美国联邦贸易委员会（FTC）已提出一项与Nomad加密货币桥运营商Illusory Systems Inc.的和解提案，该事件源于2022年导致巨额损失的黑客攻击。

核心和解条款

根据拟议方案，Illusory Systems将被：

• 禁止歪曲其安全措施。
• 要求实施正式的信息安全计划。
• 接受独立的两年一次安全评估。
• 将追回但尚未偿还的资金返还给用户。

事件回顾与损失

• 漏洞根源：2022年6月的一次代码更新，在Nomad的一个智能合约中引入了严重漏洞。
• 攻击发生：黑客于2022年8月1日开始利用该漏洞。
• 资产损失：导致价值约1.86亿美元的以太坊、DAI和WBTC等数字资产被盗，给消费者造成巨大损失。

FTC指控的安全失职

FTC投诉指出，Illusory Systems存在多项安全失误：

• 将Nomad宣传为“安全至上”，但未能充分测试代码。
• 未能维护清晰的漏洞报告和事件响应流程。
• 未能部署可限制损失的基本安全措施。
• 未能实施充分的安全编码实践，例如在部署前进行充分的单元测试。

事件响应漏洞

FTC在声明中批评Nomad的事件响应系统存在严重缺陷：“由于缺乏充分的系统，Nomad不得不依靠一位在飞机上的工程师通过聊天传递代码片段来应对。直到桥上所有资产被撤离后，桥梁才得以关闭。”

后续进展

• 黑客攻击后，Nomad已恢复了约2200万美元的被盗资金。
• 2024年初，涉嫌策划该漏洞利用的Alexander Gurevich在以色列被捕。