FTC Indgår Aftale med Illusory Systems
Den Føderale Handelskommission (FTC) meddelte tirsdag, at den har indgået en foreslået aftale med Illusory Systems Inc., operatøren af Nomad cryptocurrency-broen, i forbindelse med hacken i 2022, der drænede næsten alle platformens midler.
Vilkår for Aftalen
Ifølge den foreslåede aftale vil Illusory blive forbudt mod at misrepræsentere sine sikkerhedspraksisser og skal implementere et formelt informationssikkerhedsprogram. Desuden skal de underkaste sig uafhængige sikkerhedsvurderinger hvert andet år og returnere eventuelle genvundne midler, der ikke allerede er blevet tilbagebetalt til de berørte brugere.
Hændelsen og Konsekvenserne
Agenturet oplyste, at udnyttelsen resulterede i tyveri af omkring $186 millioner i digitale aktiver, hvilket efterlod forbrugerne med tab, der oversteg $100 millioner. “Fordi Nomad ikke formåede at implementere tilstrækkelige systemer til håndtering af hændelser, havde de ikke en effektiv måde at stoppe udnyttelsen på,” sagde FTC i en oprindelig klage.
“Nomad måtte stole på en ingeniør, der var i et fly, til at videregive kodeudsnit i en chat frem og tilbage med den ansvarlige hændelsesmanager. Som et resultat var Nomad ikke i stand til at lukke broen, før den var blevet tømt for aktiver.”
Kommissionens Overvejelser
“Kommissionen overvejede sagen og fastslog, at den havde grund til at tro, at respondenten havde overtrådt den føderale handelskommissionslov, og at en klage skulle udstedes, der angav dens anklager i den henseende,” skrev FTC i den foreslåede aftale. “Kommissionen accepterede den udførte samtykkeaftale og placerede den på det offentlige register i en periode på 30 dage til modtagelse og overvejelse af offentlige kommentarer.”
Baggrund om Nomad
Nomad, der blev lanceret i 2021, var blandt et voksende antal platforme, der gjorde det muligt for brugere at overføre tokens på tværs af flere blockchain-netværk, herunder Ethereum og Avalanche. FTC oplyste, at en kodeopdatering i juni 2022 introducerede en kritisk sårbarhed i en af Nomads smarte kontrakter, som hackere begyndte at udnytte den 1. august 2022.
Illusory Systems’ Sikkerhedspraksis
Ifølge agenturets klage promoverede Illusory Systems Nomad som “sikkerhedsførst”, mens de ikke formåede at teste koden tilstrækkeligt, opretholde klare processer for rapportering af sårbarheder og håndtering af hændelser eller implementere grundlæggende sikkerhedsforanstaltninger, der kunne have begrænset forbrugertabene.
“Mens Nomad understregede vigtigheden af grundigt at teste smarte kontrakter i sin markedsføring, testede de i mange tilfælde ikke smarte kontrakter tilstrækkeligt, som diskuteret af Nomad-ingeniører før udnyttelsen.”
Efterspillet
I dagene efter hacken genvandt Nomad $22 millioner af de $190 millioner, der blev stjålet. Tidligere på året arresterede israelske myndigheder Alexander Gurevich og anklagede ham for at have initieret Nomad-broens udnyttelse. Politiet oplyste, at han blev tilbageholdt i en israelsk lufthavn, mens han forsøgte at flygte til Moskva, dage efter at han lovligt havde ændret sit navn for at undgå opdagelse.
Hverken Illusory eller FTC svarede på Decrypts anmodninger om kommentar.
