Règlement de la FTC avec Illusory Systems Inc.
La Federal Trade Commission (FTC) a annoncé mardi avoir conclu un règlement proposé avec Illusory Systems Inc., l’opérateur du pont de cryptomonnaie Nomad, en lien avec le piratage survenu en 2022, qui a siphonné presque tous les fonds de la plateforme.
Conditions du règlement
Selon ce règlement, Illusory sera :
- Interdit de déformer ses pratiques de sécurité.
- Obligé de mettre en place un programme formel de sécurité de l’information.
- Soumis à des évaluations de sécurité indépendantes tous les deux ans.
- Tenue de restituer tout fonds récupéré qui n’a pas encore été remboursé aux utilisateurs concernés.
L’agence a précisé que cette exploitation avait entraîné le vol d’environ 186 millions de dollars d’actifs numériques, laissant les consommateurs avec des pertes dépassant 100 millions de dollars.
« En raison de l’absence de systèmes de réponse aux incidents adéquats, Nomad n’a pas pu stopper l’exploitation », a déclaré la FTC dans sa plainte initiale.
Contexte du piratage
La Commission a examiné l’affaire et a déterminé qu’elle avait des raisons de croire que le répondant avait violé la Federal Trade Commission Act, justifiant ainsi l’émission d’une plainte énonçant ses accusations. « La Commission a accepté l’accord de consentement et l’a rendu public pour une période de 30 jours afin de recevoir et d’examiner les commentaires du public. »
Lancé en 2021, Nomad faisait partie d’un nombre croissant de plateformes permettant aux utilisateurs de transférer des jetons à travers plusieurs réseaux blockchain, y compris Ethereum et Avalanche. La FTC a indiqué qu’une mise à jour de code en juin 2022 avait introduit une vulnérabilité critique dans l’un des contrats intelligents de Nomad, que les pirates ont commencé à exploiter le 1er août 2022, entraînant la perte d’environ 186 millions de dollars en Ethereum, USDC, DAI et WBTC.
Pratiques de sécurité insuffisantes
Selon la plainte de l’agence, Illusory Systems a promu Nomad comme « priorisant la sécurité », tout en ne testant pas adéquatement le code, en maintenant des processus clairs de signalement des vulnérabilités et de réponse aux incidents, ou en déployant des mesures de protection de base qui auraient pu limiter les pertes des consommateurs.
« Bien que Nomad ait souligné l’importance de tester minutieusement les contrats intelligents dans son marketing, dans de nombreux cas, il n’a pas testé adéquatement ces contrats, comme l’ont discuté les ingénieurs de Nomad avant l’exploitation », a ajouté la FTC.
Conséquences et arrestations
Dans les jours suivant le piratage, Nomad a réussi à récupérer 22 millions de dollars des 190 millions volés. Plus tôt cette année, les autorités israéliennes ont arrêté Alexander Gurevich, l’accusant d’avoir initié l’exploitation du pont Nomad. La police a rapporté qu’il avait été appréhendé à un aéroport israélien alors qu’il tentait de fuir vers Moscou, quelques jours après avoir légalement changé son nom pour échapper à la détection.
Ni Illusory ni la FTC n’ont répondu aux demandes de commentaire de Decrypt.
