Кратко
- FTC заявила, что криптомост Nomad компании Illusory Systems потерял 186 миллионов долларов после того, как хакеры воспользовались плохо протестированным обновлением программного обеспечения.
- Регуляторы утверждают, что компания позиционировала себя как «ориентированную на безопасность», при этом не соблюдая базовые практики кодирования и реагирования на инциденты.
- Предлагаемое соглашение обязывает Illusory вернуть восстановленные средства, полностью пересмотреть свою программу безопасности и проходить регулярные аудиты.
Федеральная торговая комиссия (FTC) во вторник заявила, что достигла предварительного соглашения с Illusory Systems Inc., оператором криптомоста Nomad, по делу о взломе 2022 года, в результате которого с платформы были выведены практически все средства.
В соответствии с предлагаемым соглашением, Illusory будет запрещено искажать свои практики безопасности, компания будет обязана внедрить формальную программу информационной безопасности, проходить независимые двухгодичные аудиты безопасности и возвращать любые восстановленные средства, которые еще не были возвращены пострадавшим пользователям.
Агентство сообщило, что в результате эксплойта было похищено около 186 миллионов долларов в цифровых активах, а потери пользователей превысили 100 миллионов долларов.
«Поскольку Nomad не внедрила адекватные системы реагирования на инциденты, у Nomad не было эффективного способа остановить эксплойт», — говорится в первоначальной жалобе FTC. — «Nomad пришлось полагаться на инженера, который находился в самолете, чтобы тот передавал фрагменты кода в чате менеджеру по инцидентам, находящемуся на дежурстве. В результате Nomad не смогла остановить работу моста до тех пор, пока все активы не были выведены».
«Комиссия рассмотрела вопрос и пришла к выводу, что у нее есть основания полагать, что Ответчик нарушил Закон о Федеральной торговой комиссии, и что должна быть подана жалоба с изложением обвинений по этому поводу», — написала FTC в проекте соглашения. — «Комиссия приняла подписанное Согласие и разместила его в публичном доступе на 30 дней для получения и рассмотрения общественных комментариев».
Запущенный в 2021 году, Nomad был одной из растущего числа платформ, позволявших пользователям переводить токены между несколькими блокчейн-сетями, включая Ethereum и Avalanche.
FTC заявила, что обновление кода в июне 2022 года внесло критическую уязвимость в один из смарт-контрактов Nomad, которую хакеры начали использовать 1 августа 2022 года, что привело к потере примерно 186 миллионов долларов в Ethereum, USDC, DAI и WBTC.
Согласно жалобе агентства, Illusory Systems продвигала Nomad как «ориентированный на безопасность», при этом не проводя достаточного тестирования кода, не поддерживая четкие процессы сообщения об уязвимостях и реагирования на инциденты, а также не внедряя базовые меры защиты, которые могли бы ограничить потери пользователей, и «не реализовала широко известные практики безопасного кодирования, такие как написание и проведение достаточного количества модульных тестов до внедрения кода в продакшн».
«Хотя Nomad подчеркивала важность тщательного тестирования смарт-контрактов в своей маркетинговой деятельности, во многих случаях она не проводила достаточного тестирования смарт-контрактов, как обсуждали инженеры Nomad до эксплойта», — отметила FTC.
В течение нескольких дней после взлома Nomad удалось вернуть 22 миллиона долларов из 190 миллионов украденных средств. Ранее в этом году израильские власти арестовали Александра Гуревича, обвинив его в организации эксплойта моста Nomad. Полиция сообщила, что он был задержан в аэропорту Израиля при попытке сбежать в Москву через несколько дней после того, как легально сменил имя, чтобы избежать обнаружения.
Ни Illusory, ни FTC не ответили на
