Kryptohacker Arrestert for $53 Million Utnyttelse
En påstått kryptohacker, som en gang beskrev digitale eiendeler som «falske internettpenger», er nå i amerikansk varetekt, anklaget for å ha utført en $53 millioner utnyttelse som bidro til å bringe ned en desentralisert børs. I en sak som en ekspert sier viser at domstolene ser nærmere på om utnyttelser av smarte kontrakter kan behandles som lovlige, offentliggjorde amerikanske myndigheter mandag en tiltale mot Jonathan Spalletta, også kjent som «Cthulhon» og «Jspalletta», for datakriminalitet og hvitvasking av penger i forbindelse med to angrep i 2021 på Uranium Finance, en desentralisert børs.
Spalletta overga seg til myndighetene mandag etter tiltalen, og står nå overfor en maksimal straff på 10 år for datakriminalitet og 20 år for hvitvasking av penger.
«Å stjele fra en kryptobørs er tyveri – påstanden om at «krypto er annerledes» endrer ikke det,» sa amerikansk advokat Jay Clayton i en uttalelse.
Saken passer inn i en bredere innsats for å håndtere DeFi-utnyttelser som kombinerer tekniske smutthull med misbruk av midler. «Ideen om at «kode er lov» blir stadig mer testet i retten,» sa Angela Ang, leder for politikk og strategiske partnerskap for Asia-Stillehavet hos TRM Labs, til Decrypt. «Å utnytte sårbarheter i smarte kontrakter kan være teknisk mulig, men det betyr ikke at domstolene vil se på det som lovlig tillatt – spesielt når det kombineres med hvitvasking og skjuling,» la hun til.
Detaljer om Angrepene
Tiltalen hevder at Spalletta utførte et første angrep 8. april 2021, der han utnyttet en belønningssporingfeil i Uraniums smarte kontrakter for å gjentatte ganger tømme en likviditetspool på omtrent $1,4 millioner. Omtrent to uker senere skrev han til en annen person:
«Jeg gjorde et kryptotyveri på $1,5 millioner… Det var en feil i en smart kontrakt, og jeg utnyttet det… Krypto er uansett alt falske internettpenger.»
Myndighetene sier at han senere returnerte det meste av de stjålne midlene etter å ha forhandlet med plattformen, men beholdt omtrent $386 000 under det påtalemyndigheten beskriver som en falsk «bug bounty»-ordning. 28. april skal han ha utnyttet en annen feil på tvers av 26 likviditetspools, og oppnådd omtrent $53,3 millioner i krypto, noe som gjorde at Uranium Finance ikke kunne fortsette driften.
Hvitvasking og Beslag
Mellom april 2021 og november 2023 skal Spalletta ha kanalisert rundt $26 millioner gjennom Tornado Cash, og flyttet midler på tvers av flere blokkjeder og lommebøker for å skjule opprinnelsen. Onchain-detektiven ZachXBT hadde tidligere sporet hvitvaskingssporet i en rapport fra desember 2023, og identifisert hvordan stjålet ETH ble trukket ut fra mikseren og rutet gjennom meglere for å kjøpe høyverdige samleobjekter. Samleobjektene inkluderte sjeldne Magic- og Pokémon-kort, en mynt fra Julius Cæsar-tiden, og en Wright-brødre-artifakt som senere ble tatt med til månen av Neil Armstrong, ifølge tiltalen.
I februar i fjor beslagla også rettshåndhevelse kryptovaluta verdt omtrent $31 millioner som myndighetene sier var knyttet til den påståtte planen.
Fremtidige Tiltak
Da hun ble spurt om strengere revisjoner eller forsikringer kunne ha forhindret plattformens kollaps, sa Ang at «Sterkere revisjons- og forsikringsmekanismer kan redusere sannsynligheten for og virkningen av utnyttelser, men de er ikke en sølvkule.» Organisasjoner trenger et «flere-lags forsvar», inkludert «regelmessige sikkerhetsrevisjoner, sikre kodepraksiser, multi-signaturkontroller, og en sterk sikkerhetskultur, i stedet for å stole på noen enkelt beskyttelse,» la hun til.
