Qisqacha
- FTC Illusory Systems’ning Nomad kripto ko‘prigi xakerlar tomonidan yetarlicha sinovdan o‘tmagan dasturiy ta’minot yangilanishi orqali ekspluatatsiya qilinib, $186 million yo‘qotganini aytdi.
- Regulyatorlar kompaniya o‘zini “xavfsizlik birinchi o‘rinda” deb targ‘ib qilganini, biroq asosiy kodlash va hodisalarga javob berish amaliyotlariga rioya qilmaganini ta’kidlashdi.
- Taklif etilgan kelishuvga ko‘ra, Illusory qaytarib olingan mablag‘larni qaytarishi, xavfsizlik dasturini tubdan o‘zgartirishi va doimiy auditlardan o‘tishi talab qilinadi.
Federal Trade Commission seshanba kuni Illusory Systems Inc. bilan taklif etilgan kelishuvga erishganini ma’lum qildi, bu Nomad kriptovalyuta ko‘prigi operatori bo‘lib, 2022-yildagi xakerlik hujumi natijasida platformaning deyarli barcha mablag‘lari o‘g‘irlangan edi.
Taklif etilgan kelishuvga ko‘ra, Illusory o‘z xavfsizlik amaliyotlarini noto‘g‘ri ko‘rsatishdan man qilinadi va rasmiy axborot xavfsizligi dasturini joriy etishi, mustaqil ikki yillik xavfsizlik baholovlaridan o‘tishi hamda hali qaytarilmagan mablag‘larni jabrlangan foydalanuvchilarga qaytarishi talab qilinadi.
Agentlikning aytishicha, ekspluatatsiya natijasida taxminan $186 million raqamli aktivlar o‘g‘irlangan, natijada iste’molchilar $100 milliondan ortiq zarar ko‘rgan.
“Nomad yetarli hodisalarga javob berish tizimlarini joriy qilmagani sababli, ekspluatatsiyani to‘xtatishning samarali usuli yo‘q edi,” deyiladi FTCning dastlabki shikoyatida. “Nomad muhandisi, samolyotda bo‘lgan paytda, kod parchalarini navbatchi hodisa menejeriga chat orqali yuborishga majbur bo‘ldi. Natijada, Nomad ko‘prikni aktivlar bo‘shatilgandan keyin to‘xtata oldi.”
“Komissiya ushbu masalani ko‘rib chiqdi va Javobgar Federal Trade Commission Act’ni buzganiga ishonch uchun asos bor deb topdi hamda bu borada ayblovlarni bayon qiluvchi shikoyat chiqarilishi kerak deb hisoblaydi,” deb yozilgan FTC tomonidan taklif etilgan kelishuvda. “Komissiya imzolangan Rozilik Kelishuvini qabul qildi va uni 30 kun davomida jamoatchilik fikrini olish va ko‘rib chiqish uchun ommaga e’lon qildi.”
2021-yilda ishga tushirilgan Nomad foydalanuvchilarga Ethereum va Avalanche kabi bir nechta blockchain tarmoqlari o‘rtasida tokenlarni o‘tkazishga imkon bergan platformalar soni ortib borayotganlar qatorida edi.
FTCning aytishicha, 2022-yil iyun oyidagi kod yangilanishi Nomad’ning bir smart-kontraktiga jiddiy zaiflik kiritgan, xakerlar esa 2022-yil 1-avgustdan boshlab undan foydalanishni boshlagan va natijada taxminan $186 million Ethereum, USDC, DAI va WBTC yo‘qotilgan.
Agentlikning shikoyatiga ko‘ra, Illusory Systems Nomad’ni “xavfsizlik birinchi o‘rinda” deb targ‘ib qilgan, biroq kodni yetarlicha sinovdan o‘tkazmagan, aniq zaifliklarni xabar qilish va hodisalarga javob berish jarayonlarini yuritmagan yoki iste’molchilar yo‘qotishlarini cheklash uchun asosiy himoya choralarini joriy qilmagan va “kodni ishlab chiqarishga chiqarishdan oldin yetarli birlik testlarini yozish va o‘tkazish kabi mashhur xavfsiz kodlash amaliyotlarini amalga oshirmagan.”
“Nomad o‘z marketingida smart-kontraktlarni to‘liq sinovdan o‘tkazish muhimligini ta’kidlagan bo‘lsa-da, ko‘plab holatlarda, ekspluatatsiyadan oldin Nomad muhandislari muhokama qilganidek, smart-kontraktlarni yetarlicha sinovdan o‘tkazmagan,” dedi FTC.
Xakerlikdan keyingi kunlarda Nomad o‘g‘irlangan $190 milliondan $22 millionini qaytarib oldi. Joriy yil boshida Isroil rasmiylari Nomad bridge ekspluatatsiyasini boshlaganlikda ayblanayotgan Aleksandr Gurevichni hibsga oldi. Politsiya uni Isroil aeroportida Moskvaga qochishga uringanida, bir necha kun oldin ismini qonuniy ravishda o‘zgartirib, aniqlanishdan qochishga harakat qilgan paytda qo‘lga olganini aytdi.
Illusory ham, FTC ham
