Associações de comércio de criptomoedas nos EUA criticaram uma reclamação apresentada pela Comissão Federal de Comércio que sugeria que uma empresa com sede em Utah quebrou a lei ao construir um software sem um chamado kill switch.

Esse software, uma ponte de criptomoeda chamada Nomad, foi hackeado por quase $200 milhões em 2022. Embora seus desenvolvedores tenham conseguido recuperar milhões em criptomoedas roubadas, a Nomad não conseguiu ganhar qualquer tração desde que foi relançada em dezembro daquele ano.

Embora o projeto pareça estar inativo, a empresa-mãe Illusory Systems concordou no ano passado em resolver uma reclamação apresentada pela FTC.

A agência alegou que a Illusory Systems falhou em tomar medidas razoáveis para proteger seu software. Mas sua definição de “razoável e apropriado” alarmou a indústria cripto.

“A empresa falhou em incorporar ‘disjuntores’ ou um ‘desligamento de emergência’ que poderia imediatamente cessar o funcionamento da Ponte Token Nomad na presença de transações suspeitas”, escreveu a FTC na reclamação, que publicou juntamente com o acordo proposto em dezembro.

Mas essa tecnologia está longe de ser padrão da indústria e, em alguns casos, poderia até tornar o software mais vulnerável a hackers, escreveram quatro associações comerciais de cripto em uma carta à agência esta semana.

Além disso, a presença de um desligamento de emergência implica controle unilateral — um requisito inaceitável para desenvolvedores que tentam construir protocolos descentralizados, de acordo com a carta.

A disputa é o mais recente exemplo das inúmeras maneiras pelas quais os reguladores encarregados de proteger os consumidores podem impor requisitos que limitam a capacidade dos desenvolvedores de criar esse tipo de software.

O hack da Nomad

As pontes cripto permitem que os usuários movam suas criptomoedas entre blockchains incompatíveis. Mas provaram ser um alvo lucrativo para hackers.

Em abril de 2022, a Nomad disse que havia arrecadado $22 milhões a uma avaliação de $225 milhões para construir “interoperabilidade com segurança em primeiro lugar”.

Apesar das garantias da Nomad, apenas quatro meses depois, cerca de 300 hackers exploraram um bug na ponte e escaparam com $186 milhões em cripto, algo que a FTC atribuiu a “código inadequadamente testado”.

No ano passado, a empresa de forense cripto TRM Labs chamou isso de “um dos hacks mais notáveis e caóticos na história das finanças descentralizadas.”

A empresa foi capaz de recuperar cerca de $37 milhões graças a hackers éticos que se juntaram ao saque para evitar que os ladrões escapassem com cada último dólar. Mas uma ponte relançada não conseguiu ganhar tração — até sexta-feira, ela tinha apenas $1 milhão em depósitos de usuários, de acordo com dados da DefiLlama.

A última postagem da Nomad no X foi há mais de dois anos.

A FTC alegou que a Nomad empregou “práticas de segurança injustas” — como a falta de um desligamento de emergência — que prejudicaram seus usuários. Como tal, enganou esses usuários ao promover sua abordagem de “segurança em primeiro lugar”.

A empresa concordou em resolver a reclamação. Se a reclamação e o acordo forem finalizados, a Nomad terá que implementar um novo programa de segurança da informação e devolver qualquer cripto restante que recuperou após o hack, entre outras coisas.

Mandato impossível?

Mas grupos da indústria afirmam que a reclamação precisa ser revisada, pois implica que uma empresa opera ilegalmente ao liberar software sem certos recursos de segurança, incluindo o desligamento de emergência.

Esse é um requisito problemático, pois “exigiria controle privilegiado ou alguma outra autoridade centralizada para executar”, lê-se na carta.

“Muitas dessas tecnologias — incluindo tecnologias que utilizam governança descentralizada e controle das operações — seriam sufocadas se não fossem consideradas impossíveis sob as expectativas na Reclamação Proposta.”

Até mesmo o desenvolvedor MetaMask Consensys se manifestou.

“Os disjuntores não são padrão da indústria hoje, e não eram padrão na época do incidente Nomad”, escreveu Bill Hughes, conselheiro sênior da Consensys, em uma carta à agência.

No ano passado, a polícia em Israel prendeu o cidadão russo-israelense dual Alexander Gurevich quando ele tentou viajar para a Rússia usando documentos com um nome diferente, de acordo com um relatório do Jerusalem Post. Gurevich foi extraditado para os EUA sob suspeita de participação no hack da Nomad.

O DL News não conseguiu determinar imediatamente na quinta-feira se Gurevich foi finalmente acusado em conexão com o hack.

Aleks Gilbert é o correspondente DeFi do DL News em Nova York. Você pode contatá-lo em aleks@dlnews.com.