Un presupus hacker crypto care a descris odată activele digitale drept „bani falși pe internet” se află acum în custodia SUA, acuzat că a efectuat o exploatare de 53 de milioane de dolari care a contribuit la prăbușirea unei burse descentralizate, într-un caz despre care un expert spune că arată că instanțele analizează mai atent dacă exploatările contractelor inteligente pot fi considerate legale.

Autoritățile americane au desigilat luni un rechizitoriu acuzându-l pe Jonathan Spalletta, cunoscut și sub numele de „Cthulhon” și „Jspalletta”, de fraudă informatică și spălare de bani în legătură cu două atacuri din 2021 asupra Uranium Finance, o bursă descentralizată. 

Spalletta s-a predat autorităților luni, în urma acuzațiilor, confruntându-se acum cu o pedeapsă maximă de 10 ani pentru fraudă informatică și 20 de ani pentru spălare de bani.

„Furtul de la o bursă crypto este furt – afirmația că „crypto este diferit” nu schimbă acest lucru”, a declarat procurorul american Jay Clayton într-o declarație. 

Cazul se încadrează într-un efort mai amplu de a aborda exploatările DeFi care combină lacunele tehnice cu utilizarea abuzivă a fondurilor.

„Ideea că „codul este lege” este din ce în ce mai mult testată în instanță”, a declarat Angela Ang, șefa departamentului de politici și parteneriate strategice pentru Asia Pacific la TRM Labs, pentru Decrypt. 

„Exploatarea vulnerabilităților contractelor inteligente poate fi posibilă din punct de vedere tehnic, dar asta nu înseamnă că instanțele o vor considera permisă legal – mai ales atunci când este combinată cu spălarea și ascunderea fondurilor”, a adăugat ea.

Rechizitoriul susține că Spalletta a efectuat un prim atac pe 8 aprilie 2021, exploatând o eroare de urmărire a recompenselor în contractele inteligente ale Uranium pentru a goli în mod repetat un pool de lichiditate de aproximativ 1,4 milioane de dolari. 

Aproximativ două săptămâni mai târziu, el i-a scris unei alte persoane: „Am făcut un jaf crypto de 1,5 milioane de dolari… A existat o eroare într-un contract inteligent, și am exploatat-o… Oricum, cripto este doar bani falși pe internet.”

Autoritățile spun că a returnat ulterior majoritatea fondurilor furate după ce a negociat cu platforma, dar a păstrat aproximativ 386.000 de dolari sub ceea ce procurorii descriu ca fiind un aranjament fals de „bug bounty”.

Pe 28 aprilie, se presupune că a exploatat o altă vulnerabilitate în 26 de pool-uri de lichiditate, obținând aproximativ 53,3 milioane de dolari în cripto și lăsând Uranium Finance în imposibilitatea de a-și continua operațiunile.

Între aprilie 2021 și noiembrie 2023, Spalletta ar fi canalizat aproximativ 26 de milioane de dolari prin Tornado Cash, mutând fonduri pe multiple blockchain-uri și portofele pentru a le ascunde originea. 

Investigatorul on-chain ZachXBT a urmărit anterior traseul spălării de bani într-un raport din decembrie 2023, identificând modul în care ETH-ul furat a fost retras din mixer și direcționat prin brokeri pentru a achiziționa obiecte de colecție de mare valoare.

Obiectele de colecție includeau cărți rare Magic și Pokémon, o monedă din epoca lui Iulius Cezar și un artefact al fraților Wright transportat ulterior pe Lună de Neil Armstrong, conform rechizitoriului.

În februarie anul trecut, forțele de ordine au confiscat, de asemenea, cripto în valoare de aproximativ 31 de milioane de dolari despre care autoritățile spun că era legată de presupusa schemă.

Întrebată dacă auditul mai strict sau asigurarea ar fi putut preveni prăbușirea platformei, Ang a spus că „Mecanismele mai puternice de audit și asigurare pot reduce probabilitatea și impactul exploatărilor, dar nu sunt un glonț de argint.” 

Organizațiile au nevoie de o „apărare pe mai multe niveluri”, incluzând „auditori de securitate regulate, practici de codare sigure, controale multi-semnătură și o cultură puternică a securității, în loc să se bazeze pe o singură măsură de protecție”, a adăugat ea.