به گزارش کارگروه بین الملل خبرگزاری سایبربان، کمیسیون تجارت فدرال آمریکا (FTC) به شرکت بلاکچینی «ایلوزوری سیستمز»، مالک پلتفرم رمزارزی نومد (Nomad)، دستور داده است حدود ۳۷.۵ میلیون دلار از وجوه بازیابیشده پس از هک سال ۲۰۲۲ را میان کاربران آسیبدیده توزیع کند.
این هک در مجموع حدود ۱۸۶ میلیون دلار رمزارز را در معرض سرقت قرار داد.
بر اساس دستور پیشنهادی کمیسیون تجارت فدرال، نومَد علاوه بر بازپرداخت این مبالغ، موظف است تغییرات اساسی در برنامه امنیتی خود ایجاد کند.
شکایت کمیسیون تجارت فدرال مدعی است این شرکت با معرفی خود بهعنوان یک پلتفرم امن، کاربران را گمراه کرده، در حالی که بررسیها نشان داده نومَد از شیوههای ایمن کدنویسی استفاده نکرده، سازوکاری برای دریافت و رسیدگی به گزارش آسیبپذیریها نداشته و از ابزارهای رایج امنیتی برای کاهش خسارت مصرفکنندگان بهره نبرده است.
طبق این شکایت، نومَد در ژوئن ۲۰۲۲ کدی «بهطور ناکافی آزمایششده» را منتشر کرده که دارای یک آسیبپذیری جدی بوده و تنها یک ماه بعد امکان نفوذ گسترده را فراهم کرده است.
این نقص در قرارداد هوشمند پلتفرم وجود داشت؛ سازوکاری که اجرای خودکار تراکنشها را بر اساس قواعد داخلی انجام میدهد.
بهروزرسانی انجامشده به کاربران اجازه میداد بیش از میزان واریزی خود برداشت کنند.
حدود ۸۰ درصد وجوه سرقتشده به ۴۱ حساب قابل ردیابی نسبت داده شد، اما پس از انتشار خبر آسیبپذیری، عملاً یک «هجوم همگانی» برای سوءاستفاده از آن شکل گرفت.
در نهایت، برخی هکرهای موسوم به «کلاه سفید» بخشی از وجوه را برای جلوگیری از تخلیه کامل پلتفرم برداشت و سپس بازگرداندند؛ رقمی که مجموع آن به ۳۷.۵ میلیون دلار رسید.
دستور کمیسیون تجارت فدرال نومَد را ملزم میکند یک برنامه امنیت اطلاعات جامع اجرا کرده، ارزیابیهای دوسالانه مستقل ارائه دهد و وجوه بازیابیشده را به کاربران بازگرداند.
این دستور به مدت ۳۰ روز برای اظهارنظر عمومی منتشر شده و سپس درباره نهایی شدن آن تصمیمگیری خواهد شد.
