La FTC obliga al operador de Nomad a devolver el dinero a los usuarios tras el hackeo de $186M puente de criptomonedas en 2022

En resumen

• La Comisión Federal de Comercio (FTC) dijo que el puente de criptomonedas Nomad de Illusory Systems perdió $186 millones después de que hackers explotaran una actualización de software mal probada.
• Los reguladores alegaron que la empresa se promocionaba como “seguridad primero” mientras no seguía prácticas básicas de codificación y respuesta a incidentes.
• Un acuerdo propuesto requeriría que Illusory devuelva los fondos recuperados, reforme su programa de seguridad y se someta a auditorías continuas.

Centro de Arte, Moda y Entretenimiento de Decrypt.

Descubre SCENE

La Comisión Federal de Comercio dijo el martes que había llegado a un acuerdo propuesto con Illusory Systems Inc., el operador del puente de criptomonedas Nomad, relacionado con el hackeo de 2022 que drenó casi todos los fondos de la plataforma.

Bajo el acuerdo propuesto, Illusory estaría prohibida de tergiversar sus prácticas de seguridad y se le requeriría implementar un programa formal de seguridad de la información, someterse a evaluaciones de seguridad independientes bienales y devolver cualquier fondo recuperado que no haya sido ya reembolsado a los usuarios afectados.

La agencia dijo que la explotación resultó en el robo de aproximadamente $186 millones en activos digitales, dejando a los consumidores con pérdidas que superan los $100 millones.

“Debido a que Nomad no implementó sistemas adecuados de respuesta a incidentes, Nomad no tenía una forma efectiva de detener la explotación,” dijo la FTC en una denuncia original. “Nomad tuvo que confiar en un ingeniero, que estaba en un avión, para transmitir fragmentos de código en un chat con el gerente de incidentes de turno. Como resultado, Nomad no pudo cerrar el puente hasta después de que había sido vaciado de activos.”

“La Comisión consideró el asunto y determinó que tenía motivos para creer que el Demandado había violado la Ley de la Comisión Federal de Comercio, y que debía emitirse una Denuncia que estableciera sus cargos en ese respecto,” escribió la FTC en el acuerdo propuesto. “La Comisión aceptó el Acuerdo de Consentimiento ejecutado y lo puso en el registro público por un período de 30 días para la recepción y consideración de comentarios públicos.”

Lanzado en 2021, Nomad fue una de las plataformas en crecimiento que permitía a los usuarios transferir tokens entre varias redes blockchain, incluyendo Ethereum y Avalanche.

La FTC dijo que una actualización de código en junio de 2022 introdujo una vulnerabilidad crítica en uno de los contratos inteligentes de Nomad, que los hackers comenzaron a explotar el 1 de agosto de 2022, resultando en la pérdida de aproximadamente $186 millones en Ethereum, USDC, DAI y WBTC.

Según la denuncia de la agencia, Illusory Systems promocionó Nomad como “seguridad primero” mientras no probaba adecuadamente el código, mantenía procesos claros de reporte de vulnerabilidades y respuesta a incidentes, o implementaba salvaguardas básicas que podrían haber limitado las pérdidas de los consumidores y “no implementó prácticas de codificación segura bien conocidas, como escribir y realizar pruebas unitarias adecuadas antes de poner el código en producción.”

“Mientras Nomad enfatizaba la importancia de probar exhaustivamente los contratos inteligentes en su marketing, en muchas ocasiones, no probó adecuadamente los contratos inteligentes, como discutieron los ingenieros de Nomad antes del exploit,” dijo la FTC.

En los días posteriores al hackeo, Nomad recuperó $22 millones de los $190 millones robados. A principios de este año, las autoridades israelíes arrestaron a Alexander Gurevich, acusándolo de iniciar el exploit del puente Nomad. La policía dijo que fue detenido en un aeropuerto israelí mientras intentaba huir a Moscú, días después de cambiar legalmente su nombre para evadir la detección.

Ni Illusory ni la FTC respondieron a las solicitudes de comentario de Decrypt.