FTC Buộc Nhà Điều Hành Nomad Phải Hoàn Tiền Cho Người Dùng Sau Vụ Tấn Công $186M Cầu Nối Crypto Năm 2022

Tóm tắt

• Ủy ban Thương mại Liên bang (FTC) cho biết Illusory Systems’ Nomad crypto bridge đã mất $186 triệu sau khi hacker khai thác một bản cập nhật phần mềm kém kiểm thử.
• Các nhà quản lý cáo buộc công ty đã tự quảng cáo là “an toàn hàng đầu” trong khi không tuân thủ các thực hành lập trình và phản ứng sự cố cơ bản.
• Một thỏa thuận đề xuất sẽ yêu cầu Illusory hoàn trả các khoản tiền đã phục hồi, cải tổ chương trình an ninh của mình và thực hiện các cuộc kiểm tra định kỳ liên tục.

Trung tâm Nghệ thuật, Thời trang và Giải trí của Decrypt.

Khám phá SCENE

Ủy ban Thương mại Liên bang cho biết vào thứ Ba đã đạt được một thỏa thuận đề xuất với Illusory Systems Inc., nhà điều hành của cầu nối tiền điện tử Nomad, liên quan đến vụ hack năm 2022 đã làm rút hết gần như toàn bộ quỹ của nền tảng.

Theo thỏa thuận đề xuất, Illusory sẽ bị cấm xuyên tạc các thực hành an ninh của mình và phải thực hiện một chương trình an ninh thông tin chính thức, nộp các đánh giá an ninh độc lập hai năm một lần, và hoàn trả bất kỳ khoản tiền nào đã phục hồi chưa được hoàn trả cho người dùng bị ảnh hưởng.

Cơ quan cho biết vụ khai thác đã dẫn đến việc trộm cắp khoảng $186 triệu tài sản kỹ thuật số, khiến người tiêu dùng thiệt hại vượt quá $100 triệu.

“Vì Nomad không thực hiện các hệ thống phản ứng sự cố đầy đủ, Nomad không có cách hiệu quả để ngăn chặn vụ khai thác,” FTC cho biết trong một đơn kiện ban đầu. “Nomad phải dựa vào một kỹ sư, người đang trên máy bay, để truyền đoạn mã trong một cuộc trò chuyện qua lại với người quản lý sự cố đang làm việc. Do đó, Nomad không thể đóng cửa cầu nối cho đến khi nó đã bị rút hết tài sản.”

“Ủy ban đã xem xét vấn đề và xác định rằng có lý do để tin rằng Bị đơn đã vi phạm Đạo luật Ủy ban Thương mại Liên bang, và rằng một Đơn kiện nên được ban hành nêu rõ các cáo buộc liên quan,” FTC viết trong thỏa thuận đề xuất. “Ủy ban đã chấp nhận Thỏa thuận Đồng ý đã thực thi và đưa nó vào hồ sơ công khai trong vòng 30 ngày để nhận và xem xét các ý kiến công chúng.”

Ra mắt vào năm 2021, Nomad nằm trong số ngày càng nhiều nền tảng cho phép người dùng chuyển token qua nhiều mạng blockchain, bao gồm Ethereum và Avalanche.

FTC cho biết một bản cập nhật mã vào tháng 6 năm 2022 đã giới thiệu một lỗ hổng nghiêm trọng vào một trong các hợp đồng thông minh của Nomad, mà hacker bắt đầu khai thác từ ngày 1 tháng 8 năm 2022, dẫn đến mất khoảng $186 triệu Ethereum, USDC, DAI và WBTC.

Theo đơn kiện của cơ quan, Illusory Systems đã quảng bá Nomad là “an toàn hàng đầu” trong khi không kiểm thử mã đầy đủ, duy trì các quy trình báo cáo lỗ hổng và phản ứng sự cố rõ ràng, hoặc triển khai các biện pháp bảo vệ cơ bản có thể hạn chế thiệt hại cho người tiêu dùng và “không thực hiện các thực hành lập trình an toàn đã được biết đến, như viết và thực hiện các bài kiểm tra đơn vị đầy đủ trước khi đẩy mã vào sản xuất.”

“Trong khi Nomad nhấn mạnh tầm quan trọng của việc kiểm thử kỹ lưỡng các hợp đồng thông minh trong chiến dịch tiếp thị của mình, trong nhiều trường hợp, họ đã không kiểm thử hợp đồng thông minh đầy đủ, như các kỹ sư của Nomad đã thảo luận trước vụ khai thác,” FTC cho biết.

Trong những ngày sau vụ hack, Nomad đã phục hồi $22 triệu trong số $190 triệu bị đánh cắp. Đầu năm nay, chính quyền Israel đã bắt giữ Alexander Gurevich, cáo buộc anh ta đã khởi xướng vụ khai thác cầu Nomad. Cảnh sát cho biết anh ta bị bắt giữ tại một sân bay Israel khi cố trốn sang Moscow, vài ngày sau khi đổi tên hợp pháp để tránh bị phát hiện.

Cả Illusory lẫn FTC đều không phản hồi yêu cầu bình luận của Decrypt.