Коротко
- FTC заявила, що Nomad криптоміст компанії Illusory Systems втратив 186 мільйонів доларів після того, як хакери скористалися недостатньо протестованим оновленням програмного забезпечення.
- Регулятори стверджують, що компанія позиціонувала себе як “безпека перш за все”, але не дотримувалася базових практик кодування та реагування на інциденти.
- Запропоноване врегулювання зобов’яже Illusory повернути відновлені кошти, повністю переглянути свою програму безпеки та проходити регулярні аудити.
Федеральна торгова комісія у вівторок заявила, що досягла попередньої угоди з Illusory Systems Inc., оператором криптомоста Nomad, щодо злому 2022 року, внаслідок якого було виведено майже всі кошти платформи.
Згідно з запропонованим врегулюванням, Illusory буде заборонено неправдиво представляти свої практики безпеки, компанія повинна буде впровадити формальну програму інформаційної безпеки, проходити незалежні дворічні оцінки безпеки та повертати всі відновлені кошти, які ще не були повернуті постраждалим користувачам.
Агентство повідомило, що експлойт призвів до крадіжки близько 186 мільйонів доларів у цифрових активах, залишивши споживачів із втратами понад 100 мільйонів доларів.
«Оскільки Nomad не впровадив належних систем реагування на інциденти, у Nomad не було ефективного способу зупинити експлойт», — йдеться у первинній скарзі FTC. «Nomad довелося покладатися на інженера, який перебував у літаку, щоб передавати фрагменти коду в чаті менеджеру з інцидентів, який був на зміні. У результаті Nomad не зміг зупинити міст до того, як з нього були виведені всі активи».
«Комісія розглянула це питання і дійшла висновку, що має підстави вважати, що Відповідач порушив Закон про Федеральну торгову комісію, і що має бути видана Скарга з відповідними звинуваченнями», — написала FTC у запропонованій угоді. «Комісія прийняла підписану Угоду про згоду і розмістила її у відкритому доступі на 30 днів для отримання та розгляду громадських коментарів».
Запущений у 2021 році, Nomad був однією з багатьох платформ, що дозволяли користувачам передавати токени між кількома блокчейн-мережами, включаючи Ethereum та Avalanche.
FTC повідомила, що оновлення коду в червні 2022 року призвело до критичної вразливості в одному зі смарт-контрактів Nomad, яку хакери почали використовувати 1 серпня 2022 року, що призвело до втрати приблизно 186 мільйонів доларів у Ethereum, USDC, DAI та WBTC.
Згідно зі скаргою агентства, Illusory Systems просувала Nomad як “безпека перш за все”, але не проводила належного тестування коду, не підтримувала чітких процесів повідомлення про вразливості та реагування на інциденти, а також не впроваджувала базові заходи безпеки, які могли б обмежити втрати споживачів, і “не впровадила відомі практики безпечного кодування, такі як написання та проведення достатньої кількості юніт-тестів перед впровадженням коду у продакшн.”
«Хоча Nomad підкреслював важливість ретельного тестування смарт-контрактів у своїх маркетингових матеріалах, у багатьох випадках смарт-контракти не були належним чином протестовані, як це обговорювали інженери Nomad до експлойту», — заявила FTC.
У дні після злому Nomad вдалося повернути 22 мільйони доларів із 190 мільйонів викрадених. Раніше цього року ізраїльська влада заарештувала Олександра Гуревича, звинувативши його у запуску експлойту Nomad bridge. Поліція повідомила, що його затримали в ізраїльському аеропорту під час спроби втекти до Москви, через кілька днів після того, як він легально змінив ім’я, щоб уникнути виявлення.
Ні Illusory, ні FTC не відповіли на
