FTC oblige l'opérateur de Nomad à rembourser les utilisateurs après le piratage de $186M Crypto Bridge en 2022

En résumé

• La FTC a déclaré que le pont crypto Nomad d’Illusory Systems a perdu $186 millions après que des hackers ont exploité une mise à jour logicielle mal testée.
• Les régulateurs ont allégué que l’entreprise se présentait comme « axée sur la sécurité » tout en ne respectant pas les pratiques de codage et de réponse aux incidents de base.
• Un règlement proposé obligerait Illusory à restituer les fonds récupérés, à réviser son programme de sécurité et à subir des audits réguliers.

Le Hub d’Art, Mode et Divertissement de Decrypt.

Découvrir SCENE

La Federal Trade Commission a déclaré mardi avoir conclu un règlement proposé avec Illusory Systems Inc., l’opérateur du pont de cryptomonnaie Nomad, lié au piratage de 2022 qui a drainé presque tous les fonds de la plateforme.

Selon le règlement proposé, Illusory serait interdit de faire de fausses déclarations sur ses pratiques de sécurité et obligé de mettre en place un programme formel de sécurité de l’information, de se soumettre à des évaluations de sécurité indépendantes tous les deux ans, et de restituer tous les fonds récupérés non déjà remboursés aux utilisateurs affectés.

L’agence a indiqué que l’exploitation a entraîné le vol d’environ $186 millions en actifs numériques, laissant les consommateurs avec des pertes dépassant $100 millions.

« Parce que Nomad n’a pas mis en œuvre de systèmes de réponse aux incidents adéquats, Nomad n’avait pas de moyen efficace pour arrêter l’exploitation », a déclaré la FTC dans une plainte initiale. « Nomad a dû compter sur un ingénieur, qui était dans un avion, pour relayer des extraits de code dans un chat avec le responsable de l’incident en service. En conséquence, Nomad n’a pas pu fermer le pont avant qu’il ne soit vidé d’actifs. »

« La Commission a examiné la question et a déterminé qu’elle avait des raisons de croire que le Défendeur a violé la Federal Trade Commission Act, et qu’une plainte devrait être émise pour exposer ses accusations à ce sujet », a écrit la FTC dans l’accord proposé. « La Commission a accepté l’Accord de Consentement exécuté et l’a mis en dossier public pour une période de 30 jours afin de recevoir et d’examiner les commentaires publics. »

Lancé en 2021, Nomad faisait partie d’un nombre croissant de plateformes permettant aux utilisateurs de transférer des jetons entre plusieurs réseaux blockchain, notamment Ethereum et Avalanche.

La FTC a indiqué qu’une mise à jour du code de juin 2022 a introduit une vulnérabilité critique dans l’un des contrats intelligents de Nomad, que des hackers ont commencé à exploiter le 1er août 2022, entraînant la perte d’environ $186 millions en Ethereum, USDC, DAI et WBTC.

Selon la plainte de l’agence, Illusory Systems a promu Nomad comme « axé sur la sécurité » tout en ne testant pas adéquatement le code, en ne maintenant pas de processus clairs de signalement de vulnérabilités et de réponse aux incidents, ou en déployant des mesures de sécurité de base qui auraient pu limiter les pertes des consommateurs et « n’a pas mis en œuvre des pratiques de codage sécurisé bien connues, telles que la rédaction et la réalisation de tests unitaires adéquats avant de pousser le code en production. »

« Bien que Nomad ait insisté sur l’importance de tester minutieusement les contrats intelligents dans sa communication, dans de nombreux cas, il n’a pas testé adéquatement ces contrats, comme l’ont expliqué les ingénieurs de Nomad avant l’exploitation », a déclaré la FTC.

Dans les jours suivant le piratage, Nomad a récupéré $22 millions sur les $190 millions volés. Plus tôt cette année, les autorités israéliennes ont arrêté Alexander Gurevich, l’accusant d’avoir initié l’exploitation du pont Nomad. La police a déclaré qu’il avait été arrêté à un aéroport israélien alors qu’il tentait de fuir vers Moscou, quelques jours après avoir changé légalement de nom pour échapper à la détection.

Ni Illusory ni la FTC n’ont répondu aux demandes de Decrypt pour un commentaire.