FTC зобов’язує оператора Nomad повернути кошти користувачам після $186M злому крипто-моста у 2022 році

Коротко

• Федеральна торгова комісія повідомила, що криптовалютний міст Nomad від Illusory Systems втратив $186 мільйонів після того, як хакери експлуатували погано протестоване оновлення програмного забезпечення.
• Регулятори стверджували, що компанія позиціонувала себе як «безпека перш за все», але не дотримувалася базових практик кодування та реагування на інциденти.
• Запропоноване врегулювання передбачає, що Illusory поверне відновлені кошти, перегляне свою програму безпеки та пройде постійні аудити.

Центр мистецтва, моди та розваг Decrypt.

Відкрийте SCENE

Федеральна торгова комісія повідомила у вівторок, що досягла запропонованого врегулювання з Illusory Systems Inc., оператором криптовалютного мосту Nomad, у зв’язку з хакерською атакою 2022 року, яка зняла майже всі кошти платформи.

За умовами запропонованого врегулювання, Illusory заборонено неправдиво представляти свої практики безпеки та зобов’язано впровадити офіційну програму інформаційної безпеки, піддаватися незалежним дворазовим аудитам безпеки та повернути будь-які відновлені кошти, які ще не були повернені постраждалим користувачам.

Агентство повідомило, що експлуатація призвела до крадіжки близько $186 мільйонів у цифрових активів, залишивши споживачів з втратами понад $100 мільйонів.

«Оскільки Nomad не впровадив належних систем реагування на інциденти, у нього не було ефективного способу зупинити експлуатацію», — повідомила FTC у первинній скарзі. «Nomad довелося покладатися на інженера, який був у літаку, щоб передавати фрагменти коду у чаті назад і вперед з менеджером інциденту. Внаслідок цього Nomad не зміг закрити міст до того, як він був очищений від активів.»

«Комісія розглянула це питання і визначила, що має підстави вважати, що Відповідач порушив Закон про Федеральну торгову комісію, і що має бути видано скаргу з відповідними звинуваченнями», — написано у запропонованій угоді. «Комісія прийняла підписану Угоду про згоду та розмістила її у публічному реєстрі на 30 днів для отримання та розгляду громадських коментарів.»

Запущений у 2021 році, Nomad був серед зростаючої кількості платформ, що дозволяли користувачам передавати токени між кількома блокчейн-мережами, включаючи Ethereum та Avalanche.

FTC повідомила, що оновлення коду у червні 2022 року ввело критичну вразливість у один із смарт-контрактів Nomad, яку хакери почали експлуатувати 1 серпня 2022 року, що призвело до втрати приблизно $186 мільйонів у Ethereum, USDC, DAI та WBTC.

Згідно з скаргою агентства, Illusory Systems просувала Nomad як «безпека перш за все», але не тестувала належним чином код, не підтримувала чіткі процеси повідомлення про вразливості та реагування на інциденти або впроваджувала базові заходи безпеки, які могли б обмежити втрати споживачів, і «не впроваджувала добре відомі практики безпечного кодування, такі як написання та проведення достатніх модульних тестів перед розгортанням коду у виробництво.»

«Хоча Nomad наголошував на важливості ретельного тестування смарт-контрактів у своїй маркетинговій кампанії, у багатьох випадках він не тестував смарт-контракти належним чином, як обговорювали інженери Nomad перед експлуатацією», — повідомила FTC.

У дні після хакерської атаки Nomad відновила $22 мільйонів із $190 мільйонів викрадених. Раніше цього року ізраїльські власті заарештували Олександра Гуревича, звинувативши його у ініціюванні експлуатації мосту Nomad. Поліція повідомила, що його затримали в ізраїльському аеропорту, коли він намагався втекти до Москви, через кілька днів після того, як він легально змінив ім’я, щоб уникнути виявлення.

Ні Illusory, ні FTC не відповіли на запити Decrypt щодо коментарів.