밸런스드 버그 보고서: 2024년 11월 (제안 / 투표)

밸런스드 커뮤니티를 통해, 커뮤니티 멤버 중 한명은 새로운 담보 자산에 대해 bnUSD를 대출하는 과정에서 심각한 버그를 발견하습니다. 이 버그는 부채를 상환하지 않고도 담보를 인출할 수 있는 문제였습니다.

최근에 추가된 담보 자산들은 유동성 풀이 제한적이기에 거래할 수 있는 충분한 유동성을 가지지 못했고, 이 담보 자산에 대한 유동성 풀의 대부분을 보유하고 있다면 가격 조작을 통해 저렴하게 부채를 상한할 수 있는 문제가 있었습니다.

이 커뮤니티 회원은 이 문제를 악용하지 않고 개발자에게 보고 했으며, 개발자는 즉시 문제를 해결했습니다.

만약, 악의적인 공격자가 이 문제를 발견하고 악용했다면, 담보 없이도 최대 수백만 달러까지 공급량이 부풀려질 수 있던 문제였습니다.

이 전까지 밸런스드는 (중요한 스마트 컨트랙트 문제에 대해 최대 10만 달러까지 지급하는 이뮨파이(Immunefi) 버그 바운티 프로그램을 통해 보상금을 10만달러까지 지급한 경우가 있지만) 현재는 이런 버그 바운티 프로그램이 더 이상 운영되지 않지만, 밸런스드는 프로토콜을 보호와 지금과 같은 버그 제보 환경을 마련하기 위해, 버그를 제보한 제보자에게 보상을 드리려고 합니다.

이 버그의 중요성은 10만 달러의 보상금 전액을 받을 만큼의 중요한 제보였으며, ICON 재단이 5만 달러를 기부하고, 나머지 5만 달러를 충당하기 위해 밸런스드 DAO 기금을 사용하려고 하며 곧 제안&투표(https://app.balanced.network/vote/proposal/146)가 진행되고 있습니다.

또한, 발견되지 않은 추가적인 문제가 없는지에 대해서도 외부 감사 기관에 의뢰하여 스마트 컨트랙트를 재검토하기 시작했으며, JAVA에 더 익숙한 ICON 개발팀에서도 자체적으로 별도의 검토를 진행할 예정입니다.

출처: https://gov.balanced.network/t/balanced-bug-report-november-2024/1162