Ủy ban Thương mại Liên bang (FTC) hôm thứ Ba cho biết họ đã đạt được thỏa thuận dàn xếp dự kiến với Illusory Systems Inc., đơn vị vận hành cầu nối tiền điện tử Nomad, liên quan đến vụ tấn công mạng năm 2022 đã làm cạn kiệt gần như toàn bộ quỹ của nền tảng này.
Theo thỏa thuận đề xuất, Illusory sẽ bị cấm xuyên tạc các biện pháp bảo mật của mình và phải thực hiện một chương trình bảo mật thông tin chính thức, trải qua các đánh giá bảo mật độc lập hai năm một lần và hoàn trả bất kỳ khoản tiền nào đã thu hồi được nhưng chưa được hoàn trả cho người dùng bị ảnh hưởng.
Cơ quan này cho biết vụ tấn công đã dẫn đến việc đánh cắp khoảng 186 triệu đô la tài sản kỹ thuật số, khiến người tiêu dùng thiệt hại hơn 100 triệu đô la.
“Do Nomad không triển khai các hệ thống ứng phó sự cố đầy đủ, nên Nomad không có cách hiệu quả để ngăn chặn cuộc tấn công,” FTC cho biết trong đơn khiếu nại ban đầu. “Nomad phải dựa vào một kỹ sư đang ở trên máy bay để truyền các đoạn mã qua lại trong cuộc trò chuyện với người quản lý sự cố đang trực. Kết quả là, Nomad không thể tắt cầu nối cho đến khi tất cả tài sản trên đó đã được thu hồi.”
“Ủy ban đã xem xét vấn đề và xác định rằng họ có lý do để tin rằng bị cáo đã vi phạm Đạo luật Ủy ban Thương mại Liên bang, và cần phải đưa ra khiếu nại nêu rõ các cáo buộc về vấn đề đó,” FTC viết trong thỏa thuận đề xuất. “Ủy ban đã chấp nhận Thỏa thuận đồng thuận đã được ký kết và công khai thỏa thuận này trong thời hạn 30 ngày để tiếp nhận và xem xét ý kiến đóng góp của công chúng.”
Ra mắt vào năm 2021, Nomad là một trong số ngày càng nhiều nền tảng cho phép người dùng chuyển token giữa nhiều mạng blockchain khác nhau, bao gồm Ethereum và Avalanche .
Ủy ban Thương mại Liên bang (FTC) cho biết bản cập nhật mã nguồn tháng 6 năm 2022 đã tạo ra một lỗ hổng nghiêm trọng trong một trong những hợp đồng thông minh của Nomad, và tin tặc bắt đầu khai thác lỗ hổng này vào ngày 1 tháng 8 năm 2022, dẫn đến thiệt hại khoảng 186 triệu đô la Mỹ bằng Ethereum, USDC , Dai và WBTC .
Theo đơn khiếu nại của cơ quan này, Illusory Systems đã quảng bá Nomad là sản phẩm “ưu tiên bảo mật” trong khi lại không kiểm tra mã nguồn một cách đầy đủ, không duy trì quy trình báo cáo lỗ hổng và ứng phó sự cố rõ ràng, hoặc triển khai các biện pháp bảo vệ cơ bản có thể hạn chế thiệt hại cho người tiêu dùng và “không thực hiện các thực tiễn lập trình an toàn đã được biết đến rộng rãi, chẳng hạn như viết và tiến hành các bài kiểm tra đơn vị đầy đủ trước khi đưa mã nguồn vào sản xuất”.
“Mặc dù Nomad nhấn mạnh tầm quan trọng của việc kiểm tra kỹ lưỡng các hợp đồng thông minh trong hoạt động tiếp thị của mình, nhưng trong nhiều trường hợp, họ đã không kiểm tra đầy đủ các hợp đồng thông minh, như các kỹ sư của Nomad đã thảo luận trước khi sự việc xảy ra”, FTC cho biết.
Trong những ngày sau vụ tấn công mạng, Nomad đã thu hồi được 22 triệu đô la trong số 190 triệu đô la bị đánh cắp. Đầu năm nay, nhà chức trách Israel đã bắt giữ Alexander Gurevich, cáo buộc ông ta là người khởi xướng vụ tấn công cầu nối Nomad. Cảnh sát cho biết ông ta bị bắt giữ tại một sân bay của Israel khi đang cố gắng trốn sang Moscow, vài ngày sau khi đổi tên hợp pháp để tránh bị phát hiện.
Cả Illusory và FTC đều không phản hồi yêu cầu bình luận từ Decrypt .
