ブロックチェーン企業Illusory Systemsは、2022年に同社の暗号資産プラットフォームNomadが大規模なハッキング被害を受けた後に回収した約3,750万ドルを、顧客に分配しなければならない。
ユタ州拠点の同社は、2022年の盗難の影響を受けたユーザーに補償することに加え、セキュリティプログラムに幅広い変更を加えることも求められる。盗難総額は 暗号資産で約1億8,600万ドルに上った。
連邦取引委員会(FTC)は、Nomadが自社を安全な暗号資産プラットフォームだと宣伝して顧客を誤認させたとする申し立てを和解するための提案命令を公表した。
FTCの調査では、同社が安全なコーディング慣行を用いておらず、脆弱性報告を受け取り対処するためのプロセスを実装しておらず、消費者の損失を抑え得た広く導入されているツールも使用していなかったことが判明した。
申し立てでは、Nomadが2022年6月に「十分にテストされていないコード」を導入し、それに「重大な脆弱性」があったため、わずか1カ月後に誰でも同社のシステムに侵入できるようになったと詳細に説明している。この脆弱性は、プラットフォームのスマートコントラクト(プラットフォーム内部のルールに従って自動的に動作を実行できるプロトコル)に影響した。
Nomadは、Avalanche(AVAX)、Ethereum(ETH)、Evmos(EVMOS)など異なるブロックチェーン間の暗号資産取引を仲介する企業で、同社がプラットフォームの更新を行ったことで脆弱性が持ち込まれた。
その結果、誰でも入金額を上回る資金を引き出せるようになった。複数の暗号資産セキュリティ企業や専門家は、盗まれた資金の約80%が41のアカウントに紐づくことを追跡した。しかし、エクスプロイトのニュースが広まると無法地帯になったと指摘する声もあった。
「Nomadは、コードを急いで本番環境に投入することの危険性を理解していた」と、今週公表された命令で調査官は記している。「例えば、ある潜在的なビジネスパートナーは、アップグレードは『それ自体がリスクであり、回収不能な資金につながり得る』ため、慎重に行う必要があるとNomadに警告した。Nomadはこの警告を無視し、後に悪用されたコードを本番環境に投入した。」
「問題を誤解していた」
申し立てには、あるエンジニアがNomadのCEOにセキュリティ上の懸念を提起したものの、上層部に無視されたという主張が含まれている。2022年には、複数のRedditユーザーが、Nomadが2022年6月9日にセキュリティ企業Quantstampが実施した監査でもこの問題について警告されていたと指摘した。
Quantstampは実際に起きたシナリオを正確に示し、監査報告書でNomadチームが「問題を誤解している」と記した。
複数の「ホワイトハット」ハッカーが、プラットフォーム全体が空になる前に資金の一部を確保しようとして、他者と並行してこの脆弱性を悪用した。消費者は約1億ドルを失ったが、多くのホワイトハットが資金をNomadに返還し、その総額は約3,750万ドルに達した。
提案命令は、Nomadに対し同社のセキュリティ問題に対処するためのセキュリティプログラムを実装し、回収した資金を影響を受けた顧客に返還することを義務付ける。
「FTC法は、企業に合理的なセキュリティ対策を講じることを求めています」と、FTC消費者保護局の局長クリストファー・ムファリッジ氏は述べた。「企業が消費者に対するセキュリティ上の約束を果たすことが重要です。」
セキュリティ変更と資金返還に加え、Nomadは情報セキュリティプログラムについて、独立した第三者による隔年の評価を提出することも義務付けられる。FTCは2対0で申し立てを承認し、パブリックコメントのために公開することを決定した。
FTCが同意命令を最終決定するかどうかを判断する前に、30日間公開される。
NomadとIllusory Systemsは、コメント要請に応じなかった。
翻訳元: https://therecord.media/ftc-settlement-nomad-platform-return-customers-cryptocurrency
