Caos Crypto: Nomad obbligata a restituire milioni dopo il crollo della sicurezza

Doveva essere un ponte verso il futuro della finanza, ma per migliaia di utenti la piattaforma crypto Nomad si è trasformata in una costosa deviazione verso il caos. Ora, dopo mesi di indagini, la Federal Trade Commission (FTC) è intervenuta, ordinando alla società madre di Nomad, Illusory Systems, di restituire 37,5 milioni di dollari alle vittime di un enorme furto avvenuto nel 2022 - mettendo allo scoperto una rete di avvertimenti ignorati, codice affrettato e promesse non mantenute.

Il dramma è iniziato a giugno 2022, quando Nomad - una piattaforma progettata per facilitare scambi di criptovalute tra blockchain come Ethereum e Avalanche - ha implementato un aggiornamento software. Il codice, descritto dagli investigatori come “testato in modo inadeguato”, conteneva una vulnerabilità evidente nel suo smart contract. Nel giro di poche settimane, gli hacker hanno colpito, sfruttando la falla per sottrarre quasi 186 milioni di dollari in asset digitali.

Ciò che rende questa violazione particolarmente grave non è solo la portata, ma la serie di avvertimenti ignorati che l’hanno preceduta. Ingegneri interni e revisori esterni avevano segnalato proprio il problema che sarebbe poi stato sfruttato. Quantstamp, una società di sicurezza indipendente, aveva avvertito Nomad in un audit del giugno 2022, sottolineando che il team aveva “frainteso il problema”. Perfino un potenziale partner commerciale aveva invitato alla cautela, avvertendo che aggiornamenti affrettati potevano portare a “fondi irrecuperabili”. Nomad, tuttavia, ha tirato dritto.

Quando l’attacco si è concretizzato, la situazione è rapidamente degenerata in una sorta di far west digitale. La vulnerabilità permetteva a chiunque - non solo a hacker esperti - di prelevare più di quanto depositato. Man mano che l’exploit si diffondeva nei circoli crypto, decine di persone si sono unite, svuotando la piattaforma nel giro di poche ore. Nel caos, un manipolo di hacker etici “white hat” è intervenuto, recuperando fondi non per profitto personale, ma per restituirli agli utenti di Nomad. I loro sforzi hanno permesso di salvare 37,5 milioni di dollari, ora destinati al risarcimento secondo l’ordine della FTC.

L’indagine della FTC ha tracciato un quadro impietoso: Nomad mancava di pratiche di programmazione sicura, non aveva implementato un processo di segnalazione delle vulnerabilità e non utilizzava strumenti di sicurezza ampiamente raccomandati. Peggio ancora, secondo quanto riferito, i dirigenti avrebbero ignorato le preoccupazioni interne - lasciando i clienti esposti a perdite catastrofiche. Ora, Illusory Systems dovrà non solo risarcire le vittime, ma anche rinnovare i propri protocolli di sicurezza e sottoporsi a valutazioni indipendenti biennali.

Il caso Nomad è un monito per l’industria crypto, dove promesse audaci spesso nascondono debiti tecnici e implementazioni affrettate. Con i regolatori che intensificano la loro vigilanza, il messaggio è chiaro: nella corsa all’oro digitale, la sicurezza non può essere un ripensamento - e ignorare gli avvertimenti può trasformare un ponte verso il futuro in un ponte verso il nulla.

WIKICROOK

• Smart Contract: Uno smart contract è un codice auto-esecutivo su una blockchain che applica regole e processi automaticamente, eliminando la necessità di intermediari.
• White Hat Hacker: Un White Hat Hacker testa eticamente i sistemi alla ricerca di vulnerabilità, aiutando le organizzazioni a migliorare la sicurezza e proteggersi dalle minacce informatiche.
• Vulnerability Disclosure: La segnalazione delle vulnerabilità è il processo di comunicazione di falle di sicurezza in software o hardware affinché possano essere corrette prima che vengano sfruttate dagli attaccanti.
• Audit: Un audit è un’ispezione ufficiale di registri e pratiche per garantire la conformità a regole, leggi o contratti all’interno di un’organizzazione.
• Valutazione Biennale: Una Valutazione Biennale è una revisione obbligatoria della sicurezza svolta ogni due anni per verificare la conformità e migliorare la cybersecurity di un’organizzazione.