 취약점으로 잃을 수 있는 금액의 작은 부분입니다. 이 숫자는 위험 규모에 맞춰 조정되었습니다.

TurboLoop의 10만 달러는 포기되고 불변하며 단순한 프로토콜을 방어합니다.

  • TVL: Aave보다 2단계 작은 규모
  • 코드베이스: 단일 Solidity 계약, 업그레이드 불가
  • 공격 표면: 계약 자체 + LP 잠금 + 감사 결과
  • 방어자: 원본 감사자 + 공개 챌린지 초대

10만 달러는 범위에 맞춰 조정되었습니다: 단순하고 포기된 계약은 공격 표면이 적으므로, 더 작은 바운티가 대부분의 보안 연구 관심을 사로잡습니다. 공격할 거버넌스도, 손상시킬 업그레이드 파이프라인도, 조작할 오라클도 없습니다.

두 숫자 모두 방어하는 대상에 "적절한 규모"입니다. 불균형한 금액 비교는 오해의 소지가 있습니다.

구조적 차이가 말하는 것

진정한 핵심은 각 프로그램이 프로토콜의 방어 태세에 대해 무엇을 가정하는지입니다.

Aave는 복잡성이 영구적이라고 가정합니다. 거버넌스, 오라클, 다중 체인 배포 및 지속적인 기능 추가를 갖춘 10억 달러 이상의 TVL 프로토콜은 항상 새로운 버그를 가질 것입니다. 바운티는 프로토콜이 발전함에 따라 지속적인 발견을 처리하도록 구성됩니다. 치명적인 버그는 주기적으로 발견될 것이며, 프로그램은 악용되기 전에 이를 지불하도록 조정됩니다.

TurboLoop는 복잡성이 완료되었다고 가정합니다. 계약은 포기되었습니다. 더 이상 기능은 추가되지 않습니다. 어떤 거버넌스도 변경할 수 없습니다. 감사된 코드에 배포 시 치명적인 버그가 없었다면, 새로운 버그에 대한 공격 표면은 0입니다. 바운티는 고정된 챌린지를 중심으로 구성됩니다: 취약점이 존재함을 증명하거나 중앙화 지점이 존재함을 증명하십시오. 어느 쪽이든, 한 번 승리하면 그 답이 전체 프로토콜의 본질을 바꿉니다.

두 가지 태세 모두 일관성이 있습니다. 이는 수익 프로토콜이 어떻게 운영되어야 하는지에 대한 다른 선택을 반영합니다.

청구되지 않은 것 (그리고 그 이유)

Aave의 바운티는 출시 이후 여러 번 지급되었습니다 — 헤드라인 100만 달러의 치명적인 등급이 아니라, 높음 및 중간 심각도 발견에 대해 지급되었습니다. 이들은 거버넌스 업그레이드를 통해 조용히 수정되었습니다. 프로그램은 의도한 대로 작동하며, 이로 인해 프로토콜은 더욱 안전해졌습니다.

TurboLoop의 챌린지는 출시 이후 한 번도 지급되지 않았습니다. 연구자들이 찾지 않아서가 아니라 — 인도, 러시아, 우크라이나 보안 커뮤니티는 허가 없는 DeFi 계약을 적극적으로 조사합니다 — 답이 프로토콜의 구조에 의해 제한되기 때문입니다. 챌린지에서 승리하려면 다음 중 하나를 해야 합니다:

  1. 수년 동안 배포된 감사되고 불변하는 코드에서 스마트 계약 버그를 찾으십시오 (감사가 철저했다면 낮은 확률)
  2. renounceOwnership()가 호출된 코드에서 중앙화 지점을 찾으십시오 (불가능 — 함수 호출은 온체인에서 확인 가능합니다)

제로 지급은 버그가 없다는 증거가 아닙니다. 이는 제한된 공격 표면과 감사 + 포기 조합이 대중의 조사를 견뎌냈다는 증거입니다.

어떤 모델이 "더 나은가"

둘 다 아닙니다. 그것들은 다른 질문에 대한 답입니다.

Aave의 모델은 지속적인 기능 개발, 거버넌스 유연성, 다중 체인 확장, 성장하는 DeFi 생태계와의 통합이 필요한 프로토콜에 적합합니다. 바운티는 지속적인 복잡성의 비용을 처리합니다.

TurboLoop의 모델은 유연성보다 안정성에 베팅하는 프로토콜에 적합합니다. 포기되고 감사되었으며 불변하는 계약은 문제를 해결할 옵션을 포기하지만, 수학적 예측 가능성이라는 속성을 얻습니다. 챌린지는 그 베팅이 유효했는지에 대한 질문을 처리합니다.

계속해서 기능을 추가하고 시장 상황에 적응할 수익 프로토콜을 원한다면 Aave의 구조가 합리적입니다. 오늘날과 동일하게 10년 후에도 작동할 수익 프로토콜을 원한다면 TurboLoop의 구조가 합리적입니다.

보안 연구자가 실제로 보는 것

시간을 보낼 곳을 결정하는 화이트햇 연구자를 위해:

  • 높은 TVL, 복잡한 프로토콜 (Aave, Compound, Curve)은 깊은 전문성을 보상합니다. 바운티는 크지만 버그는 드물고 찾기 어렵습니다.
  • 포기되고 단순한 프로토콜 (TurboLoop, 유사 아키텍처)은 광범위한 지식을 보상합니다. 바운티는 작지만 공격 표면도 작습니다 — 감사가 빠르고, 깨끗함을 확인하거나 문제를 찾는 것이 빠릅니다.
  • 새롭고 감사되지 않은 프로토콜은 대부분의 버그가 실제로 존재하는 곳이지만 일반적으로 바운티 프로그램이 없습니다 — 연구자들은 (화이트햇 또는 블랙햇으로) 악용하거나 넘어갑니다.

연구자 시간의 가장 효율적인 사용은 종종 중간 범주입니다: 잘 감사되었지만 더 젊은 프로토콜에서 신중하게 살펴보면 감사가 놓친 것을 여전히 찾을 수 있습니다.

핵심 요약

  • Aave의 100만 달러 바운티와 TurboLoop의 10만 달러 챌린지는 다른 보안 약속이 아닌, 다른 프로토콜 구조에 맞춰 조정되었습니다
  • Aave: 대규모 거버넌스 중심 프로토콜의 지속적인 복잡성에 대한 차등 바운티
  • TurboLoop: 포기되고 불변하며 감사된 계약에 대한 단일 공개 챌린지
  • Aave는 여러 번 지급되었습니다 (의도한 대로 작동); TurboLoop는 한 번도 지급되지 않았습니다 (제한된 공격 표면을 고려할 때 의도한 대로 작동)
  • 어떤 모델도 보편적으로 "더 낫다"고 할 수 없습니다 — 그것들은 다른 설계 질문에 답합니다
  • 금액 격차는 오해의 소지가 있습니다; 두 프로그램 간의 구조적 차이가 프로토콜의 위험 철학을 드러냅니다

더 큰 바운티가 더 안전한 프로토콜은 아닙니다. 실제 공격 표면에 적절한 규모의 바운티가 중요합니다.

Found this useful?
Pass it along.
TurboLoop 10만 달러 바운티 vs Aave 100만 달러 프로그램 분석 · Turbo Loop