Acuerdo Propuesto de la FTC con Illusory Systems Inc.
La Comisión Federal de Comercio (FTC) anunció el martes que ha alcanzado un acuerdo propuesto con Illusory Systems Inc., el operador del puente de criptomonedas Nomad, relacionado con el hackeo de 2022 que drenó casi todos los fondos de la plataforma.
Detalles del Acuerdo
Según el acuerdo propuesto, Illusory estará prohibido de tergiversar sus prácticas de seguridad y se le exigirá implementar un programa formal de seguridad de la información, someterse a evaluaciones de seguridad independientes cada dos años y devolver cualquier fondo recuperado que no haya sido reembolsado a los usuarios afectados.
La agencia indicó que la explotación resultó en el robo de aproximadamente 186 millones de dólares en activos digitales, dejando a los consumidores con pérdidas que superan los 100 millones de dólares.
Fallas en la Seguridad de Nomad
«Debido a que Nomad no implementó sistemas de respuesta a incidentes adecuados, no tuvo una forma efectiva de detener la explotación»
dijo la FTC en una queja original.
«Nomad tuvo que depender de un ingeniero, que estaba en un avión, para transmitir fragmentos de código en un chat de ida y vuelta con el gerente de incidentes de turno. Como resultado, Nomad no pudo cerrar el puente hasta después de que se había vaciado de activos.»
Investigación y Resultados
La Comisión consideró el asunto y determinó que tenía razones para creer que el demandado había violado la Ley de la Comisión Federal de Comercio, y que se debería emitir una queja indicando sus cargos al respecto.
«La Comisión aceptó el Acuerdo de Consentimiento ejecutado y lo colocó en el registro público por un período de 30 días para la recepción y consideración de comentarios públicos.»
Historia de Nomad
Lanzado en 2021, Nomad estaba entre un número creciente de plataformas que permitían a los usuarios transferir tokens a través de múltiples redes de blockchain, incluyendo Ethereum y Avalanche. La FTC dijo que una actualización de código en junio de 2022 introdujo una vulnerabilidad crítica en uno de los contratos inteligentes de Nomad, que los hackers comenzaron a explotar el 1 de agosto de 2022, resultando en la pérdida de aproximadamente 186 millones de dólares en Ethereum, USDC, DAI y WBTC.
Promesas de Seguridad y Realidad
Según la queja de la agencia, Illusory Systems promovió a Nomad como «primero en seguridad» mientras no lograba probar adecuadamente el código, mantener procesos claros de reporte de vulnerabilidades y respuesta a incidentes, o desplegar salvaguardias básicas que podrían haber limitado las pérdidas de los consumidores y «no implementó prácticas de codificación segura bien conocidas», como escribir y realizar pruebas unitarias adecuadas antes de enviar el código a producción.
«Mientras Nomad enfatizaba la importancia de probar exhaustivamente los contratos inteligentes en su marketing, en muchos casos, no probó adecuadamente los contratos inteligentes, como discutieron los ingenieros de Nomad antes de la explotación.»
Recuperación y Arrestos
En los días posteriores al hackeo, Nomad recuperó 22 millones de dólares de los 190 millones robados. A principios de este año, las autoridades israelíes arrestaron a Alexander Gurevich, acusándolo de iniciar la explotación del puente Nomad. La policía dijo que fue detenido en un aeropuerto israelí mientras intentaba huir a Moscú, días después de cambiar legalmente su nombre para evadir la detección.
Ni Illusory ni la FTC respondieron a las solicitudes de comentarios de Decrypt.
