Sa madaling sabi
- Sinabi ng FTC na ang Nomad crypto bridge ng Illusory Systems ay nawalan ng $186 milyon matapos samantalahin ng mga hacker ang isang hindi maayos na nasubukang software update.
- Ipinahayag ng mga regulator na ipinakilala ng kumpanya ang sarili nito bilang “security-first” habang nabigong sundin ang mga pangunahing kasanayan sa pag-coding at incident-response.
- Ang isang iminungkahing kasunduan ay mag-oobliga sa Illusory na ibalik ang mga nabawing pondo, baguhin ang kanilang security program, at sumailalim sa patuloy na mga audit.
Sinabi ng Federal Trade Commission nitong Martes na nakarating ito sa isang iminungkahing kasunduan sa Illusory Systems Inc., ang operator ng Nomad cryptocurrency bridge, kaugnay ng 2022 hack na nagdulot ng halos pagkaubos ng lahat ng pondo ng platform.
Sa ilalim ng iminungkahing kasunduan, ipagbabawal sa Illusory ang maling paglalarawan ng kanilang mga security practices at oobligahin silang magpatupad ng pormal na information-security program, sumailalim sa independent biennial security assessments, at ibalik ang anumang nabawing pondo na hindi pa naibabalik sa mga apektadong user.
Ayon sa ahensya, ang exploit ay nagresulta sa pagnanakaw ng humigit-kumulang $186 milyon sa digital assets, na nagdulot ng pagkalugi ng mahigit $100 milyon sa mga consumer.
“Dahil nabigong magpatupad ng sapat na incident response systems ang Nomad, wala silang epektibong paraan upang mapigilan ang exploit,” ayon sa orihinal na reklamo ng FTC. “Kinailangan ng Nomad na umasa sa isang engineer, na nasa eroplano, upang magpadala ng code snippets sa chat pabalik-balik sa incident manager na naka-duty. Bilang resulta, hindi na-shutdown ng Nomad ang bridge hanggang sa maubos na ang mga asset nito.”
“Isinasaalang-alang ng Komisyon ang usapin at napagpasyahan na may dahilan upang maniwala na nilabag ng Respondent ang Federal Trade Commission Act, at dapat maglabas ng Reklamo na nagsasaad ng mga paratang ukol dito,” isinulat ng FTC sa iminungkahing kasunduan. “Tinanggap ng Komisyon ang pinirmahang Consent Agreement at inilagay ito sa pampublikong rekord sa loob ng 30 araw para sa pagtanggap at pagsasaalang-alang ng mga pampublikong komento.”
Inilunsad noong 2021, ang Nomad ay kabilang sa dumaraming bilang ng mga platform na nagpapahintulot sa mga user na maglipat ng mga token sa iba’t ibang blockchain network, kabilang ang Ethereum at Avalanche.
Sinabi ng FTC na ang isang code update noong Hunyo 2022 ay nagpakilala ng isang kritikal na kahinaan sa isa sa mga smart contract ng Nomad, na sinimulang samantalahin ng mga hacker noong Agosto 1, 2022, na nagresulta sa pagkawala ng humigit-kumulang $186 milyon sa Ethereum, USDC, DAI, at WBTC.
Ayon sa reklamo ng ahensya, ipinromote ng Illusory Systems ang Nomad bilang “security-first” habang nabigong sapat na subukan ang code, panatilihin ang malinaw na proseso ng vulnerability-reporting at incident-response, o magpatupad ng mga pangunahing pananggalang na sana ay nakapagpaliit ng pagkalugi ng mga consumer at “nabigong ipatupad ang mga kilalang secure coding practices, tulad ng pagsusulat at pagsasagawa ng sapat na unit tests bago ilagay ang code sa production.”
“Habang binigyang-diin ng Nomad ang kahalagahan ng masusing pagsusuri ng smart contracts sa kanilang marketing, sa maraming pagkakataon, hindi nila sapat na nasubukan ang smart contracts, gaya ng napag-usapan ng mga engineer ng Nomad bago ang exploit,” ayon sa FTC.
Sa mga araw matapos ang hack, nabawi ng Nomad ang $22 milyon mula sa $190 milyon na ninakaw. Mas maaga ngayong taon, inaresto ng mga awtoridad ng Israel si Alexander Gurevich, na inakusahan ng pagsisimula ng Nomad bridge exploit. Sinabi ng pulisya na siya ay naaresto sa isang paliparan sa Israel habang tinatangkang tumakas patungong Moscow, ilang araw matapos legal na baguhin ang kanyang pangalan upang makaiwas sa pagkakakilanlan.
Hindi tumugon ang Illusory o ang FTC sa
