Singkatnya
- FTC mengatakan bahwa jembatan kripto Nomad milik Illusory Systems kehilangan $186 juta setelah peretas mengeksploitasi pembaruan perangkat lunak yang kurang diuji.
- Regulator menuduh perusahaan memasarkan dirinya sebagai “security-first” namun gagal mengikuti praktik dasar pengkodean dan respons insiden.
- Penyelesaian yang diusulkan akan mengharuskan Illusory mengembalikan dana yang telah dipulihkan, merombak program keamanannya, dan menjalani audit berkelanjutan.
Federal Trade Commission mengatakan pada hari Selasa bahwa mereka telah mencapai penyelesaian yang diusulkan dengan Illusory Systems Inc., operator jembatan cryptocurrency Nomad, terkait dengan peretasan tahun 2022 yang menguras hampir semua dana platform tersebut.
Berdasarkan penyelesaian yang diusulkan, Illusory akan dilarang memberikan pernyataan yang menyesatkan tentang praktik keamanannya dan diwajibkan untuk menerapkan program keamanan informasi formal, tunduk pada penilaian keamanan independen setiap dua tahun, dan mengembalikan dana yang telah dipulihkan yang belum dikembalikan kepada pengguna yang terdampak.
Lembaga tersebut mengatakan eksploitasi tersebut mengakibatkan pencurian sekitar $186 juta aset digital, meninggalkan konsumen dengan kerugian lebih dari $100 juta.
“Karena Nomad gagal menerapkan sistem respons insiden yang memadai, Nomad tidak memiliki cara efektif untuk menghentikan eksploitasi tersebut,” kata FTC dalam keluhan aslinya. “Nomad harus bergantung pada seorang insinyur, yang sedang berada di pesawat, untuk mengirimkan potongan kode melalui chat bolak-balik dengan manajer insiden yang bertugas. Akibatnya, Nomad tidak dapat menutup jembatan tersebut sampai semua aset telah dikosongkan.”
“Komisi mempertimbangkan masalah ini dan menentukan bahwa mereka memiliki alasan untuk percaya bahwa Tergugat telah melanggar Federal Trade Commission Act, dan bahwa sebuah Keluhan harus dikeluarkan yang menyatakan tuduhannya dalam hal ini,” tulis FTC dalam perjanjian yang diusulkan. “Komisi menerima Perjanjian Persetujuan yang telah ditandatangani dan menempatkannya di catatan publik selama 30 hari untuk menerima dan mempertimbangkan komentar publik.”
Diluncurkan pada tahun 2021, Nomad adalah salah satu dari semakin banyak platform yang memungkinkan pengguna mentransfer token di berbagai jaringan blockchain, termasuk Ethereum dan Avalanche.
FTC mengatakan pembaruan kode pada Juni 2022 memperkenalkan kerentanan kritis ke salah satu smart contract Nomad, yang mulai dieksploitasi oleh peretas pada 1 Agustus 2022, sehingga menyebabkan hilangnya sekitar $186 juta dalam bentuk Ethereum, USDC, DAI, dan WBTC.
Menurut keluhan lembaga tersebut, Illusory Systems mempromosikan Nomad sebagai “security-first” namun gagal menguji kode secara memadai, menjaga proses pelaporan kerentanan dan respons insiden yang jelas, atau menerapkan perlindungan dasar yang dapat membatasi kerugian konsumen dan “gagal menerapkan praktik pengkodean aman yang sudah dikenal luas, seperti menulis dan melakukan unit test yang memadai sebelum mendorong kode ke produksi.”
“Sementara Nomad menekankan pentingnya pengujian smart contract secara menyeluruh dalam pemasarannya, dalam banyak kasus, mereka tidak menguji smart contract secara memadai, seperti yang dibahas oleh para insinyur Nomad sebelum eksploitasi terjadi,” kata FTC.
Dalam beberapa hari setelah peretasan, Nomad berhasil memulihkan $22 juta dari $190 juta yang dicuri. Awal tahun ini, otoritas Israel menangkap Alexander Gurevich, menuduhnya sebagai pelaku utama eksploitasi jembatan Nomad. Polisi mengatakan ia ditahan di bandara Israel saat mencoba melarikan diri ke Moskow, beberapa hari setelah secara legal mengganti namanya untuk menghindari deteksi.
Baik Illusory maupun FTC tidak menanggapi
