Em resumo
- A FTC disse que a ponte criptográfica Nomad da Illusory Systems perdeu US$ 186 milhões depois que hackers exploraram uma atualização de software mal testada.
- Os reguladores alegaram que a empresa se autopromoveu como “a segurança em primeiro lugar”, embora não seguisse as práticas básicas de codificação e resposta a incidentes.
- Um acordo proposto exigiria que a Illusory devolvesse os fundos recuperados, revisasse seu programa de segurança e passasse por auditorias contínuas.
A Comissão Federal de Comércio disse na terça-feira que ofereceu uma proposta de acordo com a Illusory Systems Inc., a operadora da ponte de criptomoeda Nomad, relacionada ao hack de 2022 que drenou quase todos os fundos da plataforma.
Nos termos do acordo proposto, a Illusory seria impedida de deturpar as suas práticas de segurança e obrigada a implementar um programa formal de segurança da informação, submeter-se a avaliações de segurança bienais independentes e devolver quaisquer fundos recuperados ainda não reembolsados aos utilizadores afetados.
A agência disse que a exploração resultou no roubo de cerca de US$ 186 milhões em ativos digitais, deixando os consumidores com perdas superiores a US$ 100 milhões.
“Como o Nomad não conseguiu implementar sistemas adequados de resposta a incidentes, o Nomad não tinha uma maneira eficaz de impedir a exploração”, disse a FTC em uma reclamação original. “O Nomad teve que contar com um engenheiro, que estava em um avião, para transmitir trechos de código em um bate-papo com o gerente de incidentes de plantão. Como resultado, o Nomad não conseguiu desligar a ponte até que ela tivesse sido esvaziada de ativos.”
“A Comissão considerou o assunto e determinou que tinha motivos para acreditar que o Requerido violou a Lei da Comissão Federal de Comércio e que uma reclamação deveria ser emitida declarando suas acusações a esse respeito”, escreveu a FTC no acordo proposto. “A Comissão aceitou o Acordo de Consentimento executado e colocou-o em registro público por um período de 30 dias para recebimento e consideração de comentários públicos.”
Lançado em 2021, o Nomad estava entre um número crescente de plataformas que permitiam aos usuários transferir tokens através de múltiplas redes blockchain, incluindo Ethereum e Avalanche.
A FTC disse que uma atualização de código de junho de 2022 introduziu uma vulnerabilidade crítica em um dos contratos inteligentes do Nomad, que os hackers começaram a explorar em 1º de agosto de 2022, resultando na perda de aproximadamente US$ 186 milhões em Ethereum, USDC, DAI e WBTC.
De acordo com a reclamação da agência, a Illusory Systems promoveu o Nomad como “segurança em primeiro lugar”, embora não tenha testado adequadamente o código, mantido relatórios de vulnerabilidade claros e processos de resposta a incidentes, ou implantado salvaguardas básicas que poderiam ter limitado as perdas do consumidor e “não conseguiu implementar práticas de codificação seguras bem conhecidas, como escrever e conduzir testes de unidade adequados antes de colocar o código em produção”.
“Embora a Nomad tenha enfatizado a importância de testar minuciosamente os contratos inteligentes em seu marketing, em muitos casos, ela não testou adequadamente os contratos inteligentes, conforme discutido pelos engenheiros da Nomad antes da exploração”, disse a FTC.
Nos dias seguintes ao hack, Nomad recuperou US$ 22 milhões dos US$ 190 milhões roubados. No início deste ano, as autoridades israelitas prenderam Alexander Gurevich, acusando-o de iniciar a exploração da ponte Nomad. A polícia disse que ele foi detido em um aeroporto israelense enquanto tentava fugir para Moscou, dias depois de mudar legalmente seu nome para evitar a detecção.
Nem Illusory nem a FTC responderam a Descriptografar pedidos de comentários.
Resumo Diário Boletim informativo
Comece cada dia com as principais notícias do momento, além de recursos originais, podcast, vídeos e muito mais.
Fontedecrypt
