SCENEを発見
連邦取引委員会(FTC)は火曜日、2022年のハッキングに関連し、Nomad暗号通貨橋の運営者であるIllusory Systems Inc.と提案された和解に達したと発表しました。このハッキングにより、プラットフォームのほぼすべての資金が流出しました。
提案された和解案の下で、Illusoryはセキュリティ慣行の虚偽表示を禁じられ、正式な情報セキュリティプログラムを実施し、独立した隔年のセキュリティ評価を受け、既に返済されていない回収資金を被害者に返還することが義務付けられます。
当局は、この脆弱性により約$186 百万ドルのデジタル資産が盗まれ、消費者は$100 百万ドルを超える損失を被ったと述べています。
「Nomadは十分なインシデント対応システムを導入しなかったため、攻撃を止める効果的な方法がありませんでした」とFTCは元の訴状で述べています。「Nomadは、飛行機に乗っていたエンジニアにコードの断片をチャットでやり取りさせ、インシデントマネージャーとやり取りさせるしかありませんでした。その結果、Nomadは資産が空になるまで橋を停止できませんでした。」
「委員会はこの問題を検討し、被告が連邦取引委員会法に違反したと信じる理由があると判断し、その旨の訴状を発行すべきだと決定しました」とFTCは提案された合意書に記載しています。「委員会は署名済みの同意書を受理し、30日間の公的記録として公開し、意見募集と検討を行います。」
2021年に開始されたNomadは、EthereumやAvalancheを含む複数のブロックチェーンネットワーク間でトークンを転送できるプラットフォームの一つとして成長してきました。
FTCは、2022年6月のコード更新により、Nomadのスマートコントラクトの一つに重大な脆弱性が導入され、ハッカーは2022年8月1日にこれを悪用し、Ethereum、USDC、DAI、WBTCで約$186 百万ドルを失ったと述べています。
当局の訴状によると、Illusory SystemsはNomadを「セキュリティ優先」と宣伝しながら、コードの十分なテストや明確な脆弱性報告・インシデント対応のプロセスを維持せず、消費者の損失を限定できる基本的な安全策を導入しなかったと指摘しています。また、「本番環境にコードをプッシュする前に十分なユニットテストを行うなどの安全なコーディングのベストプラクティスを実施しなかった」とも述べています。
「Nomadは、マーケティングにおいてスマートコントラクトの徹底的なテストの重要性を強調していましたが、多くの場合、実際には十分にテストされていませんでした」とFTCは述べています。
ハッキング後数日で、Nomadは盗まれた$22 百万ドルのうち$190 百万ドルを回収しました。今年初め、イスラエル当局はAlexander Gurevichを逮捕し、Nomadブリッジの脆弱性を引き起こしたとして起訴しました。警察は、彼が検挙を逃れるために名前を変更し、数日後にモスクワへ向かおうとしている最中にイスラエルの空港で拘留されたと述べています。
IllusoryもFTCもDecryptのコメント要請には応じませんでした。
