Kesepakatan FTC dengan Illusory Systems Inc.
Komisi Perdagangan Federal (FTC) mengumumkan pada hari Selasa bahwa mereka telah mencapai kesepakatan yang diusulkan dengan Illusory Systems Inc., operator jembatan cryptocurrency Nomad, terkait peretasan yang terjadi pada tahun 2022 dan menguras hampir seluruh dana platform tersebut.
Detail Kesepakatan
Dalam kesepakatan yang diusulkan ini, Illusory dilarang untuk memberikan pernyataan yang menyesatkan mengenai praktik keamanan mereka dan diwajibkan untuk menerapkan program keamanan informasi yang formal. Selain itu, mereka harus:
- Menyerahkan penilaian keamanan independen setiap dua tahun.
- Mengembalikan dana yang telah dipulihkan namun belum dibayarkan kepada pengguna yang terdampak.
Kerugian yang Diderita
Menurut FTC, eksploitasi tersebut menyebabkan pencurian sekitar $186 juta dalam aset digital, meninggalkan konsumen dengan kerugian lebih dari $100 juta. “Karena Nomad gagal menerapkan sistem respons insiden yang memadai, mereka tidak memiliki cara yang efektif untuk menghentikan eksploitasi tersebut,” ungkap FTC dalam pengaduan aslinya.
“Nomad harus bergantung pada seorang insinyur yang sedang dalam penerbangan untuk menyampaikan potongan kode melalui obrolan bolak-balik dengan manajer insiden yang bertugas. Akibatnya, Nomad tidak dapat menutup jembatan hingga setelah jembatan tersebut kosong dari aset.”
Pelanggaran yang Ditemukan
“Komisi mempertimbangkan masalah ini dan menentukan bahwa mereka memiliki alasan untuk percaya bahwa Tanggapan telah melanggar Undang-Undang Komisi Perdagangan Federal, dan bahwa Pengaduan harus dikeluarkan yang menyatakan tuduhannya dalam hal tersebut,” tulis FTC dalam perjanjian yang diusulkan.
“Komisi menerima Perjanjian Persetujuan yang telah ditandatangani dan menempatkannya dalam catatan publik selama periode 30 hari untuk penerimaan dan pertimbangan komentar publik.”
Sejarah dan Latar Belakang Nomad
Diluncurkan pada tahun 2021, Nomad adalah salah satu dari sejumlah platform yang berkembang yang memungkinkan pengguna untuk mentransfer token di berbagai jaringan blockchain, termasuk Ethereum dan Avalanche. FTC menjelaskan bahwa pembaruan kode pada Juni 2022 memperkenalkan kerentanan kritis ke dalam salah satu kontrak pintar Nomad, yang mulai dieksploitasi oleh peretas pada 1 Agustus 2022, mengakibatkan kehilangan sekitar $186 juta dalam Ethereum, USDC, DAI, dan WBTC.
Kritik terhadap Praktik Keamanan
Menurut pengaduan tersebut, Illusory Systems mempromosikan Nomad sebagai “berbasis keamanan” sambil gagal menguji kode secara memadai, mempertahankan proses pelaporan kerentanan dan respons insiden yang jelas, serta tidak menerapkan langkah-langkah dasar yang dapat membatasi kerugian konsumen. Mereka juga “gagal menerapkan praktik pengkodean aman yang dikenal”, seperti menulis dan melakukan pengujian unit yang memadai sebelum mendorong kode ke produksi.
“Sementara Nomad menekankan pentingnya menguji kontrak pintar secara menyeluruh dalam pemasarannya, dalam banyak kasus, mereka tidak menguji kontrak pintar secara memadai, seperti yang dibahas oleh insinyur Nomad sebelum eksploitasi.”
Pemulihan Dana dan Penangkapan Pelaku
Dalam beberapa hari setelah peretasan, Nomad berhasil memulihkan $22 juta dari total $190 juta yang dicuri. Awal tahun ini, pihak berwenang Israel menangkap Alexander Gurevich, menuduhnya sebagai pelaku eksploitasi jembatan Nomad. Polisi menyatakan bahwa dia ditahan di bandara Israel saat mencoba melarikan diri ke Moskow, beberapa hari setelah secara sah mengubah namanya untuk menghindari deteksi.
Baik Illusory maupun FTC tidak memberikan tanggapan terhadap permintaan komentar dari Decrypt.
