Федеральная торговая комиссия США (FTC) объявила во вторник, 16 декабря, о предложенном соглашении с компанией Illusory Systems Inc., оператором криптомоста Nomad. Сделка связана со взломом в августе 2022 года, в результате которого было похищено криптоактивов на сумму около $186 млн, а ущерб для клиентов превысил $100 млн.
Согласно предложенному урегулированию, Illusory Systems будет запрещено вводить пользователей в заблуждение относительно своих практик безопасности. Компания должна будет разработать формальную программу информационной безопасности, проходить независимые проверки каждые два года и вернуть пользователям все восстановленные средства. После инцидента платформе удалось вернуть лишь около $22 млн из $190 млн похищенных.
FTC в своей жалобе утверждает, что Nomad, позиционировавший себя как «безопасный» и «ориентированный на безопасность» мост, не имел адекватных систем реагирования на инциденты. В момент атаки 1 августа 2022 года компания полагалась на инженера, находившегося в самолете, который пересылал фрагменты кода менеджеру инцидентов через чат. Из-за этой задержки Nomad не смог отключить мост до тех пор, пока все активы не были выведены.
Взлом стал возможен из-за критической уязвимости, внесенной в один из смарт-контрактов Nomad в ходе обновления кода в июне 2022 года. Хакеры воспользовались этой уязвимостью, похитив средства в Ethereum, USDC, DAI и WBTC. Комиссия отмечает, что компания не соблюдала базовые практики безопасного кодирования, такие как проведение адекватных модульных тестов перед запуском кода в производственную среду.
FTC указывает, что, несмотря на маркетинговые заявления о тщательном тестировании смарт-контрактов, инженеры Nomad признавали, что во многих случаях тестирование было недостаточным. Компания также не имела четких процессов для сообщения об уязвимостях и реагирования на инциденты.
Ранее в этом году израильские власти задержали Александра Гуревича, обвинив его в организации взлома моста Nomad. По данным полиции, он был арестован в аэропорту Израиля при попытке вылететь в Москву через несколько дней после легальной смены имени, чтобы избежать обнаружения.
Предложенное соглашение FTC будет находиться на публичном обсуждении в течение 30 дней для получения комментариев.
SAUCE
HBAR
THETA
TFUEL
BTC
GEE