Ein mutmaßlicher Krypto-Hacker, der digitale Vermögenswerte einst als „gefälschtes Internetgeld“ bezeichnete, befindet sich nun in US-Gewahrsam. Ihm wird vorgeworfen, einen 53 Millionen Dollar schweren Exploit durchgeführt zu haben, der zum Zusammenbruch einer dezentralen Börse führte. Dies ist ein Fall, der laut einem Experten zeigt, dass Gerichte genauer prüfen, ob Smart-Contract-Exploits als rechtmäßig behandelt werden können.
US-Behörden haben am Montag eine Anklageschrift gegen Jonathan Spalletta, auch bekannt als „Cthulhon“ und „Jspalletta“, enthüllt. Ihm werden Computerbetrug und Geldwäsche im Zusammenhang mit zwei Angriffen auf Uranium Finance, eine dezentrale Börse, im Jahr 2021 vorgeworfen.
Spalletta stellte sich am Montag nach der Anklage den Behörden. Ihm drohen nun maximal 10 Jahre Haft wegen Computerbetrugs und 20 Jahre wegen Geldwäsche.
„Von einer Krypto-Börse zu stehlen, ist Diebstahl – die Behauptung, dass ‚Krypto anders ist‘, ändert daran nichts“, sagte US-Staatsanwalt Jay Clayton in einer Erklärung.
Der Fall reiht sich ein in eine breitere Anstrengung, DeFi-Exploits zu bekämpfen, die technische Schlupflöcher mit missbräuchlicher Verwendung von Geldern verbinden.
„Die Vorstellung, dass ‚Code Gesetz ist‘, wird zunehmend vor Gericht auf die Probe gestellt“, sagte Angela Ang, Leiterin für Politik und strategische Partnerschaften für den asiatisch-pazifischen Raum bei TRM Labs, gegenüber Decrypt.
„Schwachstellen in Smart Contracts auszunutzen, mag technisch möglich sein, aber das bedeutet nicht, dass Gerichte dies als rechtlich zulässig ansehen – insbesondere, wenn es mit Geldwäsche und Verschleierung einhergeht“, fügte sie hinzu.
Die Anklageschrift besagt, dass Spalletta am 8. April 2021 einen ersten Angriff verübte, indem er einen Fehler in der Prämienverfolgung von Uranium-Smart-Contracts ausnutzte, um wiederholt etwa 1,4 Millionen Dollar aus einem Liquiditätspool zu entziehen.
Etwa zwei Wochen später schrieb er einer anderen Person: „Ich habe einen Krypto-Raubüberfall von 1,5 Mio. $ gemacht… Es gab einen Fehler in einem Smart Contract, und ich habe ihn ausgenutzt… Krypto ist sowieso nur gefälschtes Internetgeld.“
Die Behörden geben an, er habe später den Großteil der gestohlenen Gelder nach Verhandlungen mit der Plattform zurückgegeben, aber etwa 386.000 Dollar unter einer von der Staatsanwaltschaft als Scheinarregelung bezeichneten „Bug-Bounty“-Vereinbarung behalten.
Am 28. April soll er eine weitere Schwachstelle in 26 Liquiditätspools ausgenutzt haben, wodurch er etwa 53,3 Millionen Dollar in Krypto erlangte und Uranium Finance den Betrieb unmöglich machte.
Zwischen April 2021 und November 2023 soll Spalletta rund 26 Millionen Dollar über Tornado Cash geschleust haben, wobei er Gelder über mehrere Blockchains und Wallets verschob, um deren Herkunft zu verschleiern.
Der Onchain-Detektiv ZachXBT hatte den Geldwäschepfad zuvor in einem Bericht vom Dezember 2023 nachgezeichnet und dabei aufgedeckt, wie gestohlene ETH vom Mixer abgehoben und über Broker zum Kauf hochwertiger Sammlerstücke geleitet wurde.
Zu den Sammlerstücken gehörten laut Anklageschrift seltene Magic- und Pokémon-Karten, eine Münze aus der Zeit Julius Cäsars und ein Artefakt der Gebrüder Wright, das später von Neil Armstrong zum Mond gebracht wurde.
Im vergangenen Februar beschlagnahmten die Strafverfolgungsbehörden auch Kryptowährungen im Wert von etwa 31 Millionen Dollar, die laut Behörden mit dem mutmaßlichen Schema in Verbindung standen.
Auf die Frage, ob strengere Audits oder Versicherungen den Zusammenbruch der Plattform hätten verhindern können, sagte Ang: „Stärkere Audit- und Versicherungsmechanismen können die Wahrscheinlichkeit und die Auswirkungen von Exploits reduzieren, aber sie sind keine Patentlösung.“
Organisationen benötigen eine „mehrschichtige Verteidigung“, darunter „regelmäßige Sicherheitsaudits, sichere Programmierpraktiken, Multi-Signatur-Kontrollen und eine starke Sicherheitskultur, anstatt sich auf eine einzige Schutzmaßnahme zu verlassen“, fügte sie hinzu.