Nomad在新版本中引入了重大漏洞，导致超13亿元的加密货币资产被盗，用户损失惨重；

Nomad最初被宣传为一款“安全优先”的产品，但背后公司却在网络安全的多个方面存在不足，FTC要求其执行全面改进。

美国联邦贸易委员会（FTC）在提出的一项和解协议中表示，区块链公司Illusory Systems必须向用户返还2022年网络攻击事件中遭受的资金损失。

Nomad新版本引入重大漏洞

Illusory Systems以Nomad品牌对外运营，被指控在其加密货币跨链桥的安全性问题上误导用户。该跨链桥在2022年遭到攻击，导致价值1.86亿美元（约合人民币13.1亿元）的资金被盗。

图：FTC和解协议

FTC指称，Nomad于2022年6月推送了一次更新，其中包含“测试不足的代码”，从而引入了一个“重大漏洞”，并在大约1个月后被利用。

FTC承认其中部分资金已被追回，但Nomad的客户最终仍损失了约1亿美元。

FTC本周公布的拟议和解协议要求Nomad在协议签署后1年内，或在与该次安全事件相关的任何诉讼结束后30天内（以较晚者为准），向仍然蒙受损失的用户偿还约3750万美元（约合人民币2.64亿元）。

FTC要求执行全面安全改进

Nomad还将被要求实施一项全面的安全计划，指派一名员工负责维护该计划，并同意接受定期的第三方评估。

该公司还将被禁止就其产品的安全性作出任何进一步的不实陈述。

针对Nomad的起诉书称，尽管该区块链跨链桥当时被宣传为一款“安全优先”的产品，但其背后的组织在网络安全的多个方面存在不足。

FTC指称，该公司未能采用安全编码实践，未能实施漏洞管理计划，也未能部署能够限制安全事件对用户影响的相关技术。

FTC进一步表示，这些失误以及缺乏事件响应能力共同导致了资金的全部损失。

Nomad已同意拟议和解协议的条款，该协议将在公众意见征询期结束并经FTC进行第二次、最终表决后正式敲定。

FTC消费者保护局局长Christopher Mufarrige表示：“FTC法案要求企业采取合理的安全措施，企业履行其对消费者作出的安全承诺至关重要。”

目前，该公司在互联网的存在感极其有限。自2023年以来，其未发布任何公开沟通内容，其网站也未显示任何联系方式相关信息。

参考资料：theregister.com

文章来源 ：安全内参