Kryptohacker åtalad för stöld av 53 miljoner dollar
En påstådd kryptohacker, som en gång beskrev digitala tillgångar som ”falska internetpengar”, är nu i amerikansk förvar och åtalad för att ha genomfört en exploatering på 53 miljoner dollar som bidrog till att fälla en decentraliserad börs. En expert påpekar att detta fall visar att domstolarna börjar ta en allvarligare syn på huruvida exploateringar av smarta kontrakt kan betraktas som lagliga.
Åtal mot Jonathan Spalletta
Amerikanska myndigheter offentliggjorde på måndagen åtalspunkter mot Jonathan Spalletta, även känd som ”Cthulhon” och ”Jspalletta”, för dataintrång och penningtvätt i samband med två attacker mot Uranium Finance, en decentraliserad börs, under 2021. Spalletta överlämnade sig till myndigheterna på måndagen efter att åtalspunkterna offentliggjorts och står nu inför ett maximalt straff på 10 år för dataintrång och 20 år för penningtvätt.
”Att stjäla från en kryptobörs är stöld – påståendet att ’krypto är annorlunda’ förändrar inte det,” sa USA:s åklagare Jay Clayton i ett uttalande.
Exploatering av smarta kontrakt
Fallet passar in i en bredare insats för att hantera DeFi-exploateringar som kombinerar tekniska luckor med missbruk av medel. Angela Ang, chef för policy och strategiska partnerskap för Asien och Stillahavsområdet på TRM Labs, sa till Decrypt:
”Idén att ’kod är lag’ testas alltmer i domstol. Att utnyttja sårbarheter i smarta kontrakt kan vara tekniskt möjligt, men det betyder inte att domstolarna kommer att se det som lagligt tillåtet – särskilt när det kombineras med penningtvätt och dölja medel.”
Åtalet påstår att Spalletta genomförde en första attack den 8 april 2021, där han utnyttjade en belöningsspårningsbugg i Uraniums smarta kontrakt för att upprepade gånger tömma en likviditetspool på cirka 1,4 miljoner dollar. Ungefär två veckor senare skrev han till en annan person:
”Jag gjorde en kryptorån på 1,5 miljoner dollar… Det fanns en bugg i ett smart kontrakt, och jag utnyttjade det… Krypto är ändå allt falska internetpengar.”
Myndigheterna säger att han senare återlämnade de flesta av de stulna medlen efter att ha förhandlat med plattformen, men behöll cirka 386 000 dollar under vad åklagarna beskriver som en skenbar ”bug bounty”-överenskommelse. Den 28 april påstås han ha utnyttjat en annan brist över 26 likviditetspooler, vilket gav honom cirka 53,3 miljoner dollar i kryptovaluta och lämnade Uranium Finance oförmögen att fortsätta sin verksamhet.
Penningtvätt och beslagtagna tillgångar
Mellan april 2021 och november 2023 påstås Spalletta ha kanaliserat omkring 26 miljoner dollar genom Tornado Cash och flyttat medel över flera blockkedjor och plånböcker för att dölja deras ursprung. Onchain-utredaren ZachXBT hade tidigare spårat penningtvättsspåret i en rapport från december 2023, där han identifierade hur stulen ETH drogs ut från mixern och dirigerades genom mäklare för att köpa högvärdiga samlarobjekt. Samlarobjekten inkluderade sällsynta Magic- och Pokémon-kort, en mynt från Julius Caesars tid och en artefakt från Wright-bröderna som senare togs till månen av Neil Armstrong, enligt åtalet.
I februari förra året beslagtog också brottsbekämpande myndigheter kryptovaluta värd cirka 31 miljoner dollar som myndigheterna säger var kopplad till det påstådda schemat. När hon tillfrågades om striktare granskning eller försäkring kunde ha förhindrat plattformens kollaps, sa Ang att:
”Starkare granskning och försäkringsmekanismer kan minska sannolikheten och påverkan av exploateringar, men de är inte en silverkula. Organisationer behöver ett ’flerlagers försvar’, inklusive ’regelbundna säkerhetsgranskningar, säkra kodningsmetoder, fler-signaturkontroller och en stark säkerhetskultur, snarare än att förlita sig på någon enskild skyddsåtgärd.'”
