미국 연방거래위원회(FTC)는 화요일, 암호화폐 브리지 서비스인 노마드(Nomad) 운영사인 일루저리 시스템즈(Illusory Systems Inc.)와 2022년 해킹 사건으로 플랫폼 자금이 거의 모두 유출된 것과 관련하여 합의안 에 도달했다고 밝혔다.
제안된 합의안에 따르면, 일루저리는 자사의 보안 관행에 대해 허위 진술을 하는 것이 금지되고, 공식적인 정보 보안 프로그램을 시행하고, 2년마다 독립적인 보안 평가를 받고, 이미 피해 사용자에게 상환하지 않은 모든 회수 자금을 반환해야 합니다.
해당 기관은 이번 해킹으로 약 1억 8600만 달러 상당의 디지털 자산이 도난당했으며, 소비자들의 손실액은 1억 달러를 넘어섰다고 밝혔습니다.
"노마드는 적절한 사고 대응 시스템을 구축하지 못해 취약점 공격을 효과적으로 막을 수 없었습니다."라고 미국 연방거래위원회(FTC)는 최초 소장 에서 밝혔습니다. "노마드는 비행기에 탑승한 엔지니어가 당직 사고 관리자와 채팅으로 코드 조각을 주고받는 방식에 의존해야 했습니다. 그 결과, 노마드는 브리지에 저장된 자산이 모두 제거될 때까지 브리지를 폐쇄할 수 없었습니다."
"위원회는 해당 사안을 검토한 결과 피고가 연방거래위원회법을 위반했을 가능성이 있다고 판단했으며, 이에 대한 혐의를 명시한 진정서를 제출해야 한다고 결정했습니다."라고 연방거래위원회(FTC)는 합의안 초안에서 밝혔습니다 . "위원회는 서명된 합의서를 수락하고 30일 동안 공개 기록으로 게시하여 대중의 의견을 수렴하고 검토하기로 했습니다."
2021년에 출시된 Nomad는 사용자가 이더리움 과 애벌랜치를 포함한 여러 블록체인 네트워크 간에 토큰을 전송할 수 있도록 지원하는 플랫폼 중 하나였습니다.
미국 연방거래위원회(FTC)는 2022년 6월 코드 업데이트로 인해 노마드(Nomad)의 스마트 계약 중 하나에 심각한 취약점이 발생했으며, 해커들이 2022년 8월 1일부터 이를 악용하여 약 1억 8600만 달러 상당의 이더리움, USDC , 다이(Dai) 및 WBTC가 손실되었다고 밝혔습니다.
해당 기관의 고소장에 따르면, Illusory Systems는 Nomad를 "보안 우선"이라고 홍보했지만, 코드 테스트를 제대로 수행하지 않았고, 명확한 취약점 보고 및 사고 대응 프로세스를 유지하지 않았으며, 소비자 손실을 줄일 수 있었던 기본적인 안전 장치를 마련하지 않았고, "코드를 프로덕션 환경에 배포하기 전에 적절한 단위 테스트를 작성하고 수행하는 것과 같은 잘 알려진 보안 코딩 관행을 구현하지 않았다"고 합니다.
미국 연방거래위원회(FTC)는 "노마드는 마케팅에서 스마트 계약을 철저히 테스트하는 것의 중요성을 강조했지만, 취약점 발생 전 노마드 엔지니어들이 논의했듯이 많은 경우 스마트 계약을 제대로 테스트하지 않았다"고 밝혔습니다.
해킹 발생 후 며칠 만에 노마드는 도난당한 1억 9천만 달러 중 2천2백만 달러를 회수했습니다. 올해 초 이스라엘 당국은 노마드 브리지 공격을 주도한 혐의로 알렉산더 구레비치를 체포했습니다 . 경찰은 그가 발각을 피하기 위해 법적으로 이름을 바꾼 지 며칠 만에 모스크바로 도피하려다 이스라엘 공항에서 체포됐다고 밝혔습니다.
Illusory와 FTC 모두 Decrypt의 논평 요청 에 응답하지 않았습니다 .
