重點摘要

  • FTC表示,Illusory Systems旗下的Nomad加密橋因駭客利用測試不足的軟體更新,損失了1.86億美元。
  • 監管機構指控該公司自稱「安全優先」,但未遵循基本的程式編碼及事件回應規範。
  • 擬議的和解協議要求Illusory歸還追回的資金,全面改革其安全計劃,並接受持續審計。

美國聯邦貿易委員會(FTC)週二表示,已與Nomad加密貨幣橋營運商Illusory Systems Inc.達成擬議和解協議,該協議涉及2022年幾乎耗盡該平台所有資金的駭客事件。

根據擬議的和解協議,Illusory將被禁止誤導其安全措施,並被要求實施正式的信息安全計劃,接受獨立的每兩年一次的安全評估,並歸還尚未返還給受影響用戶的追回資金。

該機構表示,這次漏洞利用導致約1.86億美元的數位資產被竊,消費者損失超過1億美元。

FTC在原始投訴中表示:「由於Nomad未能實施足夠的事件回應系統,Nomad沒有有效的方法來阻止這次漏洞利用。Nomad不得不依賴一位正在飛機上的工程師,通過聊天與當值事件經理來回傳遞程式碼片段。因此,Nomad直到資產被清空後才得以關閉橋接。」

「委員會審議此事後,認為有理由相信被告違反了聯邦貿易委員會法,並應發布投訴說明其指控,」FTC在擬議協議中寫道。「委員會已接受簽署的同意協議,並將其公開記錄30天,以便接收和考慮公眾意見。」

Nomad於2021年推出,是越來越多允許用戶在多個區塊鏈網絡(包括Ethereum和Avalanche)間轉移代幣的平台之一。

FTC表示,2022年6月的一次程式碼更新在Nomad的一個智能合約中引入了嚴重漏洞,駭客於2022年8月1日開始利用該漏洞,導致約1.86億美元的Ethereum、USDC、DAI和WBTC損失。

根據該機構的投訴,Illusory Systems將Nomad宣傳為「安全優先」,但未能充分測試程式碼,未維護明確的漏洞通報和事件回應流程,也未部署基本的防護措施來減少消費者損失,並且「未能實施眾所周知的安全編碼實踐,例如在將程式碼推向生產前撰寫和執行充分的單元測試」。

FTC表示:「儘管Nomad在行銷中強調徹底測試智能合約的重要性,但在許多情況下,Nomad並未充分測試智能合約,這一點在漏洞利用前Nomad工程師的討論中已被提及。」

駭客事件發生後的幾天內,Nomad追回了1,900萬美元被盜資金中的2,200萬美元。今年早些時候,以色列當局逮捕了Alexander Gurevich,指控其發起了Nomad橋接漏洞利用。警方表示,他在試圖逃往莫斯科時於以色列機場被拘留,數天前他為了逃避追查還合法更改了姓名。

Illusory和FTC均未對

Decrypt's
requests for comment
.