Einigung zwischen FTC und Illusory Systems
Die Federal Trade Commission (FTC) gab am Dienstag bekannt, dass sie eine Einigung mit Illusory Systems Inc., dem Betreiber der Nomad-Kryptowährungsbrücke, erzielt hat. Diese Einigung bezieht sich auf den Hack im Jahr 2022, bei dem nahezu alle Mittel der Plattform abgezogen wurden.
Details der Vereinbarung
Im Rahmen der vorgeschlagenen Vereinbarung wird Illusory Systems daran gehindert, seine Sicherheitspraktiken falsch darzustellen, und muss ein formelles Informationssicherheitsprogramm implementieren. Zudem ist das Unternehmen verpflichtet, sich unabhängigen biennalen Sicherheitsbewertungen zu unterziehen und alle wiedererlangten Mittel, die noch nicht an betroffene Nutzer zurückgezahlt wurden, zurückzugeben.
Folgen des Hacks
Die Behörde erklärte, dass der Exploit zum Diebstahl von etwa 186 Millionen Dollar in digitalen Vermögenswerten führte, was zu Verlusten von über 100 Millionen Dollar für die Verbraucher führte.
„Da Nomad es versäumt hat, angemessene Vorfallreaktionssysteme zu implementieren, hatte das Unternehmen keine effektive Möglichkeit, den Exploit zu stoppen“,
sagte die FTC in einer ursprünglichen Beschwerde.
„Nomad musste sich auf einen Ingenieur verlassen, der im Flugzeug war, um Code-Schnipsel in einem Chat mit dem zuständigen Vorfallmanager auszutauschen. Infolgedessen war Nomad nicht in der Lage, die Brücke abzuschalten, bis sie von Vermögenswerten geleert war.“
Überprüfung durch die FTC
„Die Kommission prüfte die Angelegenheit und stellte fest, dass sie Grund zu der Annahme hatte, dass der Beklagte gegen das Gesetz über die Federal Trade Commission verstoßen hat, und dass eine Beschwerde erlassen werden sollte, in der die Vorwürfe in dieser Hinsicht dargelegt werden“, schrieb die FTC in der vorgeschlagenen Vereinbarung.
„Die Kommission akzeptierte die unterzeichnete Einwilligungsvereinbarung und stellte sie für einen Zeitraum von 30 Tagen zur öffentlichen Einsichtnahme und Berücksichtigung öffentlicher Kommentare zur Verfügung.“
Hintergrund zu Nomad
Nomad, das 2021 gestartet wurde, gehörte zu einer wachsenden Zahl von Plattformen, die es Nutzern ermöglichten, Token über mehrere Blockchain-Netzwerke, einschließlich Ethereum und Avalanche, zu übertragen. Die FTC erklärte, dass ein Code-Update im Juni 2022 eine kritische Schwachstelle in einem der Smart Contracts von Nomad einführte, die Hacker ab dem 1. August 2022 ausnutzten, was zu einem Verlust von etwa 186 Millionen Dollar in Ethereum, USDC, DAI und WBTC führte.
Versäumnisse von Illusory Systems
Laut der Beschwerde der Behörde bewarb Illusory Systems Nomad als „sicherheitsorientiert“, während es versäumte, den Code angemessen zu testen, klare Prozesse zur Schwachstellenberichterstattung und Vorfallreaktion aufrechtzuerhalten oder grundlegende Sicherheitsvorkehrungen zu implementieren, die die Verluste der Verbraucher hätten begrenzen können. Zudem
„versäumte es das Unternehmen, allgemein bekannte sichere Programmierpraktiken zu implementieren, wie das Schreiben und Durchführen angemessener Unit-Tests, bevor der Code in die Produktion überführt wurde.“
Nachwirkungen des Hacks
„Während Nomad in seiner Werbung die Bedeutung gründlicher Tests von Smart Contracts betonte, testete es in vielen Fällen die Smart Contracts nicht angemessen, wie von Nomad-Ingenieuren vor dem Exploit besprochen“, sagte die FTC. In den Tagen nach dem Hack erholte sich Nomad 22 Millionen Dollar von den gestohlenen 190 Millionen Dollar.
Festnahme eines Verdächtigen
Anfang dieses Jahres verhafteten israelische Behörden Alexander Gurevich und beschuldigten ihn, den Nomad-Brücken-Exploit initiiert zu haben. Die Polizei sagte, er sei an einem israelischen Flughafen festgenommen worden, während er versuchte, nach Moskau zu fliehen, Tage nachdem er seinen Namen legal geändert hatte, um der Entdeckung zu entgehen. Weder Illusory noch die FTC reagierten auf die Anfragen von Decrypt für einen Kommentar.
