США висувають звинувачення хакеру, причетному до фінансового експлойту з ураном на $53 мільйони

Коротко

• Урядові органи США висунули обвинувачення Джонатану Спаллетті у використанні Uranium Finance, виведенні десятків мільйонів доларів із компанії, яка призвела до її краху.
• Прокурори стверджують, що він нібито зловживав вадами смартконтрактів, згодом переказував кошти через міксери та купував дорогі колекційні предмети.
• Приблизно $31 млн у криптовалюті, пов’язаної зі справою, було вилучено минулого року.

Припущений криптохакер, який колись називав цифрові активи «фальшивими інтернет-грошима», нині перебуває під вартою в США. Йому закидають здійснення експлойту на $53 млн, що допоміг зламати децентралізовану біржу, у справі, яку експерт назвав такою, що демонструє: суди приділяють більш пильну увагу тому, чи можуть експлойти смартконтрактів вважатися законними. У понеділок органи США розкрили (unsealed) обвинувальний акт, висуваючи звинувачення Джонатану Спаллетті, також відомому як «Cthulhon» і «Jspalletta», у комп’ютерному шахрайстві та відмиванні грошей у зв’язку з двома нападами на Uranium Finance, децентралізовану біржу, у 2021 році.  У понеділок Спаллетті здався органам влади після висунення обвинувачень. Тепер він стикається з максимальною відповідальністю: 10 років за пунктом про комп’ютерне шахрайство та 20 років за обвинуваченням у відмиванні грошей.

 «Крадіжка з криптобіржі — це крадіжка; твердження, що “крипто — інше”, не змінює цього». Заявив у своєму повідомленні прокурор США Джей Клейтон.  Ця справа вписується в ширші зусилля, спрямовані на те, щоб протидіяти експлойтам у DeFi, які поєднують технічні прогалини з неправомірним використанням коштів. «Ідея про те, що “код — це закон”, дедалі частіше перевіряється в суді», — розповіла Decrypt Анґела Енґ, керівниця з політики та стратегічних партнерств у Азійсько-Тихоокеанському регіоні для TRM Labs.

«Експлуатація вразливостей смартконтрактів може бути технічно можливою, але це не означає, що суди вважатимуть це юридично дозволеним — особливо коли це поєднано з відмиванням і приховуванням», — додала вона. У обвинувальному акті стверджується, що Спаллетті здійснив перший напад 8 квітня 2021 року: використав баг для відстеження винагород у смартконтрактах Uranium, щоб неодноразово осушувати пул ліквідності приблизно на $1,4 млн.  Приблизно через два тижні він написав іншій особі: «Я зробив криптоограбування на $1.5MM… Там був баг у смартконтракті, і я його використав… У будь-якому разі крипто — це все фальшиві інтернет-гроші». За даними властей, згодом він повернув більшість викрадених коштів після переговорів із платформою, але зберіг близько $386,000 у тому, що прокурори описують як удавану домовленість про «bug bounty». 28 квітня, як стверджується, він експлуатував іншу ваду в межах 26 пулів ліквідності, отримавши приблизно $53,3 млн у криптовалюті та залишивши Uranium Finance нездатним продовжувати роботу. Між квітнем 2021 року та листопадом 2023 року Спаллетті, як стверджується, переказав близько $26 млн через Tornado Cash, переміщуючи кошти між різними блокчейнами та гаманцями, щоб приховати їх походження.  Ончейн-слідчий ЗахХБТ раніше відстежив ланцюжок відмивання у звіті за грудень 2023 року, визначивши, як викрадений ETH було виведено з міксера та перекинуто через посередників для купівлі дорогих колекційних предметів. Серед колекційних предметів були рідкісні карти Magic і Pokémon, монета часів Юлія Цезаря та артефакт братів Райт, який згодом був доставлений на Місяць Нілом Армстронгом, згідно з обвинувальним актом.

Минулого лютого правоохоронці також вилучили криптовалюту вартістю близько $31 млн, яку, як стверджують органи влади, було пов’язано з нібитою схемою. Коли його запитали, чи могли б більш суворі аудит або страхування запобігти краху платформи, Енґ сказала, що «Сильніші механізми аудиту та страхування можуть зменшити імовірність та вплив експлойтів, але вони не є “срібною кулею”.» Організаціям потрібен «багатошаровий захист», зокрема «регулярні перевірки безпеки, безпечні практики розробки коду, контроль із багатопідписом і міцна культура безпеки — замість того, щоб покладатися на будь-який один запобіжник», — додала вона.