FTC 強制 Nomad 運營商在 2022 年 $186M 加密貨幣橋梁駭客事件後償還用戶

簡要說明

• 聯邦貿易委員會（FTC）表示，Illusory Systems的Nomad加密橋在黑客利用一個測試不充分的軟體更新後，損失了$186 百萬美元。
• 監管機構指控該公司宣稱自己是「安全第一」，但未能遵循基本的程式碼和事件回應實務。
• 提議的和解方案將要求Illusory退還已追回的資金，全面改革其安全計畫，並接受持續的審計。

Decrypt的藝術、時尚與娛樂中心。

探索SCENE

聯邦貿易委員會（FTC）於週二表示，已與Nomad加密貨幣橋的運營商Illusory Systems Inc.達成一項提議和解，該和解與2022年黑客事件有關，該事件幾乎耗盡了平台的所有資金。

根據提議的和解方案，Illusory將被禁止誤導其安全措施，並被要求實施正式的資訊安全計畫，接受獨立的每兩年安全評估，並退還未已償付給受影響用戶的任何追回資金。

該機構表示，該次攻擊導致約$186 百萬美元的數位資產被盜，造成消費者損失超過$100 百萬美元。

「由於Nomad未能實施充分的事件回應系統，Nomad沒有有效的方式來阻止此次攻擊，」FTC在原始投訴中表示。「Nomad不得不依賴一名工程師（當時在飛機上），透過聊天傳遞程式碼片段，與值班的事件經理進行溝通。結果，Nomad直到資產被清空後才得以關閉橋樑。」

「委員會考慮此事，並認為有理由相信被告已違反聯邦貿易委員會法案，應發布一份指控，說明其相關指控，」FTC在提議的協議中寫道。「委員會接受了已簽署的同意協議，並將其列入公開記錄30天，以接受並考慮公眾意見。」

Nomad於2021年推出，是越來越多平台之一，允許用戶在多個區塊鏈網路（包括以太坊和雪崩）之間轉移代幣。

FTC表示，2022年6月的一次程式碼更新在Nomad的一個智能合約中引入了關鍵漏洞，黑客於2022年8月1日開始利用該漏洞，導致約$186 百萬美元的以太坊、USDC、DAI和WBTC被盜。

根據該機構的投訴，Illusory Systems宣稱Nomad是「安全第一」，但未能充分測試程式碼、維護清晰的漏洞報告和事件回應流程，或部署基本的安全措施來限制用戶損失，並且「未能實施知名的安全程式碼實踐，例如在推送程式碼到生產環境前撰寫並進行充分的單元測試。」

「儘管Nomad在行銷中強調徹底測試智能合約的重要性，但在多次情況下，正如Nomad工程師在攻擊前所討論的，並未充分測試智能合約，」FTC表示。

在黑客事件發生後的幾天內，Nomad已追回$22 百萬美元中的$190 百萬美元。較早前，今年以色列當局逮捕了Alexander Gurevich，指控他發起了Nomad橋的攻擊。警方表示，他在試圖逃往莫斯科時在以色列機場被拘留，幾天前他已合法改名以躲避追蹤。

Illusory和FTC都未對Decrypt的置評請求作出回應。