FTC at Illusory Systems Inc. Kasunduan
Noong Martes, inihayag ng Federal Trade Commission (FTC) na nakipagkasundo ito sa Illusory Systems Inc., ang operator ng Nomad cryptocurrency bridge, kaugnay ng hack noong 2022 na nag-alis ng halos lahat ng pondo ng platform.
Mga Tuntunin ng Kasunduan
Sa ilalim ng iminungkahing kasunduan, pagbabawalan ang Illusory na magbigay ng maling impormasyon tungkol sa kanilang mga gawi sa seguridad at kinakailangang magpatupad ng isang pormal na programa sa seguridad ng impormasyon. Kailangan din nilang sumailalim sa mga independiyenteng pagsusuri sa seguridad tuwing dalawang taon at ibalik ang anumang narekober na pondo na hindi pa naibabalik sa mga apektadong gumagamit.
Mga Detalye ng Pagsasamantala
Ayon sa ahensya, ang pagsasamantala ay nagresulta sa pagnanakaw ng humigit-kumulang $186 milyon sa mga digital na asset, na nag-iwan sa mga mamimili ng mga pagkalugi na lumampas sa $100 milyon. “Dahil nabigo ang Nomad na magpatupad ng sapat na mga sistema ng pagtugon sa insidente, wala itong epektibong paraan upang pigilan ang pagsasamantala,” sabi ng FTC sa kanilang orihinal na reklamo.
“Kinailangan ng Nomad na umasa sa isang engineer, na nasa eroplano, upang ipasa ang mga code snippet sa isang chat pabalik-balik sa incident manager na naka-duty. Bilang resulta, hindi nakapag-shut down ang Nomad sa bridge hanggang matapos itong maubos ng mga asset.”
Reklamo ng FTC
“Isinasaalang-alang ng Komisyon ang usaping ito at natukoy na mayroon itong dahilan upang maniwala na nilabag ng Respondent ang Federal Trade Commission Act, at na dapat mag-isyu ng isang Reklamo na nagsasaad ng mga paratang sa aspetong iyon,” isinulat ng FTC sa iminungkahing kasunduan. “Tinanggap ng Komisyon ang naisagawang Kasunduan sa Pagsang-ayon at inilagay ito sa pampublikong tala sa loob ng 30 araw para sa pagtanggap at pagsasaalang-alang ng mga pampublikong komento.”
Background ng Nomad
Inilunsad noong 2021, ang Nomad ay kabilang sa lumalaking bilang ng mga platform na nagpapahintulot sa mga gumagamit na maglipat ng mga token sa iba’t ibang blockchain networks, kabilang ang Ethereum at Avalanche. Ayon sa FTC, ang isang pag-update ng code noong Hunyo 2022 ay nagpakilala ng isang kritikal na kahinaan sa isa sa mga smart contract ng Nomad, na sinimulang samantalahin ng mga hacker noong Agosto 1, 2022.
Mga Pagkukulang sa Seguridad
Sa reklamo ng ahensya, pinromote ng Illusory Systems ang Nomad bilang “security-first” habang nabigo itong sapat na subukan ang code, mapanatili ang malinaw na mga proseso ng pag-uulat ng kahinaan at pagtugon sa insidente, o mag-deploy ng mga pangunahing proteksyon na maaaring naglimita sa mga pagkalugi ng mamimili.
“Nabigo rin silang ipatupad ang mga kilalang secure coding practices, tulad ng pagsusulat at pagsasagawa ng sapat na unit tests bago itulak ang code sa produksyon.”
“Habang binigyang-diin ng Nomad ang kahalagahan ng masusing pagsusuri ng mga smart contract sa kanilang marketing, sa maraming pagkakataon, hindi ito sapat na sinubukan ang mga smart contract, tulad ng tinalakay ng mga engineer ng Nomad bago ang pagsasamantala,” sabi ng FTC.
Mga Kaganapan Pagkatapos ng Hack
Sa mga araw pagkatapos ng hack, nakabawi ang Nomad ng $22 milyon mula sa $190 milyon na ninakaw. Noong nakaraang taon, inaresto ng mga awtoridad ng Israel si Alexander Gurevich, na inaakusahan siyang nagpasimula ng pagsasamantala sa Nomad bridge. Ayon sa pulisya, siya ay inaresto sa isang paliparan sa Israel habang sinusubukang tumakas patungong Moscow, ilang araw matapos niyang legal na baguhin ang kanyang pangalan upang makaiwas sa pagtuklas.
Wala ni Illusory o ang FTC ang tumugon sa mga kahilingan ng Decrypt para sa komento.
