FTC Perintahkan Illusory Systems Kembalikan Dana dan Reformasi Keamanan Pasca-Peretasan Kripto 2022

Shape Shape

Komisi Perdagangan Federal (FTC) Amerika Serikat telah memerintahkan Illusory Systems, sebuah perusahaan yang secara publik menggembar-gemborkan kemampuan keamanan siber mereka, untuk mengembalikan dana yang berhasil dipulihkan kepada para korban dan menerapkan reformasi keamanan yang komprehensif. Perintah ini dikeluarkan setelah penyelidikan terhadap insiden peretasan pada tahun 2022, di mana sebuah celah perangkat lunak memungkinkan peretas mencuri ratusan juta dolar dalam bentuk mata uang kripto dari para pengguna. Kasus ini menyoroti pentingnya perusahaan untuk memenuhi janji keamanan mereka kepada konsumen, terutama di sektor aset digital yang rentan.

FTC mengumumkan bahwa mereka telah mencapai kesepakatan dengan Illusory Systems, yang juga beroperasi dengan nama Nomad, menyusul investigasi mendalam terhadap insiden yang terjadi pada tahun 2022. Kala itu, peretas mengeksploitasi kerentanan dalam solusi kontrak pintar mata uang kripto “Token Bridge” milik perusahaan. Program ini dirancang untuk menyediakan protokol yang menghubungkan berbagai blockchain dan memungkinkan pengguna untuk mentransfer aset di antara mereka. Sebagai bagian dari kesepakatan, perusahaan diwajibkan untuk menerapkan rencana keamanan siber yang menyeluruh, termasuk mengatasi kelemahan keamanan yang diidentifikasi dalam keluhan FTC, serta program untuk melindungi konsumen dari pencurian dan penipuan. Mereka juga harus menyerahkan rencana tersebut dan bekerja sama dengan penilai pihak ketiga independen untuk setiap perbaikan, serta mengembalikan uang curian yang berhasil disita oleh penegak hukum.

Menurut keluhan FTC, pada Juni 2022, Illusory Systems memperkenalkan “kode baru yang tidak diuji secara memadai” untuk Token Bridge, serangkaian kontrak pintar mata uang kripto mereka, setelah audit keamanan. Hanya satu bulan kemudian, peretas jahat memanfaatkan celah ini untuk mencuri dana mata uang kripto senilai $186 juta dari para pengguna. Meskipun demikian, peretas “white hat” (peretas etis) berhasil menggunakan eksploitasi yang sama untuk menyelamatkan setidaknya $37 juta dari dana yang dicuri sebelum peretas jahat dapat mengurasnya. Perjanjian ini secara khusus mengarahkan Illusory Systems untuk mengembalikan uang yang diselamatkan tersebut kepada para pengguna yang menjadi korban.

Fokus utama FTC dalam kasus ini adalah bagaimana Illusory Systems mempresentasikan jaringan Token Bridge mereka kepada pelanggan. FTC menuduh perusahaan secara material salah merepresentasikan komitmennya terhadap keamanan kepada pengguna. Pada berbagai kesempatan, perusahaan mengiklankan solusi kontrak pintar tersebut sebagai “keamanan tinggi,” solusi “mengutamakan keamanan” yang “memprioritaskan keselamatan dan keamanan dana/pesan lintas rantai,” dan sesuatu yang akan “menjaga seluruh sistem (dan dana/pesan Anda) tetap aman.” Bahkan, sebuah pesan lain secara sederhana menyatakan: “Kami aman… titik.” Namun, investigasi FTC menemukan bahwa Illusory Systems gagal menerapkan praktik keamanan yang wajar dan sesuai, bertolak belakang dengan klaim-klaim bombastis tersebut.

Investigasi FTC mengungkapkan serangkaian kegagalan keamanan yang signifikan. Meskipun mengetahui bahwa jembatan lintas rantai seperti Token Bridge sering menjadi target peretas dan dapat mengakibatkan “kerugian besar” jika dikompromikan, para pengembang gagal menerapkan “praktik pengkodean aman yang dikenal luas, seperti menulis dan melakukan pengujian unit yang memadai sebelum mendorong kode ke produksi.” Faktanya, insinyur perangkat lunak perusahaan dan analisis pasca-insiden mengungkapkan bahwa sebagian besar pengujian Token Bridge berfokus pada memastikan fungsinya berjalan dengan baik, bukan memverifikasi keamanannya. Selain itu, Illusory Systems juga kekurangan staf keamanan yang memadai, proses pelaporan dan respons kerentanan yang jelas, rencana keamanan tertulis, dan “norma industri yang diterima secara luas” seperti pemutus sirkuit atau “tombol pemutus” (kill switch) yang dapat menghentikan transaksi keuangan yang mencurigakan.

Masalah semakin diperparah dengan kurangnya pemantauan penipuan otomatis di perusahaan. Akibatnya, Illusory Systems mengetahui tentang pelanggaran tersebut dari seorang pengguna di media sosial, bukan mendeteksinya secara internal. Staf bergegas menanggapi peretasan, bahkan mengandalkan seorang insinyur yang sedang dalam penerbangan untuk menyampaikan potongan kode melalui obrolan daring. Keterlambatan ini berarti staf keamanan “tidak dapat mematikan jembatan sampai setelah asetnya dikuras habis.” Lebih lanjut, berbulan-bulan sebelum peretasan, seorang insinyur telah memperingatkan CEO tentang pengujian kode dan jaminan kualitas yang lemah, mencatat bahwa perusahaan sebelumnya telah mengirimkan kode dengan kerentanan signifikan karena tidak diuji dengan benar.

Investigasi juga mengungkapkan bahwa meskipun berjanji untuk menjaga dana pelanggan tetap aman, perusahaan sebelumnya mengesampingkan upaya internal untuk mengganti rugi pengguna yang kehilangan uang ketika bug pada antarmuka Token Bridge berbasis web menyebabkan kerugian. Dalam satu insiden, kepala operasi (COO) dilaporkan mengatakan “tidak ada jaminan keamanan,” dan CEO mencatat bahwa Illusory Systems “mengeluarkan antarmuka gratis untuk digunakan ke protokol yang mungkin memiliki bug/masalah.” Christopher Mufarrige, Direktur Biro Perlindungan Konsumen FTC, menegaskan dalam sebuah pernyataan, “Undang-Undang FTC mengharuskan perusahaan untuk mengambil langkah-langkah keamanan yang wajar. Penting bagi perusahaan untuk memenuhi janji keamanan mereka kepada konsumen.” Kasus ini menjadi pengingat keras bagi seluruh industri kripto tentang pentingnya integritas dan transparansi dalam praktik keamanan siber.

Sumber: Cyberscoop

Leave a Reply

Your email address will not be published. Required fields are marked *