Em resumo
- A FTC afirmou que a Nomad, ponte de criptomoedas da Illusory Systems, perdeu 186 milhões de dólares após hackers explorarem uma atualização de software mal testada.
- Os reguladores alegaram que a empresa se promovia como “prioridade à segurança”, mas não seguia práticas básicas de codificação e resposta a incidentes.
- Um acordo proposto exigiria que a Illusory devolvesse os fundos recuperados, reformulasse seu programa de segurança e fosse submetida a auditorias contínuas.
A Federal Trade Commission afirmou na terça-feira que chegou a um acordo proposto com a Illusory Systems Inc., operadora da ponte de criptomoedas Nomad, relacionado ao ataque de 2022 que drenou quase todos os fundos da plataforma.
Segundo o acordo proposto, a Illusory estaria proibida de deturpar suas práticas de segurança e seria obrigada a implementar um programa formal de segurança da informação, submeter-se a avaliações de segurança independentes bienais e devolver quaisquer fundos recuperados que ainda não tenham sido reembolsados aos usuários afetados.
A agência afirmou que a exploração resultou no roubo de cerca de 186 milhões de dólares em ativos digitais, deixando os consumidores com perdas superiores a 100 milhões de dólares.
“Como a Nomad não implementou sistemas adequados de resposta a incidentes, não tinha uma forma eficaz de interromper a exploração”, afirmou a FTC em uma queixa original. “A Nomad teve que contar com um engenheiro, que estava num avião, para enviar trechos de código por chat ao gerente de incidentes de plantão. Como resultado, a Nomad não conseguiu desligar a ponte até que todos os ativos tivessem sido esvaziados.”
“A Comissão analisou o assunto e determinou que tinha motivos para acreditar que o Respondente violou o Federal Trade Commission Act, e que uma Queixa deveria ser emitida expondo suas acusações nesse sentido”, escreveu a FTC no acordo proposto. “A Comissão aceitou o Acordo de Consentimento assinado e o colocou em registro público por um período de 30 dias para o recebimento e consideração de comentários do público.”
Lançada em 2021, a Nomad estava entre um número crescente de plataformas que permitiam aos usuários transferir tokens entre múltiplas redes blockchain, incluindo Ethereum e Avalanche.
A FTC afirmou que uma atualização de código em junho de 2022 introduziu uma vulnerabilidade crítica em um dos smart contracts da Nomad, que hackers começaram a explorar em 1 de agosto de 2022, resultando na perda de aproximadamente 186 milhões de dólares em Ethereum, USDC, DAI e WBTC.
De acordo com a queixa da agência, a Illusory Systems promoveu a Nomad como “prioridade à segurança”, mas não testou adequadamente o código, não manteve processos claros de reporte de vulnerabilidades e resposta a incidentes, nem implementou salvaguardas básicas que poderiam ter limitado as perdas dos consumidores e “falhou em implementar práticas de codificação segura bem conhecidas, como escrever e realizar testes unitários adequados antes de colocar o código em produção.”
“Embora a Nomad enfatizasse a importância de testar exaustivamente os smart contracts em seu marketing, em muitas ocasiões não testou adequadamente os smart contracts, conforme discutido pelos engenheiros da Nomad antes da exploração”, afirmou a FTC.
Nos dias seguintes ao ataque, a Nomad recuperou 22 milhões de dólares dos 190 milhões roubados. No início deste ano, as autoridades israelenses prenderam Alexander Gurevich, acusando-o de iniciar a exploração da ponte Nomad. A polícia afirmou que ele foi detido em um aeroporto israelense enquanto tentava fugir para Moscovo, dias após mudar legalmente seu nome para evitar a detecção.
Nem a Illusory nem a FTC responderam
