In breve
- La FTC ha dichiarato che il bridge crypto Nomad di Illusory Systems ha perso 186 milioni di dollari dopo che degli hacker hanno sfruttato un aggiornamento software poco testato.
- Le autorità di regolamentazione hanno affermato che la società si è promossa come “security-first” pur non seguendo pratiche di base di codifica e risposta agli incidenti.
- Un accordo proposto richiederebbe a Illusory di restituire i fondi recuperati, revisionare il proprio programma di sicurezza e sottoporsi a audit continui.
La Federal Trade Commission ha dichiarato martedì di aver raggiunto un accordo proposto con Illusory Systems Inc., operatore del bridge di criptovalute Nomad, relativo all’hack del 2022 che ha prosciugato quasi tutti i fondi della piattaforma.
Secondo l’accordo proposto, a Illusory sarebbe vietato travisare le proprie pratiche di sicurezza e sarebbe richiesto di implementare un programma formale di sicurezza delle informazioni, sottoporsi a valutazioni indipendenti della sicurezza ogni due anni e restituire eventuali fondi recuperati non ancora rimborsati agli utenti colpiti.
L’agenzia ha dichiarato che l’exploit ha portato al furto di circa 186 milioni di dollari in asset digitali, lasciando i consumatori con perdite superiori a 100 milioni di dollari.
“Poiché Nomad non ha implementato adeguati sistemi di risposta agli incidenti, Nomad non aveva un modo efficace per fermare l’exploit,” ha dichiarato la FTC in un reclamo originale. “Nomad ha dovuto fare affidamento su un ingegnere, che si trovava su un aereo, per trasmettere frammenti di codice in una chat avanti e indietro con il responsabile degli incidenti di turno. Di conseguenza, Nomad non è riuscita a chiudere il bridge fino a quando non era già stato svuotato degli asset.”
“La Commissione ha esaminato la questione e ha determinato di avere motivo di ritenere che il Rispondente abbia violato il Federal Trade Commission Act, e che debba essere emesso un Reclamo che ne esponga le accuse in tal senso,” ha scritto la FTC nell’accordo proposto. “La Commissione ha accettato l’Accordo di Consenso firmato e lo ha inserito nel registro pubblico per un periodo di 30 giorni per la ricezione e la considerazione dei commenti pubblici.”
Lanciato nel 2021, Nomad era tra un numero crescente di piattaforme che permettevano agli utenti di trasferire token tra diverse reti blockchain, tra cui Ethereum e Avalanche.
La FTC ha dichiarato che un aggiornamento del codice di giugno 2022 ha introdotto una vulnerabilità critica in uno degli smart contract di Nomad, che gli hacker hanno iniziato a sfruttare il 1° agosto 2022, causando la perdita di circa 186 milioni di dollari in Ethereum, USDC, DAI e WBTC.
Secondo il reclamo dell’agenzia, Illusory Systems ha promosso Nomad come “security-first” pur non testando adeguatamente il codice, non mantenendo processi chiari di segnalazione delle vulnerabilità e risposta agli incidenti, né implementando misure di sicurezza di base che avrebbero potuto limitare le perdite dei consumatori e “non ha implementato pratiche di codifica sicura ben note, come la scrittura e l’esecuzione di adeguati unit test prima di mettere il codice in produzione.”
“Sebbene Nomad sottolineasse l’importanza di testare accuratamente gli smart contract nel proprio marketing, in molte occasioni non ha testato adeguatamente gli smart contract, come discusso dagli ingegneri di Nomad prima dell’exploit,” ha dichiarato la FTC.
Nei giorni successivi all’hack, Nomad ha recuperato 22 milioni di dollari dei 190 milioni rubati. All’inizio di quest’anno, le autorità israeliane hanno arrestato Alexander Gurevich, accusandolo di aver avviato l’exploit del bridge Nomad. La polizia ha dichiarato che è stato fermato in un aeroporto israeliano mentre cercava di fuggire a Mosca, pochi giorni dopo aver cambiato legalmente nome per evitare di essere individuato.
Né Illusory né la FTC hanno risposto a
