連邦取引委員会(FTC)とIllusory Systems Inc.の和解
連邦取引委員会(FTC)は火曜日、Nomad暗号ブリッジのオペレーターであるIllusory Systems Inc.との間で、2022年のハッキングに関連する提案された和解に達したと発表しました。このハッキングにより、プラットフォームの資金のほぼすべてが流出しました。
提案された和解の内容
提案された和解の下で、Illusoryはそのセキュリティ慣行を誤って表現することを禁じられ、正式な情報セキュリティプログラムを実施し、独立した2年ごとのセキュリティ評価を受け、影響を受けたユーザーに返金されていない回収資金を返還することが求められます。
「Nomadは適切なインシデント対応システムを実装できなかったため、ハッキングを防ぐ効果的な方法がありませんでした」とFTCは元の訴状で述べています。
ハッキングの影響と背景
この脆弱性により約1億8600万ドルのデジタル資産が盗まれ、消費者は1億ドルを超える損失を被りました。FTCによると、2022年6月のコード更新により、Nomadのスマートコントラクトの一つに重大な脆弱性が導入され、ハッカーは2022年8月1日からこれを悪用し始めました。
FTCの訴状によると、Illusory SystemsはNomadを「セキュリティファースト」として宣伝しながら、コードを適切にテストせず、明確な脆弱性報告およびインシデント対応プロセスを維持せず、消費者の損失を制限できる基本的な安全策を展開せず、「コードを本番環境にプッシュする前に適切なユニットテストを実施するなどのよく知られた安全なコーディングプラクティスを実装しなかった」と述べています。
ハッキング後の対応と逮捕
ハッキングの数日後、Nomadは盗まれた1億9000万ドルのうち2200万ドルを回収しました。今年初め、イスラエル当局はアレクサンダー・グレヴィッチを逮捕し、Nomadブリッジのハッキングを開始したとして告発しました。警察によると、彼はモスクワに逃げようとした際にイスラエルの空港で拘束され、数日前に検出を避けるために法的に名前を変更したとのことです。
IllusoryもFTCもDecryptのコメント要請には応じていません。
