Соглашение FTC с Illusory Systems Inc.
Федеральная торговая комиссия (FTC) сообщила во вторник о достигнутом соглашении с Illusory Systems Inc., оператором крипто-моста Nomad, в связи с взломом в 2022 году, который привел к потере почти всех средств платформы.
Условия соглашения
Согласно предложенному соглашению, Illusory запрещается искажать информацию о своих практиках безопасности, а также требуется:
- внедрить формальную программу информационной безопасности;
- проходить независимые двухлетние оценки безопасности;
- вернуть любые восстановленные средства, которые еще не были возвращены пострадавшим пользователям.
Последствия взлома
Агентство отметило, что взлом привел к краже около $186 миллионов в цифровых активах, оставив потребителей с убытками, превышающими $100 миллионов. «Поскольку Nomad не смогла внедрить адекватные системы реагирования на инциденты, у нее не было эффективного способа остановить взлом,» — заявила FTC в первоначальной жалобе.
«Nomad должна была полагаться на инженера, находившегося в самолете, чтобы передавать фрагменты кода в чате между собой и дежурным менеджером по инцидентам. В результате Nomad не смогла закрыть мост до того, как он был опустошен от активов.»
Обвинения FTC
«Комиссия рассмотрела дело и пришла к выводу, что у нее есть основания полагать, что ответчик нарушил Закон о Федеральной торговой комиссии, и что следует подать жалобу, в которой будут изложены ее обвинения в этом отношении,» — написала FTC в предложенном соглашении.
«Комиссия приняла подписанное согласие и разместила его в публичном доступе на срок 30 дней для получения и рассмотрения общественных комментариев.»
История Nomad
Запущенный в 2021 году, Nomad был среди растущего числа платформ, позволяющих пользователям передавать токены через несколько блокчейн-сетей, включая Ethereum и Avalanche. FTC сообщила, что обновление кода в июне 2022 года внесло критическую уязвимость в один из смарт-контрактов Nomad, которую хакеры начали эксплуатировать 1 августа 2022 года, что привело к потере примерно $186 миллионов в Ethereum, USDC, DAI и WBTC.
Реклама и безопасность
Согласно жалобе агентства, Illusory Systems рекламировала Nomad как «ориентированную на безопасность», в то время как не проводила адекватного тестирования кода, не поддерживала четкие процессы отчетности о уязвимостях и реагирования на инциденты, а также не внедряла основные меры предосторожности, которые могли бы ограничить убытки потребителей.
«Хотя Nomad подчеркивала важность тщательного тестирования смарт-контрактов в своем маркетинге, на практике она не проводила адекватного тестирования смарт-контрактов, как обсуждали инженеры Nomad перед взломом,» — заявила FTC.
Восстановление средств и арест
В дни после взлома Nomad удалось восстановить $22 миллиона из $190 миллионов, украденных в результате инцидента. Ранее в этом году израильские власти арестовали Александра Гуревича, обвинив его в организации взлома моста Nomad. Полиция сообщила, что он был задержан в израильском аэропорту, пытаясь сбежать в Москву, за несколько дней до этого легально изменив свое имя, чтобы избежать обнаружения.
Ни Illusory, ни FTC не ответили на запросы Decrypt о комментариях.
