Accordo della FTC con Illusory Systems Inc.
La Federal Trade Commission (FTC) ha annunciato martedì di aver raggiunto un accordo proposto con Illusory Systems Inc., l’operatore del bridge di criptovalute Nomad, in merito all’hack del 2022 che ha prosciugato quasi tutti i fondi della piattaforma.
Dettagli dell’Accordo
Sotto l’accordo proposto, Illusory sarà esclusa dal rappresentare in modo errato le proprie pratiche di sicurezza e sarà tenuta a:
- Implementare un programma formale di sicurezza delle informazioni
- Sottoporsi a valutazioni di sicurezza indipendenti biennali
- Restituire eventuali fondi recuperati non già rimborsati agli utenti interessati
L’agenzia ha dichiarato che l’exploit ha portato al furto di circa 186 milioni di dollari in asset digitali, lasciando i consumatori con perdite superiori a 100 milioni di dollari.
“Poiché Nomad non è riuscita a implementare sistemi di risposta agli incidenti adeguati, non aveva un modo efficace per fermare l’exploit,” ha affermato la FTC in una denuncia originale.
“Nomad doveva fare affidamento su un ingegnere, che si trovava su un aereo, per trasmettere frammenti di codice in una chat, avanti e indietro, con il manager degli incidenti di turno. Di conseguenza, Nomad non è stata in grado di chiudere il bridge fino a dopo che era stato svuotato degli asset.”
Violazioni e Conseguenze
“La Commissione ha esaminato la questione e ha determinato di avere motivo di credere che il Rispondente abbia violato il Federal Trade Commission Act, e che una Denuncia dovrebbe essere emessa dichiarando le sue accuse in tal senso,” ha scritto la FTC nell’accordo proposto.
“La Commissione ha accettato l’Accordo di Consenso eseguito e lo ha registrato pubblicamente per un periodo di 30 giorni per la ricezione e considerazione dei commenti pubblici.”
Storia di Nomad
Lanciato nel 2021, Nomad era tra un numero crescente di piattaforme che consentivano agli utenti di trasferire token attraverso più reti blockchain, tra cui Ethereum e Avalanche.
La FTC ha dichiarato che un aggiornamento del codice di giugno 2022 ha introdotto una vulnerabilità critica in uno dei contratti intelligenti di Nomad, che gli hacker hanno iniziato a sfruttare il 1° agosto 2022, portando alla perdita di circa 186 milioni di dollari in Ethereum, USDC, DAI e WBTC.
“Illusory Systems ha promosso Nomad come ‘sicurezza prima’ mentre non riusciva a testare adeguatamente il codice, mantenere processi chiari di segnalazione delle vulnerabilità e risposta agli incidenti, o implementare misure di sicurezza di base che avrebbero potuto limitare le perdite dei consumatori.”
Inoltre, “non ha implementato pratiche di codifica sicura ben note, come scrivere e condurre test unitari adeguati prima di spingere il codice in produzione.”
“Mentre Nomad sottolineava l’importanza di testare a fondo i contratti intelligenti nel suo marketing, in molte occasioni non ha testato adeguatamente i contratti intelligenti, come discusso dagli ingegneri di Nomad prima dell’exploit,” ha affermato la FTC.
Recupero e Arresti
Nei giorni successivi all’hack, Nomad ha recuperato 22 milioni di dollari dei 190 milioni rubati. All’inizio di quest’anno, le autorità israeliane hanno arrestato Alexander Gurevich, accusandolo di aver avviato l’exploit del bridge di Nomad.
La polizia ha dichiarato che è stato arrestato in un aeroporto israeliano mentre cercava di fuggire a Mosca, giorni dopo aver legalmente cambiato il suo nome per evitare il rilevamento. Né Illusory né la FTC hanno risposto alle richieste di commento di Decrypt.
