Estados Unidos acusa al hacker detrás de la explotación de Uranium Finance por $53 millones

En resumen

• Las autoridades estadounidenses han acusado a Jonathan Spalletta de explotar Uranium Finance, drenando decenas de millones de dólares de la empresa que llevó a su colapso.
• Los fiscales alegan que supuestamente abusó de fallas en contratos inteligentes, y después trasladó fondos a través de mezcladores y compró coleccionables de alto valor.
• Unos $31 millones en cripto vinculados al caso fueron incautados el año pasado.

Un presunto hacker cripto que antes describió los activos digitales como “dinero falso de internet” ahora está bajo custodia en EE. UU., acusado de llevar a cabo un exploit de $53 millones que ayudó a derribar un exchange descentralizado, en un caso que un experto dice que muestra que los tribunales están mirando con más rigor si los exploits de contratos inteligentes pueden tratarse como lícitos.

Las autoridades estadounidenses el lunes dieron a conocer sin sellar una acusación en la que imputan a Jonathan Spalletta, también conocido como “Cthulhon” y “Jspalletta”, con fraude informático y lavado de dinero en relación con dos ataques de 2021 contra Uranium Finance, un exchange descentralizado.

Spalletta se entregó a las autoridades el lunes tras las acusaciones, y ahora se enfrenta a un máximo de 10 años por el cargo de fraude informático y 20 años por el cargo de lavado de dinero.



“Robar a un exchange cripto es robar; la afirmación de que ‘la cripto es diferente’ no cambia eso.” El fiscal de EE. UU. Jay Clayton dijo en un comunicado.

El caso encaja en un esfuerzo más amplio para abordar los exploits de DeFi que combinan resquicios técnicos con el uso indebido de fondos.

“La idea de que ‘el código es ley’ se está poniendo cada vez más a prueba en los tribunales”, Angela Ang, jefa de políticas y asociaciones estratégicas para Asia Pacífico en TRM Labs, le dijo a Decrypt.

“Explotar vulnerabilidades de contratos inteligentes puede ser técnicamente posible, pero eso no significa que los tribunales lo consideren permitido legalmente—especialmente cuando se combina con el lavado y la ocultación”, añadió.

La acusación alega que Spalletta llevó a cabo un primer ataque el 8 de abril de 2021, explotando un fallo de seguimiento de recompensas en los contratos inteligentes de Uranium para drenar de forma repetida un pool de liquidez de aproximadamente $1.4 millones.

Cerca de dos semanas después, escribió a otra persona: “Hice un robo cripto de $1.5MM… Había un bug en un contrato inteligente y lo exploté… De todos modos, la cripto es todo dinero falso de internet”.

Las autoridades dicen que más tarde devolvió la mayor parte de los fondos robados tras negociar con la plataforma, pero conservó alrededor de $386,000 bajo lo que los fiscales describen como un supuesto acuerdo de “bug bounty”.

El 28 de abril, supuestamente explotó otra falla en 26 pools de liquidez, obteniendo aproximadamente $53.3 millones en cripto y dejando a Uranium Finance sin capacidad para seguir operando.

Entre abril de 2021 y noviembre de 2023, Spalletta supuestamente canalizó alrededor de $26 millones a través de Tornado Cash, moviendo fondos entre múltiples blockchains y billeteras para ocultar su origen.

El investigador onchain ZachXBT había rastreado previamente la ruta del lavado en un informe de diciembre de 2023, identificando cómo el ETH robado fue retirado del mezclador y canalizado a través de brokers para comprar coleccionables de alto valor.

Los coleccionables incluían raras cartas de Magic y Pokémon, una moneda de la era de Julio César y un artefacto de los hermanos Wright, que posteriormente fue llevado a la luna por Neil Armstrong, según la acusación.

El pasado febrero, las fuerzas del orden también incautaron cripto por un valor de aproximadamente $31 millones que, según las autoridades, estaba vinculado al supuesto esquema.

Cuando se le preguntó si una auditoría más estricta o un seguro podrían haber prevenido el colapso de la plataforma, Ang dijo que “mecanismos de auditoría y seguros más sólidos pueden reducir la probabilidad y el impacto de los exploits, pero no son una bala de plata”.

Las organizaciones necesitan una “defensa de múltiples capas”, que incluya “auditorías de seguridad periódicas, prácticas de codificación segura, controles de multisig y una cultura de seguridad sólida, en lugar de depender de cualquier salvaguarda única”, añadió.

Boletín Diario de Resumen

Empieza cada día con las principales noticias de ahora mismo, además de reportajes originales, un podcast, videos y más.

Tu Email

¡Consíguelo!

¡Consíguelo!