Em resumo
- A FTC afirmou que a Nomad, ponte cripto da Illusory Systems, perdeu US$ 186 milhões após hackers explorarem uma atualização de software mal testada.
- Reguladores alegaram que a empresa se promovia como “prioridade em segurança” enquanto falhava em seguir práticas básicas de codificação e resposta a incidentes.
- Um acordo proposto exigiria que a Illusory devolvesse fundos recuperados, reformulasse seu programa de segurança e passasse por auditorias contínuas.
A Federal Trade Commission afirmou nesta terça-feira que chegou a um acordo proposto com a Illusory Systems Inc., operadora da ponte de criptomoedas Nomad, relacionado ao hack de 2022 que drenou quase todos os fundos da plataforma.
Segundo o acordo proposto, a Illusory estaria proibida de deturpar suas práticas de segurança e seria obrigada a implementar um programa formal de segurança da informação, submeter-se a avaliações de segurança independentes a cada dois anos e devolver quaisquer fundos recuperados que ainda não tenham sido restituídos aos usuários afetados.
A agência afirmou que o exploit resultou no roubo de cerca de US$ 186 milhões em ativos digitais, deixando os consumidores com perdas superiores a US$ 100 milhões.
“Como a Nomad não implementou sistemas adequados de resposta a incidentes, não havia uma maneira eficaz de interromper o exploit”, disse a FTC em uma queixa original. “A Nomad teve que contar com um engenheiro, que estava em um avião, para enviar trechos de código em um chat com o gerente de incidentes de plantão. Como resultado, a Nomad não conseguiu desligar a ponte até que todos os ativos tivessem sido esvaziados.”
“A Comissão analisou o caso e determinou que havia motivos para acreditar que o Respondente violou o Federal Trade Commission Act, e que uma Queixa deveria ser emitida declarando suas acusações a esse respeito”, escreveu a FTC no acordo proposto. “A Comissão aceitou o Acordo de Consentimento assinado e o colocou em registro público por um período de 30 dias para recebimento e consideração de comentários públicos.”
Lançada em 2021, a Nomad estava entre um número crescente de plataformas que permitiam aos usuários transferir tokens entre múltiplas redes blockchain, incluindo Ethereum e Avalanche.
A FTC afirmou que uma atualização de código em junho de 2022 introduziu uma vulnerabilidade crítica em um dos smart contracts da Nomad, que hackers começaram a explorar em 1º de agosto de 2022, resultando na perda de aproximadamente US$ 186 milhões em Ethereum, USDC, DAI e WBTC.
De acordo com a queixa da agência, a Illusory Systems promoveu a Nomad como “prioridade em segurança” enquanto falhava em testar adequadamente o código, manter processos claros de reporte de vulnerabilidades e resposta a incidentes, ou implementar salvaguardas básicas que poderiam ter limitado as perdas dos consumidores e “falhou em implementar práticas conhecidas de codificação segura, como escrever e conduzir testes unitários adequados antes de colocar o código em produção.”
“Embora a Nomad enfatizasse a importância de testar minuciosamente os smart contracts em seu marketing, em muitos casos, não testou adequadamente os smart contracts, conforme discutido pelos engenheiros da Nomad antes do exploit”, afirmou a FTC.
Nos dias seguintes ao hack, a Nomad recuperou US$ 22 milhões dos US$ 190 milhões roubados. No início deste ano, autoridades israelenses prenderam Alexander Gurevich, acusando-o de iniciar o exploit da ponte Nomad. A polícia afirmou que ele foi detido em um aeroporto israelense enquanto tentava fugir para Moscou, dias após mudar legalmente seu nome para evitar ser identificado.
Nem a Illusory nem a FTC responderam ao
