De Amerikaanse toezichthouder FTC wil dat een gehackt cryptobedrijf klanten 100 miljoen dollar terugbetaalt dat via een beveiligingslek werd gestolen. Illusory Systems is de beheerder van de Nomad "crypto bridge", een protocol waarmee gebruikers tokens tussen verschillende blockchains kunnen uitwisselen. In 2022 maakten aanvallers misbruik van een kwetsbaarheid waarbij er meer dan 186 miljoen dollar aan crypto van gebruikers werd gestolen.

Het bedrijf achter de Nomad crypto bridge claimde dat het een "security-first" service was. Volgens de FTC liet de security echter ernstig te wensen over. Zo werd er niet veilig geprogrammeerd, waren er geen processen ingericht voor het ontvangen en verhelpen van bugmeldingen over kwetsbaarheden en het reageren op beveiligingsincidenten en werd er geen gebruik gemaakt van bekende technologieën om de impact van een hack te beperken.

De Amerikaanse toezichthouder stelt dat er in juni 2022 niet goed geteste code werd geïntroduceerd die een grote kwetsbaarheid bevatte. Een maand later maakten aanvallers misbruik van dit beveiligingslek en konden zo 186 miljoen dollar aan crypto stelen. Illusory Systems wist een deel van het bedrag terug te krijgen, maar gebruikers verloren zo'n 100 miljoen dollar.

De FTC zegt dat het bedrijf gewaarschuwd was over het niet goed testen van software alsmede de noodzaak om kundig personeel in dienst te hebben en adequate security te implementeren. Het bedrijf zou echter nagelaten hebben om basale beveiligingsmaatregelen te treffen. De toezichthouder wil als onderdeel van een schikkingsvoorstel dat Illusory Systems gebruikers 100 miljoen dollar terugbetaalt en een programma uitrolt om de beveiliging aan te scherpen. Het publiek heeft nu dertig dagen de tijd om op het voorstel te reageren, waarna de FTC het voorstel definitief kan maken.