美國聯邦貿易委員會週二表示,已與 Nomad 加密貨幣橋營運商 Illusory Systems Inc. 就 2022 年駭客攻擊事件達成和解協議,該事件導致該平台幾乎所有資金被盜。
根據擬議的和解方案,Illusory 將被禁止歪曲其安全措施,並被要求實施正式的資訊安全計劃,接受獨立的兩年一次的安全評估,並將尚未償還給受影響用戶的任何追回資金返還給用戶。
該機構表示,這次漏洞導致約1.86 億美元的數位資產被盜,造成了消費者超過 1 億美元的損失。
美國聯邦貿易委員會在最初的投訴中指出:“由於Nomad未能實施充分的事件響應系統,因此無法有效阻止此次攻擊。Nomad只能依靠一名身在飛機上的工程師,通過聊天與值班的事件經理來回傳遞代碼片段。結果,Nomad直到橋上所有資產被清空後才得以關閉該橋。”
「委員會審議了此事,並認定有理由相信被申請人違反了《聯邦貿易委員會法》,因此應發出投訴,列明其在這方面的指控,」聯邦貿易委員會在擬議協議中寫道。 “委員會接受了已簽署的同意協議,並將其公開記錄30天,以接收和考慮公眾意見。”
Nomad 於 2021 年推出,是眾多允許用戶在包括以太坊和Avalanche在內的多個區塊鏈網路之間轉移代幣的平台之一。
美國聯邦貿易委員會表示,2022 年 6 月的一次代碼更新在 Nomad 的一個智能合約中引入了一個嚴重漏洞,駭客從 2022 年 8 月 1 日開始利用該漏洞,導致價值約 1.86 億美元的以太坊、 USDC 、 Dai和WBTC損失。
根據該機構的投訴,Illusory Systems 將 Nomad 宣傳為“安全至上”,但未能充分測試代碼,未能維護清晰的漏洞報告和事件響應流程,也未能部署可以限制消費者損失的基本安全措施,並且“未能實施眾所周知的安全編碼實踐,例如在將代碼推送到生產環境之前編寫和執行充分的單元測試”。
美國聯邦貿易委員會表示:“雖然 Nomad 在其行銷中強調了徹底測試智能合約的重要性,但在許多情況下,它並沒有充分測試智能合約,正如 Nomad 工程師在漏洞利用之前所討論的那樣。”
在駭客攻擊發生後的幾天裡,Nomad 追回了被盜的 1.9 億美元中的2,200 萬美元。今年早些時候,以色列當局逮捕了亞歷山大·古列維奇,指控他策劃了 Nomad 橋漏洞攻擊。警方稱,他在以色列機場被捕,當時他正試圖逃往莫斯科,而就在幾天前,他為了逃避追捕,合法地更改了姓名。
Illusory 和 FTC 均未回應Decrypt 的置評請求。
