FTC Obriga Operador da Nomad a Reembolsar Usuários Após $186M Hackeamento da Ponte Cripto em 2022

Em resumo

• A FTC afirmou que a ponte de criptomoedas Nomad, da Illusory Systems, perdeu $186 milhões após hackers explorarem uma atualização de software mal testada.
• Os reguladores alegaram que a empresa se promovia como “segurança em primeiro lugar” enquanto não seguia práticas básicas de codificação e resposta a incidentes.
• Um acordo proposto exigiria que a Illusory devolvesse os fundos recuperados, reformulasse seu programa de segurança e passasse por auditorias contínuas.

Centro de Arte, Moda e Entretenimento da Decrypt.

Descubra SCENE

A Federal Trade Commission anunciou na terça-feira que chegou a um acordo proposto com a Illusory Systems Inc., operadora da ponte de criptomoedas Nomad, relacionado ao hack de 2022 que esvaziou quase todos os fundos da plataforma.

Sob o acordo proposto, a Illusory ficaria proibida de fazer representações enganosas sobre suas práticas de segurança e seria obrigada a implementar um programa formal de segurança da informação, submeter-se a avaliações de segurança independentes bienais e devolver quaisquer fundos recuperados que ainda não tenham sido reembolsados aos usuários afetados.

A agência afirmou que a exploração resultou no roubo de cerca de $186 milhões em ativos digitais, deixando os consumidores com perdas superiores a $100 milhões.

“Porque a Nomad não implementou sistemas adequados de resposta a incidentes, a Nomad não tinha uma maneira eficaz de interromper a exploração,” disse a FTC em uma queixa original. “A Nomad teve que confiar em um engenheiro, que estava em um avião, para transmitir trechos de código em um chat com o gerente de incidentes de plantão. Como resultado, a Nomad não conseguiu desligar a ponte até que ela tivesse sido esvaziada de ativos.”

“A Comissão considerou o assunto e determinou que tinha motivos para acreditar que o Respondente violou a Lei da Federal Trade Commission, e que uma Queixa deveria ser emitida declarando suas acusações nesse sentido,” escreveu a FTC no acordo proposto. “A Comissão aceitou o Acordo de Consentimento executado e o colocou no registro público por um período de 30 dias para recebimento e consideração de comentários públicos.”

Lançada em 2021, a Nomad estava entre um número crescente de plataformas que permitiam aos usuários transferir tokens entre várias redes blockchain, incluindo Ethereum e Avalanche.

A FTC afirmou que uma atualização de código de junho de 2022 introduziu uma vulnerabilidade crítica em um dos contratos inteligentes da Nomad, que hackers começaram a explorar em 1 de agosto de 2022, resultando na perda de aproximadamente $186 milhões em Ethereum, USDC, DAI e WBTC.

De acordo com a queixa da agência, a Illusory Systems promoveu a Nomad como “segurança em primeiro lugar” enquanto não testava adequadamente o código, mantinha processos claros de reporte de vulnerabilidades e resposta a incidentes, ou implantava salvaguardas básicas que poderiam ter limitado as perdas dos consumidores e “não implementou práticas de codificação segura bem conhecidas, como escrever e realizar testes unitários adequados antes de colocar o código em produção.”

“Embora a Nomad enfatizasse a importância de testar minuciosamente contratos inteligentes em sua publicidade, em muitas ocasiões, ela não testou adequadamente os contratos inteligentes, como discutido pelos engenheiros da Nomad antes do exploit,” afirmou a FTC.

Nos dias seguintes ao hack, a Nomad recuperou $22 milhões dos $190 milhões roubados. No início deste ano, as autoridades israelenses prenderam Alexander Gurevich, acusando-o de iniciar o exploit na ponte Nomad. A polícia afirmou que ele foi detido em um aeroporto israelense enquanto tentava fugir para Moscou, dias após mudar legalmente seu nome para evitar detecção.

Nem a Illusory nem a FTC responderam aos pedidos de comentário da Decrypt.