EIP-1470은 스마트 컨트랙트 보안 취약점을 분류하는 표준 체계인 SWC(Smart Contract Weakness Classification) 레지스트리를 제안합니다. 현재 정체 상태이나, 보안 감사 분야에서 사실상의 표준으로 활용되었습니다.
제안 배경
스마트 컨트랙트 보안 취약점에 대한 공통 분류 체계가 없어 감사 보고서마다 다른 용어를 사용했습니다. EIP-1470은 CWE(Common Weakness Enumeration)를 모델로 한 스마트 컨트랙트 전용 취약점 분류 체계를 만들고자 했습니다.
SWC 레지스트리
SWC-100(함수 기본 공개 설정)부터 SWC-136(미검증 저수준 호출)까지 130여 개의 취약점 유형을 분류했습니다. 각 항목은 취약점 설명, 예시 코드, 완화 방안을 포함하여 실용적인 참조 자료가 되었습니다.
보안 생태계 기여
MythX, Slither, Manticore 등 스마트 컨트랙트 보안 도구들이 SWC ID를 취약점 레이블로 채택했습니다. 감사 회사들도 보고서 작성 시 SWC 분류를 참조하여 업계 표준 언어로 자리잡았습니다.
정체 이유
EIP 프로세스를 통한 공식 표준화보다 커뮤니티 주도의 비공식 표준으로 발전했습니다. SWC 레지스트리 자체는 smartcontractsecurity.github.io에서 독립적으로 관리되고 있으며, EIP 상태와 무관하게 활용되고 있습니다.