Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) đang tiến tới việc hoàn tất một thỏa thuận mang tính bước ngoặt với Illusory Systems Inc., công ty đứng sau cầu nối tiền điện tử Nomad giờ đã nổi tiếng, nơi đã bị rút gần như tất cả quỹ của người dùng trong một vụ hack lớn vào năm 2022. Thỏa thuận đề xuất theo sau một cuộc điều tra dài và bao gồm các nghĩa vụ mới mạnh mẽ cho công ty.
Nếu được phê duyệt, Illusory sẽ bị cấm vĩnh viễn khỏi việc gây hiểu lầm cho người dùng về các giao thức bảo mật của mình. Công ty sẽ buộc phải thực hiện một chương trình an ninh mạng chính thức, trải qua các cuộc kiểm toán bên thứ ba mỗi hai năm, và hoàn trả bất kỳ quỹ nào chưa thu hồi nếu được tìm thấy.
Một cuộc gọi đánh thức 186 triệu đô la cho ngành
Theo FTC, vụ hack đã dẫn đến việc ước tính 186 triệu đô la tài sản kỹ thuật số bị đánh cắp, với hơn 100 triệu đô la tổn thất được hấp thụ trực tiếp bởi người dùng bán lẻ. Cuộc tấn công xảy ra do điều mà cơ quan này mô tả là “sự bất cẩn nghiêm trọng” trong các hệ thống phản ứng nội bộ của Nomad.
Một trong những thất bại đáng chú ý nhất liên quan đến phản ứng chậm trễ do thiếu bất kỳ quy trình khẩn cấp có cấu trúc nào. “Vào thời điểm xảy ra vụ xâm nhập, nền tảng phụ thuộc vào một kỹ sư gửi mã qua Wi-Fi máy bay,” FTC cho biết. “Sự chậm trễ đó đã chứng minh là chết người.”
Sự cố đã phơi bày một lỗ hổng nghiêm trọng được giới thiệu trong một hợp đồng thông minh trong một bản cập nhật tháng 6 năm 2022. Vào ngày 1 tháng 8, các hacker đã khai thác lỗ hổng, rút hết tài sản từ nhiều loại tiền – bao gồm Ethereum (ETH), USDC, DAI, và WBTC – trong vòng vài giờ.
FTC: Những tuyên bố an ninh sai và những thực tiễn tốt bị bỏ qua
FTC cáo buộc Illusory đã tiếp thị Nomad như một giải pháp “an ninh trước tiên” trong khi không tuân theo ngay cả các tiêu chuẩn phát triển phần mềm cơ bản. Mặc dù công khai tuyên bố rằng tất cả các hợp đồng thông minh đã trải qua thử nghiệm nghiêm ngặt, các kỹ sư đã thừa nhận sau vụ hack rằng các quy trình thử nghiệm thích hợp thường bị bỏ qua.
Tệ hơn nữa, nền tảng này thiếu bất kỳ quy trình báo cáo hay leo thang nào cho các lỗ hổng tiềm ẩn. Cơ quan này lập luận rằng điều này đã vi phạm trực tiếp Đạo luật Ủy ban Thương mại Liên bang và để người dùng gặp nguy hiểm.
Thỏa thuận đang được xem xét – Ý kiến công khai được mời
Thỏa thuận đồng ý đã ký của FTC hiện đang mở cho một khoảng thời gian bình luận công khai 30 ngày. Nếu không có phản đối nào phát sinh, thỏa thuận có thể sớm được hoàn tất. Nó bao gồm các cải cách an ninh bắt buộc, bồi thường tài chính, và giám sát các hoạt động tương lai của Illusory Systems.
Nomad, được ra mắt vào năm 2021, là một cầu nối chuỗi chéo cho phép chuyển tiền giữa các blockchain như Ethereum và Avalanche. Sau vụ xâm nhập, nhóm đã quản lý để phục hồi chỉ 22 triệu đô la trong số tiền bị đánh cắp.
Sự bắt giữ ở Israel thêm một tình tiết khác
Trong một bài viết kịch tính, các cơ quan Israel đã bắt giữ Alexander Gurevich, kẻ bị cáo buộc là người đứng sau lỗ hổng Nomad. Theo các nhà điều tra, Gurevich đã cố gắng trốn sang Moscow ngay sau khi thay đổi tên hợp pháp của mình. Anh ta đã bị bắt giữ tại sân bay trước khi lên chuyến bay.
Vụ án Nomad nhấn mạnh một nhu cầu quan trọng về tiêu chuẩn an ninh mạng chặt chẽ hơn trong cơ sở hạ tầng Web3 – và đưa ra một lời nhắc nhở rõ ràng rằng các nhà quản lý không còn ngồi im.
#CryptoHack , #BlockchainSecurity , #CyberSecurity , #Web3 , #DigitalAssets
Giữ một bước phía trước – theo dõi hồ sơ của chúng tôi và được thông báo về mọi điều quan trọng trong thế giới tiền điện tử!
Thông báo:
,,Thông tin và quan điểm được trình bày trong bài viết này chỉ nhằm mục đích giáo dục và không nên được coi là lời khuyên đầu tư trong bất kỳ tình huống nào. Nội dung của các trang này không nên được coi là lời khuyên tài chính, đầu tư, hoặc bất kỳ hình thức lời khuyên nào khác. Chúng tôi cảnh báo rằng đầu tư vào tiền điện tử có thể rủi ro và có thể dẫn đến tổn thất tài chính.
