Uppgörelse mellan FTC och Illusory Systems
Den amerikanska Federal Trade Commission (FTC) meddelade på tisdagen att de har nått en föreslagen uppgörelse med Illusory Systems Inc., operatören av Nomad-kryptobryggan, relaterad till hackningen 2022 som tömde nästan alla plattformens medel.
Villkor för uppgörelsen
Enligt den föreslagna uppgörelsen skulle Illusory förbjudas att felaktigt framställa sina säkerhetspraxis och åläggas att:
- Implementera ett formellt informationssäkerhetsprogram
- Genomgå oberoende säkerhetsbedömningar vartannat år
- Återbetala eventuella återvunna medel som ännu inte har återbetalats till berörda användare
Myndigheten uppgav att utnyttjandet resulterade i stöld av cirka 186 miljoner dollar i digitala tillgångar, vilket lämnade konsumenterna med förluster som översteg 100 miljoner dollar.
Incidentens bakgrund
”Eftersom Nomad misslyckades med att implementera adekvata incidentresponsystem hade de ingen effektiv metod för att stoppa utnyttjandet,” sade FTC i en ursprunglig klagomål.
Nomad var tvungna att förlita sig på en ingenjör, som befann sig på ett flygplan, för att vidarebefordra kodsnuttar i en chatt fram och tillbaka med incidentchefen. Som ett resultat kunde Nomad inte stänga ner bryggan förrän efter att den hade tömts på tillgångar.
Kommissionens beslut
”Kommissionen övervägde ärendet och fastställde att den hade anledning att tro att svaranden har brutit mot Federal Trade Commission Act, och att en klagomål skulle utfärdas som angav dess anklagelser i det avseendet,” skrev FTC i det föreslagna avtalet.
Kommissionen accepterade det undertecknade samtyckesavtalet och placerade det på den offentliga posten under en period av 30 dagar för mottagande och övervägande av offentliga kommentarer.
Nomads historia och säkerhetsbrister
Nomad, som lanserades 2021, var bland ett växande antal plattformar som möjliggjorde för användare att överföra tokens över flera blockchain-nätverk, inklusive Ethereum och Avalanche. FTC uppgav att en koduppdatering i juni 2022 introducerade en kritisk sårbarhet i en av Nomads smarta kontrakt, som hackare började utnyttja den 1 augusti 2022.
Enligt myndighetens klagomål marknadsförde Illusory Systems Nomad som ”säkerhetsförst”, samtidigt som de misslyckades med att adekvat testa koden och upprätthålla tydliga sårbarhetsrapporterings- och incidentresponsprocesser.
Återhämtning och rättsliga åtgärder
Under dagarna efter hackningen återhämtade Nomad 22 miljoner dollar av de 190 miljoner dollar som stulits. Tidigare i år arresterade israeliska myndigheter Alexander Gurevich och anklagade honom för att ha initierat utnyttjandet av Nomad-bryggan. Polisen uppgav att han greps på en israelisk flygplats medan han försökte fly till Moskva, dagar efter att han lagligt ändrat sitt namn för att undvika upptäckte.
Varken Illusory eller FTC svarade på Decrypts förfrågningar om kommentarer.
