简要

  • FTC表示,Illusory Systems旗下的Nomad加密货币跨链桥在黑客利用一次未经充分测试的软件更新后损失了1.86亿美元。
  • 监管机构指控该公司自称“以安全为先”,但未能遵循基本的编码和事件响应规范。
  • 拟议的和解协议要求Illusory归还追回的资金,彻底改革其安全计划,并接受持续的审计。

美国联邦贸易委员会(FTC)周二表示,已与Nomad加密货币跨链桥的运营方Illusory Systems Inc.达成拟议和解协议,涉及2022年一次几乎耗尽该平台全部资金的黑客攻击事件。

根据拟议的和解协议,Illusory将被禁止对其安全措施进行虚假陈述,并被要求实施正式的信息安全计划,接受独立的两年一次安全评估,并归还尚未偿还给受影响用户的所有追回资金。

该机构表示,此次漏洞利用导致约1.86亿美元的数字资产被盗,消费者损失超过1亿美元。

“由于Nomad未能实施充分的事件响应系统,Nomad没有有效的方法阻止此次攻击,”FTC在最初的投诉中表示。“Nomad不得不依赖一名正在飞机上的工程师,通过聊天与当值事件经理来回传递代码片段。结果,Nomad直到资产被全部转移后才得以关闭跨链桥。”

“委员会审议此事后,认定有理由相信被告违反了《联邦贸易委员会法》,并应就此发布投诉说明其指控,”FTC在拟议协议中写道。“委员会已接受签署的同意协议,并将其公开记录30天,以便接收和考虑公众意见。”

Nomad于2021年上线,是越来越多允许用户在包括Ethereum和Avalanche在内的多个区块链网络间转移代币的平台之一。

FTC表示,2022年6月的一次代码更新在Nomad的一个智能合约中引入了关键漏洞,黑客于2022年8月1日开始利用该漏洞,导致约1.86亿美元的Ethereum、USDC、DAI和WBTC损失。

根据该机构的投诉,Illusory Systems在未能充分测试代码、未建立清晰的漏洞报告和事件响应流程、也未部署能够限制消费者损失的基本防护措施的情况下,仍将Nomad宣传为“以安全为先”,并“未能实施众所周知的安全编码实践,例如在将代码推送到生产环境前编写和执行充分的单元测试”。

“虽然Nomad在市场宣传中强调彻底测试智能合约的重要性,但在许多情况下,并未对智能合约进行充分测试,正如Nomad工程师在攻击发生前所讨论的那样,”FTC表示。

在黑客攻击发生后的几天内,Nomad追回了被盗1.9亿美元中的2200万美元。今年早些时候,以色列当局逮捕了Alexander Gurevich,指控其发起了Nomad跨链桥攻击。警方表示,他在试图逃往莫斯科时于以色列机场被拘留,几天前他刚刚合法更改了姓名以逃避追查。

Illusory和FTC均未对

Decrypt's
置评请求作出回应