W skrócie
- FTC poinformowała, że Nomad crypto bridge firmy Illusory Systems stracił 186 milionów dolarów po tym, jak hakerzy wykorzystali słabo przetestowaną aktualizację oprogramowania.
- Organy regulacyjne zarzuciły firmie, że promowała się jako „security-first”, jednocześnie nie stosując podstawowych praktyk kodowania i reagowania na incydenty.
- Proponowana ugoda zobowiązywałaby Illusory do zwrotu odzyskanych środków, gruntownej przebudowy programu bezpieczeństwa oraz poddania się regularnym audytom.
Federalna Komisja Handlu (FTC) poinformowała we wtorek, że osiągnęła proponowaną ugodę z Illusory Systems Inc., operatorem mostu kryptowalutowego Nomad, w związku z atakiem z 2022 roku, który doprowadził do niemal całkowitego opróżnienia środków platformy.
Zgodnie z proponowaną ugodą, Illusory nie będzie mogła fałszywie przedstawiać swoich praktyk bezpieczeństwa, będzie zobowiązana do wdrożenia formalnego programu bezpieczeństwa informacji, poddania się niezależnym dwuletnim audytom bezpieczeństwa oraz zwrotu wszelkich odzyskanych środków, które nie zostały jeszcze zwrócone poszkodowanym użytkownikom.
Agencja poinformowała, że w wyniku exploita skradziono około 186 milionów dolarów w aktywach cyfrowych, a straty konsumentów przekroczyły 100 milionów dolarów.
„Ponieważ Nomad nie wdrożył odpowiednich systemów reagowania na incydenty, nie miał skutecznego sposobu na powstrzymanie exploita” – stwierdziła FTC w oryginalnej skardze. „Nomad musiał polegać na inżynierze, który był w samolocie i przekazywał fragmenty kodu na czacie do menedżera incydentu na dyżurze. W rezultacie Nomad nie był w stanie zamknąć mostu, dopóki nie został on całkowicie opróżniony z aktywów.”
„Komisja rozważyła sprawę i uznała, że ma powody sądzić, iż Odpowiedzialny naruszył ustawę Federal Trade Commission Act, i że należy wydać Skargę przedstawiającą zarzuty w tym zakresie” – napisała FTC w proponowanej ugodzie. „Komisja zaakceptowała podpisaną Ugodę i umieściła ją w rejestrze publicznym na okres 30 dni w celu przyjęcia i rozpatrzenia uwag publicznych.”
Uruchomiony w 2021 roku Nomad był jednym z rosnącej liczby platform umożliwiających użytkownikom transfer tokenów pomiędzy wieloma sieciami blockchain, w tym Ethereum i Avalanche.
FTC poinformowała, że aktualizacja kodu z czerwca 2022 roku wprowadziła krytyczną lukę do jednego ze smart kontraktów Nomad, którą hakerzy zaczęli wykorzystywać 1 sierpnia 2022 roku, co doprowadziło do utraty około 186 milionów dolarów w Ethereum, USDC, DAI i WBTC.
Zgodnie ze skargą agencji, Illusory Systems promowało Nomad jako „security-first”, jednocześnie nie testując odpowiednio kodu, nie utrzymując jasnych procesów zgłaszania podatności i reagowania na incydenty, ani nie wdrażając podstawowych zabezpieczeń, które mogłyby ograniczyć straty konsumentów, oraz „nie wdrożyło dobrze znanych praktyk bezpiecznego kodowania, takich jak pisanie i przeprowadzanie odpowiednich testów jednostkowych przed wdrożeniem kodu do produkcji”.
„Chociaż Nomad podkreślał w marketingu znaczenie dokładnego testowania smart kontraktów, w wielu przypadkach nie testował ich odpowiednio, o czym rozmawiali inżynierowie Nomad przed exploitem” – poinformowała FTC.
W ciągu kilku dni po ataku Nomad odzyskał 22 miliony dolarów z 190 milionów skradzionych środków. Na początku tego roku władze izraelskie aresztowały Alexandra Gurevicha, oskarżając go o zainicjowanie exploita mostu Nomad. Policja poinformowała, że został zatrzymany na lotnisku w Izraelu podczas próby ucieczki do Moskwy, kilka dni po legalnej zmianie nazwiska w celu uniknięcia wykrycia.
Ani Illusory, ani FTC nie odpowiedziały na
