FTC与Illusory Systems达成和解协议
美国联邦贸易委员会(FTC)周二宣布,已与Illusory Systems Inc.达成一项拟议的和解协议,该公司是Nomad加密货币桥接平台的运营商。此次和解与2022年的黑客攻击事件有关,该事件几乎耗尽了平台的所有资金。
和解协议的主要内容
根据拟议的和解协议,Illusory将被禁止虚假陈述其安全实践,并需实施正式的信息安全计划,接受独立的双年安全评估,并归还任何尚未偿还给受影响用户的追回资金。FTC表示,此次攻击导致约1.86亿美元的数字资产被盗,消费者的损失超过1亿美元。
FTC在原始投诉中指出:“由于Nomad未能实施足够的事件响应系统,Nomad没有有效的方法来阻止此次攻击。”
该机构补充道:“Nomad不得不依赖一名正在飞行的工程师,通过聊天与值班的事件经理来回传递代码片段。因此,Nomad无法在资产被清空之前关闭桥接。”
委员会的调查与发现
FTC在拟议协议中写道:“委员会考虑了此事,并认为有理由相信被告违反了《联邦贸易委员会法》,并应发出投诉,说明其指控。”委员会接受了签署的同意协议,并将在公共记录上保留30天,以便公众评论。
Nomad于2021年推出,是越来越多的平台之一,使用户能够在多个区块链网络(包括以太坊和Avalanche)之间转移代币。FTC表示,2022年6月的一次代码更新在Nomad的一个智能合约中引入了一个关键漏洞,黑客于2022年8月1日开始利用该漏洞,导致约1.86亿美元的以太坊、USDC、DAI和WBTC被盗。
Illusory Systems的安全失误
根据该机构的投诉,Illusory Systems将Nomad宣传为“安全优先”,但未能充分测试代码,维护清晰的漏洞报告和事件响应流程,或部署基本的安全措施,这些措施本可以限制消费者的损失,并且“未能实施众所周知的安全编码实践,例如在将代码推入生产之前进行充分的单元测试。”
FTC表示:“虽然Nomad在其营销中强调了彻底测试智能合约的重要性,但在许多情况下,它并未充分测试智能合约,正如Nomad工程师在攻击前所讨论的那样。”
后续行动与逮捕
在黑客事件发生后的几天内,Nomad追回了1900万美元的被盗资金。今年早些时候,以色列当局逮捕了亚历山大·古列维奇(Alexander Gurevich),指控他发起了Nomad桥接攻击。警方表示,他在试图逃往莫斯科时在以色列机场被拘留,几天前他合法更改了姓名以逃避追踪。
Illusory和FTC均未回应Decrypt的置评请求。
