Thông báo của Ủy ban Thương mại Liên bang (FTC)
Ủy ban Thương mại Liên bang (FTC) đã thông báo vào thứ Ba rằng họ đã đạt được một thỏa thuận đề xuất với Illusory Systems Inc., nhà vận hành cầu nối tiền điện tử Nomad, liên quan đến vụ hack năm 2022 đã rút gần như toàn bộ quỹ của nền tảng này.
Chi tiết về thỏa thuận
Theo thỏa thuận đề xuất, Illusory sẽ bị cấm không được trình bày sai lệch về các thực hành bảo mật của mình và sẽ phải triển khai một chương trình bảo mật thông tin chính thức, chịu sự đánh giá bảo mật độc lập hai năm một lần, cũng như hoàn trả bất kỳ quỹ nào đã được khôi phục mà chưa được hoàn lại cho người dùng bị ảnh hưởng.
Cơ quan này cho biết vụ khai thác đã dẫn đến việc đánh cắp khoảng 186 triệu USD tài sản kỹ thuật số, khiến người tiêu dùng chịu thiệt hại vượt quá 100 triệu USD. “Vì Nomad không thực hiện các hệ thống phản ứng sự cố đầy đủ, nên họ đã không có cách hiệu quả để ngăn chặn vụ khai thác,” FTC cho biết trong một đơn khiếu nại ban đầu.
“Nomad phải dựa vào một kỹ sư, người đang ở trên máy bay, để truyền tải các đoạn mã trong một cuộc trò chuyện qua lại với người quản lý sự cố đang làm việc. Kết quả là, Nomad không thể tắt cầu nối cho đến khi nó đã bị rút sạch tài sản.”
Vi phạm và điều tra
“Ủy ban đã xem xét vấn đề và xác định rằng họ có lý do để tin rằng Bị đơn đã vi phạm Đạo luật Ủy ban Thương mại Liên bang, và rằng một Đơn khiếu nại nên được phát hành nêu rõ các cáo buộc liên quan,” FTC viết trong thỏa thuận đề xuất. “Ủy ban đã chấp nhận Thỏa thuận Đồng ý đã được thực hiện và đưa nó vào hồ sơ công khai trong thời gian 30 ngày để nhận và xem xét các ý kiến công chúng.”
Thông tin về Nomad
Được ra mắt vào năm 2021, Nomad là một trong số ngày càng tăng các nền tảng cho phép người dùng chuyển token qua nhiều mạng blockchain khác nhau, bao gồm Ethereum và Avalanche. FTC cho biết một bản cập nhật mã vào tháng 6 năm 2022 đã giới thiệu một lỗ hổng nghiêm trọng vào một trong các hợp đồng thông minh của Nomad, mà các hacker đã bắt đầu khai thác vào ngày 1 tháng 8 năm 2022, dẫn đến việc mất khoảng 186 triệu USD trong Ethereum, USDC, DAI và WBTC.
Theo đơn khiếu nại của cơ quan này, Illusory Systems đã quảng bá Nomad là “an toàn trước tiên” trong khi không kiểm tra mã một cách đầy đủ, duy trì quy trình báo cáo lỗ hổng và phản ứng sự cố rõ ràng, hoặc triển khai các biện pháp bảo vệ cơ bản có thể đã hạn chế thiệt hại cho người tiêu dùng và “không thực hiện các thực hành lập trình an toàn đã được biết đến”, chẳng hạn như viết và thực hiện các bài kiểm tra đơn vị đầy đủ trước khi đưa mã vào sản xuất.
“Trong khi Nomad nhấn mạnh tầm quan trọng của việc kiểm tra kỹ lưỡng các hợp đồng thông minh trong tiếp thị của mình, trong nhiều trường hợp, họ đã không kiểm tra đầy đủ các hợp đồng thông minh, như đã được thảo luận bởi các kỹ sư của Nomad trước vụ khai thác,” FTC cho biết.
Hậu quả và điều tra tiếp theo
Trong những ngày sau vụ hack, Nomad đã khôi phục được 22 triệu USD trong số 190 triệu USD bị đánh cắp. Đầu năm nay, các cơ quan chức năng Israel đã bắt giữ Alexander Gurevich, cáo buộc anh ta đã khởi xướng vụ khai thác cầu nối Nomad. Cảnh sát cho biết anh ta đã bị giam giữ tại một sân bay Israel khi cố gắng trốn sang Moscow, vài ngày sau khi hợp pháp thay đổi tên để tránh bị phát hiện.
Cả Illusory và FTC đều không phản hồi yêu cầu bình luận từ Decrypt.
