포옴캐시(Foom Cash)는 새로운 제로지식증명(ZK) 기반의 익명 복권 프로토콜을 출시했으나, 배포 과정에서 발생한 치명적인 실수로 인해 226만 달러(약 33억 4,336만 원) 규모의 자금을 탈취당하는 익스플로잇이 발생했다. 그러나 이 사건은 화이트햇 해커의 신속한 개입으로 대부분의 자금을 회수하게 됨으로써 웹3 보안 사고 대응에서 윤리적 해커의 중요성이 다시 한번 두드러지게 나타났다.

포옴캐시는 3일(현지 시간) X(구 트위터)를 통해 이번 공격으로 손실된 자금의 81%인 184만 달러(약 27억 2,246만 원)를 되찾았다고 발표했다. 이 과정에서 가명 화이트햇 해커인 '두하(Duha)'가 취약점을 발견해 베이스(Base) 체인에서 선제적으로 자금을 확보하였고, 이더리움(Ethereum) 네트워크를 통한 회수는 보안 업체 디큐리티(Decurity)가 맡았다. 포옴캐시는 두하에게 버그바운티로 32만 달러(약 4억 7,347만 원)를 지급했으며, 디큐리티에도 보안 수수료로 10만 달러(약 1억 4,796만 원)를 지급했다. 두하는 “@foomclub_의 버그바운티 정책을 존중하는 자세는 프로토콜의 보안에 대한 진정성을 보여준다”고 말하며 긍정적인 평가를 내놓았다.

이번 사건은 '페이즈2(Phase 2) 트러스티드 셋업' 과정에서 커맨드라인 인터페이스(CLI) 단계가 누락되면서 발생한 배포 오류로부터 시작됐다. 포옴캐시는 Groth16 기반의 증명 생성 과정에서 snarkjs의 회로별 기여 설정이 생략될 경우, 파라미터 감마(γ)와 델타(δ)가 동일한 기본값으로 남아 문제가 발생한다고 설명했다. 이로 인해 프로토콜은 '위조된 증명'을 수용하게 되었고, 공격자가 이를 악용할 수 있는 여지를 남겼다. 이는 단지 스마트컨트랙트의 결함이 아니라, 배포 및 검증 파이프라인의 한 번의 치명적인 누락이 대형 사고로 확대된 사례로 해석된다.

최근 디파이(DeFi) 보안 사고에서 화이트햇 해커의 선제적 개입이 점점 더 빈번해지고 있는 상황이다. 공격자들이 빠르게 자금을 다른 체인으로 이동하거나 프라이버시 도구로 옮기기 전에, 윤리적 해커가 먼저 취약점을 발견하고 자금을 격리함으로써 피해를 최소화하고 있다. 2023년 8월, 패러다임 리서처 샘크즈선(Samczsun)이 설립한 윤리적 해커 연합 SEAL(Security Alliance)은 첫 해에만 900건 이상의 해킹 사건에 개입하며 이러한 경향을 대표하는 사례로 언급되고 있다.

2024년 인도 암호화폐 거래소인 와지르엑스(WazirX)에서 2억 3,000만 달러(약 3,402억 1,080만 원)가 탈취된 사건 이후, 생태계 차원의 보안 대응 시스템 구축이 필요하다는 목소리가 높아지고 있다. 또한, 이더리움 재단은 SEAL과의 협력을 통해 '트릴리언 달러 시큐리티(Trillion Dollar Security)' 이니셔티브를 발족하여, 지갑 드레이너 같은 악성 도구에 대한 대응을 강화하고 있다.

이러한 포옴캐시 사건은 웹3 보안에서 '사후 복구'뿐만 아니라 '사전 차단'의 중요성을 다시 한 번 확인시켜 주는 사례가 되었다. 프로토콜 설계가 복잡해질수록 배포 절차, 검증 단계 및 보안 인센티브 구조를 통합적으로 점검해야 하는 필요성이 커진다. 향후 버그바운티와 윤리적 해커 네트워크의 역할은 더욱 중요해질 것으로 보인다.