США предъявили обвинения хакеру, стоящему за взломом на сумму $53 миллионов в Uranium Finance

Кратко

• Власти США предъявили Джонатану Спаллетте обвинение в эксплуатации Uranium Finance, в результате чего из компании, которая привела к ее краху, были выведены десятки миллионов долларов.
• По словам прокуроров, он якобы злоупотреблял уязвимостями смарт-контрактов, позже выводя средства через миксеры и покупая ценные коллекционные предметы.
• В прошлом году было конфисковано около $31 миллиона в криптовалюте, связанной с этим делом.

Предполагаемый хакер, связанный с криптовалютой, который однажды называл цифровые активы «фальшивыми интернет-деньгами», сейчас находится под стражей в США. Его обвиняют в проведении эксплойта на $53 миллиона, который помог обрушить децентрализованную биржу. В этом деле, по словам эксперта, показано, что суды стали строже оценивать вопрос о том, можно ли считать эксплойты смарт-контрактов законными.

В понедельник власти США рассекретили обвинительное заключение, в котором фигурирует Джонатан Спаллетта, также известный как «Cthulhon» и «Jspalletta», — ему вменяют компьютерное мошенничество и отмывание денег в связи с двумя атаками на Uranium Finance, децентрализованную биржу, произошедшими в 2021 году.

В понедельник Спаллетта сдался властям после предъявления обвинений. Теперь ему грозит максимум 10 лет по пункту о компьютерном мошенничестве и 20 лет по обвинению в отмывании денег.



«Кража у криптобиржи — это кража: утверждение о том, что “крипто отличается”, не меняет этого». Генеральный прокурор США Джей Клейтон заявил в своем заявлении.

Дело вписывается в более широкие усилия по борьбе с эксплойтами DeFi, которые сочетают технические лазейки с неправомерным использованием средств.

«Идея о том, что “код — это закон”, все чаще проверяется в суде», — сообщила Decrypt Анджела Энг, руководитель направления по вопросам политики и стратегическим партнерствам для Азиатско-Тихоокеанского региона в TRM Labs.

«Эксплуатировать уязвимости смарт-контрактов технически, возможно, но это не означает, что суды сочтут это юридически допустимым — особенно когда это сочетается с отмыванием и сокрытием», — добавила она.

В обвинительном заключении утверждается, что Спаллетта совершил первую атаку 8 апреля 2021 года: он использовал ошибку в отслеживании вознаграждений в смарт-контрактах Uranium, чтобы многократно опустошать пул ликвидности примерно на $1,4 миллиона.

Примерно через две недели он написал другому человеку: «Я сделал криптоограбление на $1.5MM… В смарт-контракте была ошибка, и я ее использовал… В любом случае крипто — это сплошные фальшивые интернет-деньги».

Власти утверждают, что позже он вернул большую часть похищенных средств после переговоров с платформой, но оставил около $386 000 — то, что прокуроры описывают как фиктивное соглашение о “bug bounty”.

28 апреля, как утверждается, он воспользовался еще одним недостатком сразу в 26 пулах ликвидности, получив около $53,3 миллиона в криптовалюте и оставив Uranium Finance неспособной продолжать работу.

С апреля 2021 года по ноябрь 2023 года Спаллетта, по версии обвинения, направил около $26 миллионов через Tornado Cash, переводя средства через несколько блокчейнов и кошельков, чтобы скрыть их происхождение.

Ончейн-детектив ЗахХВТ ранее проследил путь отмывания в отчете за декабрь 2023 года, определив, как украденный ETH был выведен из миксера и направлен через брокеров для покупки ценных коллекционных предметов.

Коллекционные предметы включали редкие карты Magic и Pokémon, монету времен Юлия Цезаря и артефакт братьев Райт — позже доставленный на Луну Нилом Армстронгом, говорится в обвинительном заключении.

В прошлом феврале правоохранительные органы также изъяли криптовалюту на сумму около $31 миллиона, которую власти, как утверждается, связывают с предполагаемой схемой.

Когда его спросили, могли ли более строгий аудит или страховка предотвратить крах платформы, Энг ответила, что «Усиленные механизмы аудита и страхования могут снизить вероятность и последствия эксплойтов, но это не “серебряная пуля”».

«Организациям нужен “многоуровневый подход к защите”, включая “регулярные проверки безопасности, безопасные практики разработки, контроль с многосторонними подписями и сильную культуру безопасности — а не опираться на какое-либо одно средство защиты”, — добавила она.

Ежедневная рассылка Daily Debrief

Каждый день начинайте с главных новостей прямо сейчас, а также с оригинальных материалов, подкаста, видео и многого другого.

Ваш Email

Получить!

Получить!