Avtale mellom FTC og Illusory Systems
Den føderale handelskommisjonen (FTC) kunngjorde tirsdag at de har nådd en foreslått avtale med Illusory Systems Inc., operatøren av Nomad kryptobridge, relatert til hackingen i 2022 som tappet nesten alle plattformens midler.
Vilkår for avtalen
I henhold til den foreslåtte avtalen vil Illusory bli forbudt fra å feilrepresentere sine sikkerhetspraksiser og må implementere et formelt informasjonssikkerhetsprogram. De vil også være underlagt uavhengige sikkerhetsvurderinger hvert annet år, samt returnere eventuelle gjenopprettede midler som ikke allerede er tilbakebetalt til berørte brukere.
Konsekvenser av utnyttelsen
Byrået opplyste at utnyttelsen resulterte i tyveri av omtrent $186 millioner i digitale eiendeler, noe som etterlot forbrukerne med tap som oversteg $100 millioner. «Fordi Nomad ikke klarte å implementere tilstrekkelige systemer for hendelsesrespons, hadde de ikke en effektiv måte å stoppe utnyttelsen på,» sa FTC i en opprinnelig klage.
«Nomad måtte stole på en ingeniør som var på et fly for å videreformidle kodebiter i en chat frem og tilbake med hendelseslederen på vakt. Som et resultat var Nomad ute av stand til å stenge broen før den var tømt for eiendeler.»
Kommisjonens vurdering
«Kommisjonen vurderte saken og fant grunn til å tro at respondenten hadde brutt Federal Trade Commission Act, og at en klage burde utstedes som angir anklagene i den forbindelse,» skrev FTC i den foreslåtte avtalen. «Kommisjonen aksepterte den signerte samtykkeavtalen og plasserte den på offentlig opptegnelse i en periode på 30 dager for mottak og vurdering av offentlige kommentarer.»
Bakgrunn om Nomad
Lansert i 2021, var Nomad blant et økende antall plattformer som gjorde det mulig for brukere å overføre tokens på tvers av flere blockchain-nettverk, inkludert Ethereum og Avalanche. FTC opplyste at en kodeoppdatering i juni 2022 introduserte en kritisk sårbarhet i en av Nomads smarte kontrakter, som hackere begynte å utnytte 1. august 2022, noe som resulterte i tap av omtrent $186 millioner i Ethereum, USDC, DAI og WBTC.
Illusory Systems» feilgrep
Ifølge byråets klage promoterte Illusory Systems Nomad som «sikkerhetsfokusert» mens de unnlater å tilstrekkelig teste koden, opprettholde klare prosesser for rapportering av sårbarheter og hendelsesrespons, eller implementere grunnleggende sikkerhetstiltak som kunne ha begrenset forbrukertapene. De «unnlot å implementere velkjente sikre kodepraksiser«, som å skrive og gjennomføre tilstrekkelige enhetstester før de la koden i produksjon.»
«Mens Nomad understreket viktigheten av grundig testing av smarte kontrakter i sin markedsføring, testet de i mange tilfeller ikke tilstrekkelig smarte kontrakter, som diskutert av Nomad-ingeniører før utnyttelsen.»
Etterspill og arrestasjoner
I dagene etter hackingen gjenopprettet Nomad $22 millioner av de $190 millioner som ble stjålet. Tidligere i år arresterte israelske myndigheter Alexander Gurevich, og anklaget ham for å ha initiert Nomad-broens utnyttelse. Politiet opplyste at han ble pågrepet på en israelsk flyplass mens han prøvde å flykte til Moskva, dager etter å ha lovlig endret navnet sitt for å unngå oppdagelse. Verken Illusory eller FTC har svart på Decrypts forespørsel om kommentar.
