EUA Acusam Hacker Responsável pelo Exploit de $53 Milhões na Uranium Finance

Em resumo

• As autoridades dos EUA acusaram Jonathan Spalletta de explorar o Uranium Finance, drenando dezenas de milhões de dólares da empresa que liderou o seu colapso.
• Os procuradores dizem que ele terá abusado de falhas em contratos inteligentes, tendo mais tarde movido fundos através de mixers e comprado colecionáveis de alto valor.
• Cerca de 31 milhões de dólares em cripto ligados ao caso foram apreendidos no ano passado.

Um alegado hacker de cripto que outrora descreveu os activos digitais como “falsa moeda da internet” está agora sob custódia dos EUA, acusado de levar a cabo um exploit de 53 milhões de dólares que ajudou a derrubar uma bolsa descentralizada, num caso que um especialista diz demonstrar que os tribunais estão a olhar com mais rigor para saber se exploits de contratos inteligentes podem ser tratados como legalmente admissíveis.

Na segunda-feira, as autoridades dos EUA tornaram público um acta de acusação que acusa Jonathan Spalletta, também conhecido como “Cthulhon” e “Jspalletta”, de fraude informática e branqueamento de capitais, em ligação com dois ataques de 2021 ao Uranium Finance, uma bolsa descentralizada.

Spalletta entregou-se às autoridades na segunda-feira após as acusações, enfrentando agora um máximo de 10 anos no número relativo a fraude informática e 20 anos na acusação de branqueamento de capitais.



“Roubar a uma bolsa de cripto é roubar — a alegação de que ‘cripto é diferente’ não altera isso.” O Procurador dos EUA Jay Clayton disse numa declaração.

O caso insere-se num esforço mais alargado para responder a exploits em DeFi que combinam falhas técnicas com uso indevido de fundos.

“A ideia de que ‘o código é lei’ está cada vez mais a ser testada em tribunal”, disse Angela Ang, responsável por política e parcerias estratégicas para a região Ásia-Pacífico na TRM Labs, ao Decrypt.

“Explorar vulnerabilidades de contratos inteligentes pode ser tecnicamente possível, mas isso não significa que os tribunais o considerem como legalmente permissível — especialmente quando é acompanhado por branqueamento e ocultação”, acrescentou.

A acusação refere que Spalletta levou a cabo um primeiro ataque em 8 de Abril de 2021, explorando um bug de rastreio de recompensas nos contratos inteligentes do Uranium para drenar repetidamente uma pool de liquidez de aproximadamente 1,4 milhões de dólares.

Cerca de duas semanas mais tarde, ele escreveu a outra pessoa: “Fiz um roubo de cripto de $1.5MM… Houve um bug num contrato inteligente, e explorei-o… Cripto é toda falsa moeda da internet, seja como for.”

As autoridades dizem que mais tarde devolveu a maior parte dos fundos roubados após negociar com a plataforma, mas manteve cerca de 386.000 dólares, segundo os procuradores descritos como um acordo aparentemente fictício de “bug bounty”.

Em 28 de Abril, alegadamente explorou outra falha em 26 pools de liquidez, obtendo cerca de 53,3 milhões de dólares em cripto e deixando o Uranium Finance incapaz de continuar a operar.

Entre Abril de 2021 e Novembro de 2023, Spalletta terá encaminhado cerca de 26 milhões de dólares através do Tornado Cash, movendo fundos por múltiplas blockchains e carteiras para ocultar a sua origem.

O investigador onchain ZachXBT tinha anteriormente seguido o rasto do branqueamento num relatório de Dezembro de 2023, identificando como o ETH roubado foi retirado do mixer e encaminhado através de corretores para comprar colecionáveis de alto valor.

Os colecionáveis incluíam cartas raras de Magic e Pokémon, uma moeda da era de Júlio César e um artefacto dos irmãos Wright, mais tarde levado à Lua por Neil Armstrong, segundo a acusação.

No mês passado de Fevereiro, as autoridades também apreenderam cripto no valor de cerca de 31 milhões de dólares que as autoridades dizem estar ligado ao alegado esquema.

Quando perguntada se uma auditoria mais rigorosa ou um seguro poderiam ter evitado o colapso da plataforma, Ang disse que “Mecanismos de auditoria e seguro mais fortes podem reduzir a probabilidade e o impacto de exploits, mas não são uma solução definitiva.”

As organizações precisam de uma “defesa em múltiplas camadas”, incluindo “auditorias regulares de segurança, práticas de codificação segura, controlos de multi-assinatura e uma cultura de segurança forte, em vez de depender de qualquer salvaguarda única”, acrescentou.

Newsletter de Atualização Diária

Comece todos os dias com as principais notícias agora mesmo, mais reportagens originais, um podcast, vídeos e muito mais.

O seu Email

Receba!

Receba!