FTC принуждает оператора Nomad вернуть деньги пользователям после взлома $186M крипто-моста в 2022 году

Вкратце

• Федеральная торговая комиссия (FTC) заявила, что криптовалютный мост Nomad компании Illusory Systems потерял $186 миллион после того, как хакеры использовали плохо протестированное программное обновление.
• Регуляторы утверждали, что компания позиционировала себя как «безопасность в первую очередь», при этом не соблюдая базовые практики кодирования и реагирования на инциденты.
• Предлагаемое соглашение предусматривает, что Illusory вернет восстановленные средства, полностью пересмотрит свою программу безопасности и пройдет регулярные аудиты.

Центр искусства, моды и развлечений Decrypt.

Откройте для себя SCENE

Федеральная торговая комиссия заявила во вторник, что достигла предложенного соглашения с Illusory Systems Inc., оператором криптовалютного моста Nomad, связанного с хакерской атакой 2022 года, которая почти полностью опустошила платформу.

Согласно предложенному соглашению, Illusory будет запрещено искажать информацию о своих мерах безопасности, а также потребуется внедрить официальную программу информационной безопасности, проходить независимые двухгодичные оценки безопасности и вернуть любые восстановленные средства, не возвращенные уже пострадавшим пользователям.

Агентство заявило, что взлом привел к краже около $186 миллиона цифровых активов, что привело к убыткам потребителей на сумму более $100 миллионов.

«Поскольку Nomad не внедрил адекватные системы реагирования на инциденты, у Nomad не было эффективного способа остановить взлом», — говорится в первоначальной жалобе FTC. «Nomad пришлось полагаться на инженера, который находился в самолете, чтобы передавать фрагменты кода в чат и обратно с дежурным менеджером по инцидентам. В результате Nomad не смог закрыть мост до того, как он был опустошен активами.»

«Комиссия рассмотрела этот вопрос и пришла к выводу, что есть основания полагать, что Ответчик нарушил Закон о Федеральной торговой комиссии, и что должно быть вынесено Жалоба с изложением обвинений в этом отношении», — написано в предложенном соглашении FTC. «Комиссия приняла подписанное Согласие и разместила его в публичном доступе на 30 дней для получения и рассмотрения общественных комментариев.»

Запущенный в 2021 году, Nomad стал одним из растущего числа платформ, позволяющих пользователям переводить токены между несколькими блокчейн-сетями, включая Ethereum и Avalanche.

FTC заявила, что обновление кода в июне 2022 года внедрило критическую уязвимость в один из смарт-контрактов Nomad, которую хакеры начали эксплуатировать 1 августа 2022 года, что привело к потере примерно $186 миллиона в Ethereum, USDC, DAI и WBTC.

По жалобе агентства, Illusory Systems продвигала Nomad как «безопасность в первую очередь», при этом не проводя должного тестирования кода, не поддерживая четкие процессы отчетности о уязвимостях и реагирования на инциденты, а также не внедряя базовые меры безопасности, которые могли бы ограничить потери потребителей, и «не реализовала хорошо известные практики безопасного программирования, такие как написание и проведение достаточного модульного тестирования перед внедрением кода в производство.»

«Хотя Nomad подчеркивала важность тщательного тестирования смарт-контрактов в своей маркетинговой стратегии, во многих случаях она не проводила достаточного тестирования смарт-контрактов, как обсуждали инженеры Nomad до взлома», — заявила FTC.

В последующие дни после взлома Nomad восстановила $22 миллион из украденных $190 миллионов. В начале этого года израильские власти арестовали Александра Гуревича, обвиняя его в инициировании взлома моста Nomad. Полиция заявила, что он был задержан в израильском аэропорту, пытаясь сбежать в Москву, через несколько дней после того, как он легально сменил имя, чтобы избежать обнаружения.

Ни Illusory, ни FTC не ответили на запросы Decrypt о комментариях.*