운영 보안과 사고 대응

업그레이드, 파라미터 변경, 자금 인출 권한은 분산된 서명자 4명 이상 + 정족수 7 이상이 표준. EOA 단일 서명은 사실상 단일 장애점입니다.

관리자 액션이 즉시 실행되면 키 탈취 = 즉시 손실입니다. 타임락은 사용자 자금 인출 시간을 보장해 인시던트의 단순한 안전장치가 됩니다.

OPERATOR, GUARDIAN, OWNER 역할을 컨트랙트 레벨에서 분리하고 각각 다른 서명자 풀로 구성합니다. GUARDIAN은 pause만 가능하도록 권한 최소화.

정기적인 서명자 교체와 이탈자 제거 절차를 문서화합니다. 퇴사한 인원의 서명 권한이 남아 있으면 안 됩니다.

deposit, swap, borrow 등 자금 흐름 함수에 GUARDIAN이 호출 가능한 pause를 둡니다. 공격 탐지 시 첫 번째 행동이 됩니다.

초기 배포 직후에는 입금 한도, 사용자 한도, 자산 한도를 두고 시간이 지나며 풀어 줍니다. 공격이 발생해도 손실 상한이 보장됩니다.

프로토콜이 멈춰도 사용자가 자기 자산을 회수할 수 있는 우회 경로를 둡니다. 메인 로직 버그와 분리된 단순한 검증으로 작동해야 합니다.

프록시 업그레이드는 공격 표면입니다. 핵심 자산 회계 컨트랙트는 immutable로 두고, 주변 모듈만 업그레이드 가능하도록 분리합니다.

TVL 급변, 큰 단일 트랜잭션, 거버넌스 액션 시도, 비정상 mint, 비인가 함수 호출에 대한 알림을 다층으로 둡니다.

멀티시그 큐잉과 타임락 트랜잭션은 별도의 알림 채널로 모읍니다. 비인가 큐잉은 5분 안에 감지되어야 합니다.

PagerDuty 또는 동등한 방식으로 24/7 온콜을 운영합니다. 알림이 한 사람의 슬랙 DM에 머물러서는 안 됩니다.

각 시나리오별(컨트랙트 익스플로잇, 관리자 키 탈취, 오라클 조작, 디스코드 해킹)로 단계별 플로우와 결정 트리를 문서화합니다.

Incident Commander, Communications Lead, Tech Lead, Legal/Comms 보조 역할을 명시합니다. 사고 시 누가 무엇을 결정하는지가 즉시 명확해야 합니다.

분기마다 테이블탑 시나리오를 돌리고, 연 1~2회는 SEAL Wargames 등에 참여해 실제 시뮬레이션으로 플레이북을 검증합니다.

보안 인시던트 전용 비공개 Telegram, Signal, 또는 Discord 카테고리를 미리 만들어 둡니다. 핵심 인원이 이미 가입돼 있어야 합니다.

메이저 CEX 컴플라이언스 팀, 화이트햇 그룹, 파트너 프로토콜, 변호사, 재단 보안팀의 24/7 연락처를 사전 정리합니다.

초기 공지(우리는 인지했고 조사 중), 1차 업데이트(영향 범위), 최종 포스트모템 등 단계별 템플릿을 미리 작성해 두어야 사고 중 작문 시간을 절약합니다.

SEAL 911 봇과 Whitehat Safe Harbor 채택 여부를 사전에 정리해두면 사고 시 즉시 활용 가능합니다.

Critical 한 건당 $1M 이상의 바운티를 공시하면 화이트햇이 블랙햇보다 먼저 발견해 신고할 인센티브가 생깁니다.

법적 공시 또는 거버넌스 결의로 화이트햇이 자금을 회수해 반환하는 행위에 대한 면책을 명시합니다. 회수 시 거래소가 자금을 freeze하지 않게 하는 효과도 있습니다.

사용자 보상 또는 화이트햇 보상에 즉시 사용 가능한 자금을 별도 멀티시그에 분리해 둡니다. 거버넌스 통과를 기다릴 시간이 없는 시나리오를 대비합니다.

사용자가 직접 가입할 수 있는 커버 옵션을 안내하거나 프로토콜이 풀 단위로 가입합니다.