왜 우리 Bounty System은 PowerBook G4를 사용할 때 더 많은 보상을 주는가?
Source: Dev.to
번역을 진행하려면 번역하고자 하는 본문 내용을 제공해 주시겠어요?
본문을 알려주시면 요청하신 대로 한국어로 번역해 드리겠습니다.
RustChain 현상금 시스템 개요
대부분의 버그 바운티 프로그램은 다음과 같이 진행됩니다:
- 취약점을 찾는다.
- 보고서를 작성한다.
- ~3개월을 기다리며, 심각도에 대해 논쟁하고, NDA에 서명한 뒤 현금(법정 화폐)으로 보상을 받을 수도 있다.
보상은 취약점을 찾는 데 사용한 인프라와 전혀 연관이 없습니다.
예를 들어, $3,000짜리 MacBook Pro에서 Burp Suite를 실행한 연구자는 2002년형 PowerBook G4에서 프로토콜을 역공학한 사람과 동일한 보상을 받습니다.
RustChain이 다른 점
- 현상금은 GitHub 이슈 형태이며 RTC 토큰으로 표시됩니다.
- 연구자들은 한도 예산이 설정된 투명한 커뮤니티 펀드에서 보상을 받습니다.
- 레트로 하드웨어에서 채굴하면 더 많은 보상을 받습니다 – PowerBook G4는 최신 노트북이 받는 보상의 **2.5×**를 벌어들입니다.
- 포털도 없고, 회원가입도 없으며, 중개인이 수수료를 취득하지도 않습니다.
이는 은유가 아닙니다. 우리는 실제로 오래된 컴퓨터에 더 많은 보상을 지급합니다.
현상금 청구 방법
| Step | Action |
|---|---|
| 1 | Scottcjn/rustchain-bounties 에서 GitHub 이슈를 엽니다. |
| 2 | 범위를 읽습니다 (제목 = 대상, 본문 = RTC 보상). |
| 3 | 작업을 수행합니다. |
| 4 | PR을 제출하거나 보고서를 작성합니다. |
| 5 | 채굴기 지갑에서 RTC 토큰을 받습니다. |
참조 환율: 1 RTC = $0.10 USD.
200 RTC 현상금은 $20에 해당합니다 – HackerOne 기준으로는 다소 적지만, 기업 레드팀보다 독립 연구자를 위해 설계되었습니다. 네트워크가 성장함에 따라 토큰 가치가 상승할 수 있습니다.
현재 진행 중인 현상금
| 현상금 | 목표 | 보상 | 난이도 |
|---|---|---|---|
| Ledger Integrity | 거래 내역을 위조하거나 변조 | 200 RTC | 어려움 |
| Consensus Attacks | RIP‑200 라운드‑로빈을 깨고, 증명을 위조 | 200 RTC | 어려움 |
| Epoch Settlement | 보상 계산 또는 배분을 조작 | 150 RTC | 중간 |
| Pending Transfers | 대기 전송 큐를 악용 | 150 RTC | 중간 |
| API Auth | 관리자 인증을 우회하거나 권한 상승 | 100 RTC | 중간 |
| Ergo Anchor | Ergo 블록체인 앵커를 위조하거나 재생 | 100 RTC | 중간 |
총계: 활성 현상금 6개 → 900 RTC (≈ 참조 환율 기준 $90).
이들은 실제이며 범위가 정의된 보안 감사를 통해 도출된 공격 표면입니다.
사례 연구: BuilderFred (2026년 2월)
BuilderFred라는 연구원이 RustChain 노드에 대한 포괄적인 감사를 수행하여 6개의 유효한 취약점을 발견했으며, 150 RTC를 지급받았습니다 (네트워크 최초 현상금 지급).
발견 사항
-
VM Fingerprint Bypass – 서버가 하드웨어 검증을 위해 자체 보고된
"passed": true를 신뢰함.
Fix: 서버는 이제 원시 증거 데이터를 요구하고 독립적으로 검증합니다. -
Antiquity Spoofing – 최신 CPU가 G4 PowerBook이라고 주장하여 2.5× 승수를 얻을 수 있음.
Fix: SIMD 기능 세트를 교차 검증; 실제 G4는 x86 CPU가 제공할 수 없는 AltiVec 기능을 보고함. -
Mock Signature Mode – 테스트넷 플래그
TESTNET_ALLOW_MOCK_SIG와TESTNET_ALLOW_INLINE_PUBKEY가 여전히 활성화돼 위조 서명을 허용함.
Fix: 두 플래그를 프로덕션에서 비활성화함. -
Inline PubKey Hijack – 인라인 공개키가 활성화된 경우, 공격자가 키 소유를 증명하지 않고도 임의의 지갑 주소를 바인딩할 수 있음.
Fix: 비활성화함. -
SQL Schema Mismatch – 필드 명명(
model,archvs.device_model,device_arch)이 일관되지 않아 모든 x86 채굴기가 동일한 하드웨어 ID로 해시됨.
Fix: 두 명명 규칙을 모두 허용하고 하드웨어 해시에 MAC 주소를 포함함. -
Hardware Binding Bypass – 하드웨어‑ID 계산에 MAC 주소가 포함되지 않아 동일 CPU 모델의 다른 기기가 동일한 ID를 생성함.
Fix: SHA‑256 하드웨어 해시에 IP와 MAC 주소를 포함함.
이번 지급은 감사 프로세스가 정상적으로 작동함을 보여주었으며, 독립적인 연구자들이 관료주의 없이 보상을 받을 수 있음을 증명했습니다.
Source:
Proof‑of‑Antiquity 채굴 및 VM 저항
보상금은 Proof‑of‑Antiquity 채굴을 통해 조달되며, 이는 하드웨어 지문을 이용해 실제 CPU 1개 = 투표 1표가 되도록 보장합니다. 채굴 보상은 VM 팜에 의해 조작될 수 없습니다.
필수 검사 (모두 통과해야 보상을 받을 수 있음)
| 검사 | 측정 내용 | VM이 실패하는 이유 |
|---|---|---|
| 클럭‑스큐 및 발진기 드리프트 | 크리스털 발진기 불완전성 (500‑5000 샘플) | VM은 호스트 시계를 사용하고 실제 발진기가 없음 |
| 캐시 타이밍 지문 | 버퍼 크기별 L1/L2/L3 지연 조화 | 하이퍼바이저가 캐시를 가상화 → 너무 균일함 |
| SIMD 유닛 식별 | AltiVec/SSE/AVX 파이프라인 타이밍 비대칭 | 에뮬레이터가 모든 명령을 동일한 지연으로 평탄화 |
| 열 드리프트 엔트로피 | 차가운/따뜻한/포화/완화 상태의 열 곡선 샘플 | 가상 CPU는 열 물리를 갖지 않음 |
| 명령 경로 지터 | 정수, 분기, FPU, 로드/스토어의 사이클‑레벨 지터 | 하이퍼바이저 인터럽트 삽입이 주기적인 아티팩트를 생성 |
| 안티‑에뮬레이션 탐지 | DMI 벤더 문자열, 하이퍼바이저 CPU 플래그, 가상 SCSI | QEMU/VMware/VirtualBox가 파일시스템 흔적을 남김 |
감지된 VM은 0.000000001× (10억분의 1) 의 실제 CPU 가중치를 부여받으며, 이는 보상 측면에서 사실상 0에 가깝지만 모니터링을 위해 여전히 기록됩니다.
서버‑사이드 검증 예시
def validate_fingerprint_data(fingerprint: dict) -> tuple:
"""Server‑side validation – requires raw evidence, not self‑reports."""
if not fingerprint:
return False, "no_fingerprint_data"
checks = fingerprint.get("checks", {})
# Anti‑emulation: reject if VM indicators present
anti_emu = checks.get("anti_emulation", {})
if anti_emu.get("passed") == False:
return False, f"vm_detected:{anti_emu.get('data', {}).get('vm_indicators', [])}"
# Clock drift: real hardware has measurable variance
clock = checks.get("clock_drift", {})
cv = clock.get("data", {}).get("cv", 0)
if cv < 0.0001:
return False, "timing_too_uniform"
return True, "valid"BuilderFred의 감사를 거친 후, 핵심 변경 사항은 서버가 더 이상 자체 보고 데이터를 신뢰하지 않는다는 것이었습니다; 이제 원시 지문 증거를 검증합니다.
Source: …
RustChain 채굴 보상
보상은 하드웨어 연령에 따라 가중됩니다:
| 아키텍처 | 기본 배수 | 예시 하드웨어 |
|---|---|---|
| PowerPC G4 | 2.5× | PowerBook G4 (2002), Power Mac G4 MDD |
| PowerPC G5 | 2.0× | Power Mac G5 Dual (2005) |
| IBM POWER8 | 2.0× | Power System S824 (2014) |
| Retro x86 | 1.4× | Pentium 4, Core 2 Duo |
| Apple Silicon | 1.2× | Mac Mini M2 |
| Modern x86‑64 | 1.0× | Ryzen, Intel 12th + gen |
배수는 시간이 지남에 따라 감소합니다:
aged = 1.0 + (base - 1.0) * (1 - 0.15 * chain_age_years)약 16.67 년이 지나면 모든 아키텍처가 1.0× 로 수렴합니다. 이 보너스는 오래된 하드웨어를 유지하는 행위에 대한 보상이며, 영구적인 이점을 제공하는 것이 아닙니다.
현상금과 관련된 중요성
현상금을 지급하는 커뮤니티 펀드는 채굴자에게 보상을 제공하는 동일한 토큰 공급에서 나옵니다. 경제 구조는 순환적입니다:
- 채굴자는 RTC 를 획득합니다.
- 커뮤니티 펀드는 RTC 를 보유합니다.
- 연구자는 현상금으로 RTC 를 획득합니다.
- 연구자는 연구에 사용한 동일한 하드웨어로 더 많은 RTC 를 채굴할 수 있습니다.
PowerBook G4를 사용하는 보안 연구자는 동시에 2.5× 로 채굴하면서 취약점을 찾고 있습니다.
Source: …
토큰 공급 및 경제학
| 매개변수 | 값 |
|---|---|
| 총 공급량 | 8,388,608 RTC (2²³) |
| 프리마인 | 6 % (창립자 할당) |
| 채굴 가능 | 94 % |
| 커뮤니티 펀드 | ~96,673 RTC |
| 에포크 보상 | 10분 에포크당 1.5 RTC |
| 기준 환율 | 1 RTC = $0.10 USD |
ICO 없음. 프리세일 없음. 토큰 생성 이벤트 없음.
커뮤니티 펀드는 제네시스 시에 할당되며, 바운티와 개발 보조금으로 소진됩니다. 200 RTC 바운티가 지급될 때는 펀드에서 직접 차감되며, 이는 체인 상에 표시되고 누구나 감사할 수 있습니다.
총 공급량이 2의 거듭 제곱인 이유는 원장에 정수 연산(amount_i64)을 사용해 부동소수점 반올림 오류를 방지하기 위해 이진 정밀도가 중요하기 때문입니다. RTC의 모든 작은 단위도 정확히 계산됩니다.
채굴자로 시작하기
# Install the miner CLI
pip install clawrtc
# Create a wallet
clawrtc wallet create
# Start mining (your hardware gets fingerprinted and earns accordingly)
clawrtc mine
# Check your balance
clawrtc wallet show머신이 6가지 지문 검사를 모두 통과하면 매 epoch마다 RTC를 획득합니다:
- 최신 x86 노트북 → 1.0×
- PowerBook G4 → 2.5×
보유하고 있는 레트로 하드웨어를 꺼내 보세요 – 이 네트워크에서는 eBay보다 더 높은 가치를 가집니다.
보안 연구원으로서
-
오픈 현상금 확인: Scottcjn/rustchain-bounties
-
각 이슈의 범위와 보상을 읽는다.
-
라이브 네트워크에 테스트:
curl -sk https://rustchain.org/health -
결과를 GitHub 이슈 또는 PR로 제출한다.
-
RTC를 채굴자 지갑으로 지급받는다.
Builder 로서
커뮤니티 펀드는 보안 현상금 외에도 개발 보조금을 지원합니다. 툴링, 통합, 혹은 생태계 문서를 구축하고 있다면:
- 작업 내용과 제안된 RTC 금액을 설명하는 이슈를 엽니다.
- 펀드 관리자와 협력하여 보조금을 받습니다.
유용한 링크
- RustChain – https://rustchain.org
- Bounties – https://github.com/Scottcjn/rustchain-bounties
- Source Code – https://github.com/Scottcjn/Rustchain
- ClawRTC (PyPI) – https://pypi.org/project/clawrtc
- BoTTube – https://bottube.ai
- Block Explorer – https://rustchain.org
- Node Health –
curl -sk https://rustchain.org/health - Active Miners –
curl -sk https://rustchain.org/api/miners
이 시리즈의 다른 기사
- AI 에이전트가 창작자인 비디오 플랫폼을 만들었습니다
- 에이전트 인터넷에 54,000명 이상의 사용자가 있습니다
- 고전성 증명: 빈티지 하드웨어에 보상을 주는 블록체인
- 당신의 AI 에이전트는 다른 에이전트와 대화할 수 없습니다. Beacon이 이를 해결합니다.
- 우리가 “CPU 하나당 한 표”를 실제로 작동하게 만든 방법
- 768 GB IBM POWER8 서버에서 LLM을 실행합니다
루이지애나에 있는 Elyan Labs가 제작했습니다. 빈티지 머신은 제가 채굴합니다. 연구원들은 무언가를 부숩니다. 그리고 2002년형 PowerBook G4는 2025년형 Ryzen 9보다 더 많은 수익을 올립니다.