En resumen
- La FTC afirmó que el puente cripto Nomad de Illusory Systems perdió 186 millones de dólares después de que hackers explotaran una actualización de software insuficientemente probada.
- Los reguladores alegaron que la empresa se promocionaba como “primero la seguridad” mientras no seguía prácticas básicas de codificación y respuesta ante incidentes.
- Un acuerdo propuesto requeriría que Illusory devolviera los fondos recuperados, renovara su programa de seguridad y se sometiera a auditorías continuas.
La Comisión Federal de Comercio (FTC) informó el martes que había alcanzado un acuerdo propuesto con Illusory Systems Inc., operador del puente de criptomonedas Nomad, relacionado con el hackeo de 2022 que drenó casi todos los fondos de la plataforma.
Según el acuerdo propuesto, Illusory tendría prohibido tergiversar sus prácticas de seguridad y estaría obligado a implementar un programa formal de seguridad de la información, someterse a evaluaciones de seguridad independientes cada dos años y devolver cualquier fondo recuperado que aún no haya sido reembolsado a los usuarios afectados.
La agencia indicó que el exploit resultó en el robo de aproximadamente 186 millones de dólares en activos digitales, dejando a los consumidores con pérdidas superiores a 100 millones de dólares.
“Debido a que Nomad no implementó sistemas adecuados de respuesta ante incidentes, Nomad no tenía una forma efectiva de detener el exploit”, dijo la FTC en la denuncia original. “Nomad tuvo que depender de un ingeniero, que estaba en un avión, para transmitir fragmentos de código en un chat de ida y vuelta con el gerente de incidentes de turno. Como resultado, Nomad no pudo cerrar el puente hasta después de que se vaciaron los activos.”
“La Comisión consideró el asunto y determinó que tenía motivos para creer que el Demandado ha violado la Ley de la Comisión Federal de Comercio, y que debería emitirse una Denuncia exponiendo sus cargos al respecto”, escribió la FTC en el acuerdo propuesto. “La Comisión aceptó el Acuerdo de Consentimiento ejecutado y lo colocó en el registro público por un período de 30 días para la recepción y consideración de comentarios públicos.”
Lanzado en 2021, Nomad fue una de las plataformas emergentes que permitía a los usuarios transferir tokens entre múltiples redes blockchain, incluyendo Ethereum y Avalanche.
La FTC indicó que una actualización de código en junio de 2022 introdujo una vulnerabilidad crítica en uno de los contratos inteligentes de Nomad, la cual los hackers comenzaron a explotar el 1 de agosto de 2022, resultando en la pérdida de aproximadamente 186 millones de dólares en Ethereum, USDC, DAI y WBTC.
Según la denuncia de la agencia, Illusory Systems promocionó Nomad como “primero la seguridad” mientras no probaba adecuadamente el código, no mantenía procesos claros de reporte de vulnerabilidades y respuesta ante incidentes, ni desplegaba salvaguardas básicas que podrían haber limitado las pérdidas de los consumidores y “no implementó prácticas de codificación segura ampliamente conocidas, como escribir y realizar pruebas unitarias adecuadas antes de poner el código en producción.”
“Mientras Nomad enfatizaba la importancia de probar exhaustivamente los contratos inteligentes en su marketing, en muchas ocasiones, no probó adecuadamente los contratos inteligentes, como discutieron los ingenieros de Nomad antes del exploit”, dijo la FTC.
En los días posteriores al hackeo, Nomad recuperó 22 millones de los 190 millones de dólares robados. A principios de este año, las autoridades israelíes arrestaron a Alexander Gurevich, acusándolo de iniciar el exploit del puente Nomad. La policía dijo que fue detenido en un aeropuerto israelí mientras intentaba huir a Moscú, días después de cambiar legalmente su nombre para evadir la detección.
Ni Illusory ni la FTC respondieron a
