Tóm tắt
- FTC cho biết cầu nối tiền mã hóa Nomad của Illusory Systems đã mất 186 triệu đô la sau khi các hacker khai thác một bản cập nhật phần mềm chưa được kiểm tra kỹ lưỡng.
- Các cơ quan quản lý cáo buộc công ty tự quảng bá là “ưu tiên bảo mật” trong khi không tuân thủ các thực hành lập trình và phản ứng sự cố cơ bản.
- Một thỏa thuận dàn xếp được đề xuất sẽ yêu cầu Illusory hoàn trả các khoản tiền đã thu hồi, cải tổ chương trình bảo mật và chịu các cuộc kiểm toán liên tục.
Ủy ban Thương mại Liên bang (FTC) cho biết hôm thứ Ba rằng họ đã đạt được một thỏa thuận dàn xếp dự kiến với Illusory Systems Inc., đơn vị vận hành cầu nối tiền mã hóa Nomad, liên quan đến vụ hack năm 2022 đã rút gần như toàn bộ số tiền trên nền tảng này.
Theo thỏa thuận dàn xếp được đề xuất, Illusory sẽ bị cấm trình bày sai về các thực hành bảo mật của mình và phải triển khai một chương trình bảo mật thông tin chính thức, chịu các đánh giá bảo mật độc lập hai năm một lần, và hoàn trả bất kỳ khoản tiền nào đã thu hồi mà chưa được trả lại cho người dùng bị ảnh hưởng.
Cơ quan này cho biết vụ khai thác đã dẫn đến việc đánh cắp khoảng 186 triệu đô la tài sản kỹ thuật số, khiến người tiêu dùng chịu thiệt hại vượt quá 100 triệu đô la.
“Bởi vì Nomad không triển khai các hệ thống phản ứng sự cố đầy đủ, Nomad không có cách hiệu quả để ngăn chặn vụ khai thác,” FTC cho biết trong đơn khiếu nại ban đầu. “Nomad phải dựa vào một kỹ sư, người đang trên máy bay, để gửi các đoạn mã qua trò chuyện với quản lý sự cố đang làm việc. Do đó, Nomad không thể đóng cầu nối cho đến khi nó đã bị rút hết tài sản.”
“Ủy ban đã xem xét vấn đề và xác định rằng có lý do để tin rằng Bên trả lời đã vi phạm Đạo luật Ủy ban Thương mại Liên bang, và rằng một Đơn khiếu nại nên được ban hành nêu rõ các cáo buộc liên quan,” FTC viết trong thỏa thuận dự kiến. “Ủy ban đã chấp nhận Thỏa thuận Đồng ý đã được ký kết và đưa nó lên hồ sơ công khai trong thời gian 30 ngày để nhận và xem xét ý kiến công chúng.”
Ra mắt vào năm 2021, Nomad là một trong số ngày càng nhiều nền tảng cho phép người dùng chuyển token giữa nhiều mạng blockchain, bao gồm Ethereum và Avalanche.
FTC cho biết một bản cập nhật mã vào tháng 6 năm 2022 đã tạo ra một lỗ hổng nghiêm trọng trong một hợp đồng thông minh của Nomad, mà các hacker bắt đầu khai thác vào ngày 1 tháng 8 năm 2022, dẫn đến việc mất khoảng 186 triệu đô la Ethereum, USDC, DAI và WBTC.
Theo đơn khiếu nại của cơ quan này, Illusory Systems đã quảng bá Nomad là “ưu tiên bảo mật” trong khi không kiểm tra mã đầy đủ, không duy trì quy trình báo cáo lỗ hổng và phản ứng sự cố rõ ràng, hoặc triển khai các biện pháp bảo vệ cơ bản có thể đã hạn chế thiệt hại cho người tiêu dùng và “không thực hiện các thực hành lập trình an toàn nổi tiếng, chẳng hạn như viết và tiến hành kiểm thử đơn vị đầy đủ trước khi đưa mã vào sản xuất.”
“Mặc dù Nomad nhấn mạnh tầm quan trọng của việc kiểm thử hợp đồng thông minh kỹ lưỡng trong các hoạt động tiếp thị, nhưng trong nhiều trường hợp, họ đã không kiểm thử hợp đồng thông minh đầy đủ, như đã được các kỹ sư Nomad thảo luận trước khi xảy ra vụ khai thác,” FTC cho biết.
Trong những ngày sau vụ hack, Nomad đã thu hồi được 22 triệu đô la trong tổng số 190 triệu đô la bị đánh cắp. Đầu năm nay, nhà chức trách Israel đã bắt giữ Alexander Gurevich, cáo buộc ông là người khởi xướng vụ khai thác cầu nối Nomad. Cảnh sát cho biết ông đã bị bắt tại một sân bay ở Israel khi đang cố gắng trốn sang Moscow, chỉ vài ngày sau khi hợp pháp thay đổi tên để tránh bị phát hiện.
Cả Illusory và FTC đều không phản hồi
