X mengatakan bahwa seorang “individu yang tidak diketahui” telah menggunakan nomor telepon yang terhubung ke akun SEC untuk mengambil alih kontrol. X mengatakan bahwa pada saat peretasan terjadi, akun tersebut “tidak memiliki otentikasi dua faktor”.
Dalam surat yang ditandatangani bersama, senator Republik J. D. Vance dan Thom Tillis menuntut SEC memberikan penjelasan atas “kebingungan yang meluas” dan kerusakan yang ditimbulkan kepada para investor. Kejadian ini “bertentangan dengan misi tiga pilar Komisi untuk melindungi investor, menjaga pasar yang adil, teratur, dan efisien, serta memfasilitasi pembentukan modal,” tulis pasangan tersebut. Senator Bill Hagerty dan Cynthia Lummis, keduanya dari golongan Republik, juga menambahkan suara mereka dalam hal ini melalui kiriman terpisah di X.
Dalam surat mereka, Vance dan Tillis menetapkan batas waktu hingga 23 Januari bagi SEC untuk menjelaskan rencananya dalam menyelidiki kejadian ini, di antara hal-hal lain.
Dalam sebuah pernyataan, SEC mengatakan bahwa akan “bekerja sama dengan penegak hukum dan mitra kami di pemerintahan untuk menyelidiki masalah ini dan menentukan langkah selanjutnya yang sesuai terkait akses tanpa izin dan pelanggaran terkait lainnya,” namun tidak memberikan rincian lebih lanjut.
Menurut John Stark, yang bertugas selama 18 tahun sebagai pengacara di SEC, kemungkinan akan ada “serangkaian penyelidikan” yang dilakukan. Penyelidikan tersebut kemungkinan akan melibatkan penyelidikan terpisah yang dilakukan oleh SEC itu sendiri, Departemen Kehakiman Amerika Serikat—yang akan berfokus pada mengidentifikasi peretas—dan mungkin juga badan pengatur lainnya. Departemen Kehakiman tidak memberikan tanggapan terhadap permintaan komentar.
Investigasi internal SEC, kata Stark, kemungkinan akan dilakukan oleh Kantor Inspektur Jenderal yang independen dari bagian lain agensi tersebut, dan akan berfokus pada “pelanggaran perilaku staf” yang mungkin telah memungkinkan terjadinya pelanggaran keamanan. Hasil dari apa yang kemungkinan akan menjadi “penyelidikan yang kuat” ini akan diberikan kepada Kongres, katanya, tetapi tidak dalam beberapa bulan.
Pada bulan Juli, SEC memberlakukan aturan baru bagi perusahaan yang mendaftar dengan lembaga tersebut, yang mengharuskan mereka untuk mengungkapkan insiden keamanan siber yang material dan “sifat, cakupan, dan waktu” mereka dalam waktu empat hari kerja. SEC tidak memberikan tanggapan ketika ditanya apakah akan membuat pengungkapan awal seperti itu.
Setelah terjadinya pelanggaran keamanan, Gensler—yang menjadi tokoh yang cukup kontroversial di kalangan pelaku industri kripto karena agresi lembaganya terhadap industri tersebut—menghadapi ejekan dan tuntutan pengunduran diri dari tokoh-tokoh kripto di X.
Namun, menurut analis industri Noelle Acheson, yang sebelumnya bekerja di perusahaan pialang kripto Genesis, tidak mungkin Gensler dipaksa mengundurkan diri. “Saya tidak melihat dia melepaskan pekerjaan ini,” katanya, “kecuali jika dipaksa dengan paksa”.
“Twitterverse telah meminta pengunduran diri Gensler selamanya. Tapi ini bukan jenis hal untuk mengundurkan diri,” kata Stark. “Paling buruk, staf SEC akan terbukti bersalah melakukan hal yang sama seperti banyak perusahaan: kelalaian dalam hal keamanan siber.”
Meskipun organisasi seperti SEC seharusnya diharapkan menjaga standar keamanan yang ketat, kata Stark, yang saat ini bekerja sebagai konsultan keamanan siber, tidak mungkin mencegah semua pelanggaran. “Anda dapat melakukan segala yang Anda bisa untuk menghentikannya,” katanya. “Tapi suatu saat, seseorang akan melakukan kesalahan.”