연방거래위원회(FTC)와 Illusory Systems Inc.의 합의
연방거래위원회(FTC)는 화요일, 2022년 해킹 사건으로 플랫폼의 자금이 거의 모두 유출된 Nomad 암호화폐 브리지 운영사인 Illusory Systems Inc.와 제안된 합의에 도달했다고 발표했다. 제안된 합의에 따르면, Illusory는 보안 관행을 잘못 전달하는 것을 금지당하고, 공식 정보 보안 프로그램을 구현하며, 독립적인 2년마다의 보안 평가를 받도록 요구받고, 이미 환불되지 않은 회수된 자금을 영향을 받은 사용자에게 반환해야 한다.
이 기관은 이번 해킹으로 약 1억 8600만 달러의 디지털 자산이 도난당했으며, 소비자들은 1억 달러 이상의 손실을 입었다고 밝혔다.
FTC는 “Nomad가 적절한 사고 대응 시스템을 구현하지 못했기 때문에 해킹을 막을 수 있는 효과적인 방법이 없었다”고 원고에서 말했다. “Nomad는 비행 중인 엔지니어에게 의존하여 사고 관리자와 코드 조각을 주고받아야 했다. 그 결과, Nomad는 자산이 모두 유출된 후에야 브리지를 종료할 수 있었다.”
위원회는 이 문제를 고려하고 Respondent가 연방거래위원회법을 위반했을 가능성이 있다고 판단했으며, 이에 대한 혐의를 명시하는 고소장이 발부되어야 한다고 결정했다. “위원회는 체결된 동의서를 수락하고 30일 동안 공공 기록으로 남겨두어 공공 의견을 수렴하고 고려할 수 있도록 했다.”
Nomad의 배경과 해킹 사건
2021년에 시작된 Nomad는 사용자들이 Ethereum 및 Avalanche를 포함한 여러 블록체인 네트워크 간에 토큰을 전송할 수 있도록 하는 플랫폼 중 하나였다. FTC는 2022년 6월의 코드 업데이트가 Nomad의 스마트 계약 중 하나에 심각한 취약점을 도입했으며, 해커들이 2022년 8월 1일부터 이를 악용하기 시작했다고 밝혔다. 이로 인해 약 1억 8600만 달러의 Ethereum, USDC, DAI 및 WBTC가 손실되었다.
기관의 고소장에 따르면, Illusory Systems는 Nomad를 “보안 우선“으로 홍보했지만, 코드를 적절히 테스트하지 않거나 명확한 취약점 보고 및 사고 대응 프로세스를 유지하지 않았으며, 소비자 손실을 제한할 수 있는 기본적인 안전 장치를 배치하지 않았고, “코드를 생산에 배포하기 전에 적절한 단위 테스트를 작성하고 수행하는 것과 같은 잘 알려진 안전한 코딩 관행을 구현하지 못했다”고 밝혔다.
“Nomad는 마케팅에서 스마트 계약을 철저히 테스트하는 것의 중요성을 강조했지만, 많은 경우 Nomad 엔지니어들이 해킹 전에 논의한 바와 같이 스마트 계약을 적절히 테스트하지 않았다”고 FTC는 말했다.
해킹 사건 이후 며칠 동안 Nomad는 도난당한 1억 9000만 달러 중 2200만 달러를 회수했다. 올해 초, 이스라엘 당국은 Alexander Gurevich를 체포하며 그가 Nomad 브리지 해킹을 시작했다고 주장했다. 경찰은 그가 검거를 피하기 위해 이름을 법적으로 변경한 후 모스크바로 도망치려다 이스라엘 공항에서 체포되었다고 밝혔다.
Illusory와 FTC는 Decrypt의 논평 요청에 응답하지 않았다.
