FTC 迫使 Nomad 运营商在2022年$186M 次加密桥梁被攻破后偿还用户

简要概述

• 联邦贸易委员会（FTC）表示，Illusory Systems的Nomad加密货币桥在黑客利用一次测试不充分的软件更新后，损失了$186 百万。
• 监管机构指控该公司宣传自己为“安全第一”，但未能遵循基本的编码和事件响应实践。
• 提议的和解方案将要求Illusory归还追回的资金，全面改进其安全计划，并接受持续的审计。

Decrypt的艺术、时尚与娱乐中心。

发现场景

联邦贸易委员会（FTC）周二表示，已与Nomad加密货币桥的运营商Illusory Systems Inc.达成一项提议的和解，涉及2022年黑客事件，该事件几乎耗尽了平台的所有资金。

根据提议的和解，Illusory将被禁止虚假陈述其安全措施，并被要求实施正式的信息安全计划，接受独立的每两年一次的安全评估，并归还未偿还的受影响用户的追回资金。

该机构表示，此次漏洞导致约$186 百万数字资产被盗，消费者损失超过$100 百万。

“由于Nomad未能实施充分的事件响应系统，Nomad没有有效的方式阻止此次漏洞，”FTC在原始投诉中表示。“Nomad不得不依赖一名在飞机上的工程师，通过聊天传递代码片段，与值班的事件经理进行沟通。因此，Nomad未能在资产被清空之前关闭桥。”

“委员会考虑了此事，并认为有理由相信被告违反了《联邦贸易委员会法》，应当发出起诉书，指控其相关行为，”FTC在提议的协议中写道。“委员会接受了已执行的同意协议，并将其列入公共记录30天，以便公众发表评论和审议。”

Nomad于2021年推出，是一批日益增长的平台之一，允许用户在多个区块链网络之间转移代币，包括以太坊和Avalanche。

FTC表示，2022年6月的一次代码更新在Nomad的某个智能合约中引入了关键漏洞，黑客于2022年8月1日开始利用该漏洞，导致约$186 百万以太坊、USDC、DAI和WBTC被盗。

根据该机构的投诉，Illusory Systems宣传Nomad为“安全第一”，但未能充分测试代码、维护清晰的漏洞报告和事件响应流程，或部署基本的安全措施，这些措施本可以限制消费者的损失，并“未能实施众所周知的安全编码实践，例如在将代码推入生产环境之前编写和进行充分的单元测试。”

“虽然Nomad在其营销中强调了彻底测试智能合约的重要性，但在许多情况下，未能充分测试智能合约，正如Nomad工程师在黑客事件前所讨论的那样，”FTC表示。

在黑客事件发生后的几天内，Nomad已追回$22 百万中的$190 百万。今年早些时候，以色列当局逮捕了Alexander Gurevich，指控他发起了Nomad桥的漏洞利用。警方称，他在试图逃往莫斯科时在以色列机场被拘留，此前他已合法改名以躲避追查。

Illusory和FTC均未对Decrypt的置评请求作出回应。