FTC Memaksa Operator Nomad untuk Mengembalikan Dana Pengguna Setelah $186M Peretasan Jembatan Crypto pada 2022

Singkatnya

• FTC mengatakan bahwa jembatan kripto Nomad dari Illusory Systems kehilangan $186 juta setelah peretas mengeksploitasi pembaruan perangkat lunak yang kurang diuji.
• Regulator menuduh perusahaan memasarkan dirinya sebagai “keamanan-pertama” sementara gagal mengikuti praktik dasar pengkodean dan respons insiden.
• Penyelesaian yang diusulkan akan mewajibkan Illusory mengembalikan dana yang dipulihkan, merombak program keamanannya, dan menjalani audit berkelanjutan.

Pusat Seni, Mode, dan Hiburan Decrypt.

Temukan SCENE

Komisi Perdagangan Federal mengatakan Selasa bahwa mereka telah mencapai penyelesaian yang diusulkan dengan Illusory Systems Inc., operator jembatan cryptocurrency Nomad, terkait dengan peretasan tahun 2022 yang menguras hampir semua dana platform.

Dalam penyelesaian yang diusulkan, Illusory akan dilarang dari menyalahartikan praktik keamanannya dan diwajibkan untuk menerapkan program keamanan informasi formal, menyerahkan penilaian keamanan independen setiap dua tahun, dan mengembalikan dana yang dipulihkan yang belum dikembalikan kepada pengguna yang terdampak.

Lembaga tersebut mengatakan bahwa eksploitasi tersebut mengakibatkan pencurian sekitar $186 juta aset digital, meninggalkan kerugian bagi konsumen melebihi $100 juta.

“Karena Nomad gagal menerapkan sistem respons insiden yang memadai, Nomad tidak memiliki cara efektif untuk menghentikan eksploitasi,” kata FTC dalam keluhan asli. “Nomad harus mengandalkan seorang insinyur, yang sedang dalam pesawat, untuk menyampaikan potongan kode dalam obrolan bolak-balik dengan manajer insiden yang bertugas. Akibatnya, Nomad tidak dapat mematikan jembatan sampai setelah asetnya dikuras.”

“Komisi mempertimbangkan masalah ini dan memutuskan bahwa mereka memiliki alasan untuk percaya bahwa Tergugat telah melanggar Undang-Undang Komisi Perdagangan Federal, dan bahwa sebuah Keluhan harus diterbitkan yang menyatakan tuduhan tersebut,” tulis FTC dalam perjanjian yang diusulkan. “Komisi menerima Perjanjian Persetujuan yang dilaksanakan dan menempatkannya dalam catatan publik selama 30 hari untuk penerimaan dan pertimbangan komentar publik.”

Diluncurkan pada 2021, Nomad termasuk platform yang semakin berkembang yang memungkinkan pengguna mentransfer token antar berbagai jaringan blockchain, termasuk Ethereum dan Avalanche.

FTC mengatakan bahwa pembaruan kode Juni 2022 memperkenalkan kerentanan kritis ke salah satu kontrak pintar Nomad, yang mulai dieksploitasi oleh peretas pada 1 Agustus 2022, mengakibatkan kehilangan sekitar $186 juta dalam Ethereum, USDC, DAI, dan WBTC.

Menurut keluhan lembaga tersebut, Illusory Systems mempromosikan Nomad sebagai “keamanan-pertama” sementara gagal menguji kode secara memadai, menjaga proses pelaporan kerentanan dan respons insiden yang jelas, atau menerapkan perlindungan dasar yang dapat membatasi kerugian konsumen dan “gagal menerapkan praktik pengkodean aman yang sudah dikenal, seperti menulis dan melakukan pengujian unit yang memadai sebelum mendorong kode ke produksi.”

“Walaupun Nomad menekankan pentingnya pengujian menyeluruh kontrak pintar dalam pemasaran mereka, dalam banyak kasus, mereka tidak menguji kontrak pintar secara memadai, seperti yang dibahas oleh insinyur Nomad sebelum eksploitasi,” kata FTC.

Dalam beberapa hari setelah peretasan, Nomad memulihkan $22 juta dari $190 juta yang dicuri. Awal tahun ini, otoritas Israel menangkap Alexander Gurevich, menuduhnya memulai eksploitasi jembatan Nomad. Polisi mengatakan dia ditahan di bandara Israel saat mencoba melarikan diri ke Moskow, beberapa hari setelah mengubah nama secara hukum untuk menghindari deteksi.

Baik Illusory maupun FTC tidak menanggapi permintaan Decrypt untuk komentar.*