США висунули звинувачення хакеру, відповідальному за злом на суму $53 мільйонів у Uranium Finance

Коротко

• Держоргани США висунули обвинувачення Джонатану Спаллетті у використанні Uranium Finance, внаслідок чого з компанії, яка спричинила її колапс, було виведено десятки мільйонів доларів.
• За словами прокурорів, він нібито зловживав вадами в смарт-контрактах, а згодом переказував кошти через міксери та купував дорогі колекційні речі.
• Понад $31 млн у криптовалюті, пов’язаної з цією справою, було вилучено минулого року.

Ймовірний хакер у сфері криптовалют, який колись називав цифрові активи «фейковими інтернет-грошима», нині перебуває під вартою у США. Його звинувачують у здійсненні експлойту на $53 млн, що допоміг зруйнувати децентралізовану біржу, у справі, як зазначає експерт, що демонструє: суди дедалі пильніше розглядають питання, чи можна вважати експлойти смарт-контрактів законними.

У понеділок органи влади США розкрили (unsealed) обвинувальний акт, висунувши обвинувачення проти Джонатана Спаллетті, який також відомий як “Cthulhon” і “Jspalletta”, у комп’ютерному шахрайстві та відмиванні грошей у зв’язку з двома атаками 2021 року на Uranium Finance — децентралізовану біржу.

У понеділок Спаллетті здався органам влади після висунення обвинувачень. Тепер він ризикує отримати максимум 10 років за епізод комп’ютерного шахрайства та 20 років за звинувачення у відмиванні грошей.



«Крадіжка в криптовалютній біржі — це крадіжка, — твердження про те, що “крипто — інше”, цього не змінює». Заступник федерального прокурора США Джей Клейтон (Jay Clayton) заявив у повідомленні.

Ця справа вписується у ширші зусилля для протидії експлойтам у DeFi, які поєднують технічні прогалини зі зловживанням коштами.

«Ідея, що “код — це закон”, дедалі частіше перевіряється в суді», — сказала Decrypt Анджела Енг (Angela Ang), керівниця з політики та стратегічних партнерств у регіоні Asia Pacific у TRM Labs.

«Експлуатація вразливостей смарт-контрактів може бути технічно можливою, але це не означає, що суди вважатимуть це юридично дозволеним — особливо коли це поєднано з відмиванням і приховуванням», — додала вона.

У обвинувальному акті стверджується, що Спаллетті здійснив першу атаку 8 квітня 2021 року, використавши баг у механізмі відстеження винагород у смарт-контрактах Uranium, щоб неодноразово виводити кошти з пулу ліквідності приблизно на $1,4 млн.

Майже через два тижні він написав іншій особі: «Я зробив крипто-ограбування на $1.5MM… У смарт-контракті був баг, і я його використав… У будь-якому разі крипто — це все фейкові інтернет-гроші».

За словами властей, пізніше він повернув більшу частину вкрадених коштів після переговорів із платформою, але залишив близько $386 000 — за описом прокурорів — у вигляді фіктивної домовленості про «bug bounty».

28 квітня він нібито використав ще одну ваду в межах 26 пулів ліквідності, отримавши приблизно $53,3 млн у криптовалюті та залишивши Uranium Finance нездатною продовжувати роботу.

Між квітнем 2021 року та листопадом 2023 року Спаллетті нібито перекинув близько $26 млн через Tornado Cash, переказуючи кошти між кількома блокчейнами та гаманцями, щоб приховати їхнє походження.

Раніше ончейн-слідчий ЗакхБТ (ZachXBT) простежив ланцюг відмивання в репорті за грудень 2023 року, ідентифікувавши, як вкрадений ETH був виведений з міксера та переадресований через брокерів для купівлі дорогих колекційних речей.

Колекційні речі включали рідкісні карти Magic і Pokémon, монету часів Юлія Цезаря та артефакт братів Райт, який згодом доставили на Місяць Ніл Армстронг, згідно з обвинувальним актом.

У лютому минулого року правоохоронці також вилучили криптовалюту вартістю приблизно $31 млн, яку власті, як вони стверджують, пов’язують із нібитою схемою.

Коли його запитали, чи могли б більш суворі аудит або страхування запобігти колапсу платформи, Енг сказала, що «Сильніші механізми аудиту та страхування можуть зменшити імовірність і вплив експлойтів, але це не “срібна куля”».

Організаціям потрібен «багатошаровий захист», зокрема «регулярні перевірки безпеки, безпечні практики розробки коду, контрольно-розподільні багатопідписні (multi-signature) механізми та сильна культура безпеки — а не покладання на якийсь один запобіжник», — додала вона.

Щоденний дайджест-розсилка

Щоразу починайте кожен день із головних новин прямо зараз, плюс оригінальні матеріали, подкаст, відео та більше.

Ваш Email

Отримайте це!

Отримайте це!