探索SCENE
聯邦貿易委員會(FTC)於週二表示,已與Nomad加密貨幣橋的運營商Illusory Systems Inc.達成一項提議和解,該和解與2022年黑客事件有關,該事件幾乎耗盡了平台的所有資金。
根據提議的和解方案,Illusory將被禁止誤導其安全措施,並被要求實施正式的資訊安全計畫,接受獨立的每兩年安全評估,並退還未已償付給受影響用戶的任何追回資金。
該機構表示,該次攻擊導致約$186 百萬美元的數位資產被盜,造成消費者損失超過$100 百萬美元。
「由於Nomad未能實施充分的事件回應系統,Nomad沒有有效的方式來阻止此次攻擊,」FTC在原始投訴中表示。「Nomad不得不依賴一名工程師(當時在飛機上),透過聊天傳遞程式碼片段,與值班的事件經理進行溝通。結果,Nomad直到資產被清空後才得以關閉橋樑。」
「委員會考慮此事,並認為有理由相信被告已違反聯邦貿易委員會法案,應發布一份指控,說明其相關指控,」FTC在提議的協議中寫道。「委員會接受了已簽署的同意協議,並將其列入公開記錄30天,以接受並考慮公眾意見。」
Nomad於2021年推出,是越來越多平台之一,允許用戶在多個區塊鏈網路(包括以太坊和雪崩)之間轉移代幣。
FTC表示,2022年6月的一次程式碼更新在Nomad的一個智能合約中引入了關鍵漏洞,黑客於2022年8月1日開始利用該漏洞,導致約$186 百萬美元的以太坊、USDC、DAI和WBTC被盜。
根據該機構的投訴,Illusory Systems宣稱Nomad是「安全第一」,但未能充分測試程式碼、維護清晰的漏洞報告和事件回應流程,或部署基本的安全措施來限制用戶損失,並且「未能實施知名的安全程式碼實踐,例如在推送程式碼到生產環境前撰寫並進行充分的單元測試。」
「儘管Nomad在行銷中強調徹底測試智能合約的重要性,但在多次情況下,正如Nomad工程師在攻擊前所討論的,並未充分測試智能合約,」FTC表示。
在黑客事件發生後的幾天內,Nomad已追回$22 百萬美元中的$190 百萬美元。較早前,今年以色列當局逮捕了Alexander Gurevich,指控他發起了Nomad橋的攻擊。警方表示,他在試圖逃往莫斯科時在以色列機場被拘留,幾天前他已合法改名以躲避追蹤。
Illusory和FTC都未對Decrypt的置評請求作出回應。
