En bref
- La FTC a déclaré que le pont crypto Nomad d’Illusory Systems a perdu 186 millions de dollars après que des hackers ont exploité une mise à jour logicielle insuffisamment testée.
- Les régulateurs ont allégué que l’entreprise se présentait comme « security-first » tout en ne respectant pas les pratiques de base en matière de codage et de réponse aux incidents.
- Un accord proposé exigerait qu’Illusory restitue les fonds récupérés, refonde son programme de sécurité et se soumette à des audits continus.
La Federal Trade Commission a annoncé mardi avoir conclu un accord de règlement proposé avec Illusory Systems Inc., l’opérateur du pont de cryptomonnaie Nomad, concernant le piratage de 2022 qui a vidé presque tous les fonds de la plateforme.
Selon l’accord proposé, Illusory se verrait interdire de présenter de manière trompeuse ses pratiques de sécurité et serait tenue de mettre en place un programme formel de sécurité de l’information, de se soumettre à des évaluations de sécurité indépendantes tous les deux ans, et de restituer tout fonds récupéré qui n’a pas déjà été remboursé aux utilisateurs concernés.
L’agence a indiqué que l’exploitation avait entraîné le vol d’environ 186 millions de dollars d’actifs numériques, laissant les consommateurs avec des pertes dépassant 100 millions de dollars.
« Parce que Nomad n’a pas mis en place de systèmes de réponse aux incidents adéquats, Nomad n’avait pas de moyen efficace pour stopper l’exploitation », a déclaré la FTC dans une plainte initiale. « Nomad a dû compter sur un ingénieur, qui se trouvait dans un avion, pour transmettre des extraits de code dans une discussion avec le responsable des incidents de service. En conséquence, Nomad n’a pas pu fermer le pont avant qu’il ne soit vidé de ses actifs. »
« La Commission a examiné l’affaire et a déterminé qu’elle avait des raisons de croire que le défendeur avait violé la Federal Trade Commission Act, et qu’une plainte devait être déposée exposant ses accusations à cet égard », a écrit la FTC dans l’accord proposé. « La Commission a accepté l’accord de consentement signé et l’a placé dans le dossier public pour une période de 30 jours afin de recevoir et d’examiner les commentaires du public. »
Lancé en 2021, Nomad faisait partie d’un nombre croissant de plateformes permettant aux utilisateurs de transférer des tokens entre plusieurs réseaux blockchain, dont Ethereum et Avalanche.
La FTC a indiqué qu’une mise à jour du code en juin 2022 avait introduit une vulnérabilité critique dans l’un des smart contracts de Nomad, que des hackers ont commencé à exploiter le 1er août 2022, entraînant la perte d’environ 186 millions de dollars en Ethereum, USDC, DAI et WBTC.
Selon la plainte de l’agence, Illusory Systems a promu Nomad comme étant « security-first » tout en ne testant pas suffisamment le code, en n’ayant pas de processus clairs de signalement des vulnérabilités et de réponse aux incidents, ou en n’appliquant pas les mesures de protection de base qui auraient pu limiter les pertes des consommateurs, et « n’a pas mis en œuvre des pratiques de codage sécurisé bien connues, telles que l’écriture et la réalisation de tests unitaires adéquats avant de déployer le code en production ».
« Alors que Nomad soulignait l’importance de tester minutieusement les smart contracts dans son marketing, dans de nombreux cas, il n’a pas suffisamment testé les smart contracts, comme discuté par les ingénieurs de Nomad avant l’exploitation », a déclaré la FTC.
Dans les jours qui ont suivi le piratage, Nomad a récupéré 22 millions de dollars sur les 190 millions volés. Plus tôt cette année, les autorités israéliennes ont arrêté Alexander Gurevich, l’accusant d’avoir initié l’exploitation du pont Nomad. La police a déclaré qu’il avait été arrêté dans un aéroport israélien alors qu’il tentait de fuir vers Moscou, quelques jours après avoir légalement changé de nom pour échapper à la détection.
Ni Illusory ni la FTC n’ont répondu à
