美国联邦贸易委员会周二表示,已与 Nomad 加密货币桥营运商 Illusory Systems Inc. 就 2022 年骇客攻击事件达成和解协议,该事件导致该平台几乎所有资金被盗。
根据拟议的和解方案,Illusory 将被禁止歪曲其安全措施,并被要求实施正式的资讯安全计划,接受独立的两年一次的安全评估,并将尚未偿还给受影响用户的任何追回资金返还给用户。
该机构表示,这次漏洞导致约1.86 亿美元的数位资产被盗,造成了消费者超过 1 亿美元的损失。
美国联邦贸易委员会在最初的投诉中指出:“由于Nomad未能实施充分的事件响应系统,因此无法有效阻止此次攻击。Nomad只能依靠一名身在飞机上的工程师,通过聊天与值班的事件经理来回传递代码片段。结果,Nomad直到桥上所有资产被清空后才得以关闭该桥。”
「委员会审议了此事,并认定有理由相信被申请人违反了《联邦贸易委员会法》,因此应发出投诉,列明其在这方面的指控,」联邦贸易委员会在拟议协议中写道。 “委员会接受了已签署的同意协议,并将其公开记录30天,以接收和考虑公众意见。”
Nomad 于 2021 年推出,是众多允许用户在包括以太坊和Avalanche在内的多个区块链网路之间转移代币的平台之一。
美国联邦贸易委员会表示,2022 年 6 月的一次代码更新在 Nomad 的一个智能合约中引入了一个严重漏洞,骇客从 2022 年 8 月 1 日开始利用该漏洞,导致价值约 1.86 亿美元的以太坊、 USDC 、 Dai和WBTC损失。
根据该机构的投诉,Illusory Systems 将 Nomad 宣传为“安全至上”,但未能充分测试代码,未能维护清晰的漏洞报告和事件响应流程,也未能部署可以限制消费者损失的基本安全措施,并且“未能实施众所周知的安全编码实践,例如在将代码推送到生产环境之前编写和执行充分的单元测试”。
美国联邦贸易委员会表示:“虽然 Nomad 在其行销中强调了彻底测试智能合约的重要性,但在许多情况下,它并没有充分测试智能合约,正如 Nomad 工程师在漏洞利用之前所讨论的那样。”
在骇客攻击发生后的几天里,Nomad 追回了被盗的 1.9 亿美元中的2,200 万美元。今年早些时候,以色列当局逮捕了亚历山大·古列维奇,指控他策划了 Nomad 桥漏洞攻击。警方称,他在以色列机场被捕,当时他正试图逃往莫斯科,而就在几天前,他为了逃避追捕,合法地更改了姓名。
Illusory 和 FTC 均未回应Decrypt 的置评请求。
