Kryptohacker i amerikansk varetægt
En påstået kryptohacker, der tidligere har beskrevet digitale aktiver som “falske internetpenge”, er nu i amerikansk varetægt, anklaget for at have udført en udnyttelse på $53 millioner, der førte til nedlæggelsen af en decentraliseret børs. En ekspert påpeger, at denne sag viser, at domstole begynder at se nærmere på, om udnyttelser af smarte kontrakter kan betragtes som lovlige.
Anklagerne mod Jonathan Spalletta
Amerikanske myndigheder offentliggjorde mandag et anklageskrift, der anklager Jonathan Spalletta, også kendt som “Cthulhon” og “Jspalletta”, for computerbedrageri og hvidvaskning af penge i forbindelse med to angreb i 2021 på Uranium Finance, en decentraliseret børs. Spalletta overgav sig til myndighederne mandag efter anklagerne og står nu over for en maksimal straf på 10 år for computerbedrageri og 20 år for hvidvaskning af penge.
“At stjæle fra en kryptobørs er at stjæle – påstanden om, at ‘krypto er anderledes’, ændrer ikke på det,” sagde den amerikanske anklager Jay Clayton i en erklæring.
Udnyttelse af smarte kontrakter
Sagen indgår i en bredere indsats for at tackle DeFi-udnyttelser, der kombinerer tekniske sårbarheder med misbrug af midler. Angela Ang, leder af politik og strategiske partnerskaber for Asien-Stillehavsområdet hos TRM Labs, sagde til Decrypt:
“Ideen om, at ‘kode er lov’, bliver i stigende grad testet i retten. At udnytte sårbarheder i smarte kontrakter kan være teknisk muligt, men det betyder ikke, at domstole vil betragte det som lovligt – især når det kombineres med hvidvaskning og skjul.”
Detaljer om angrebene
Anklageskriftet hævder, at Spalletta udførte et første angreb den 8. april 2021, hvor han udnyttede en belønningssporingfejl i Uraniums smarte kontrakter til gentagne gange at tømme en likviditetspulje på cirka $1,4 millioner. Omtrent to uger senere skrev han til en anden person:
“Jeg lavede et kryptorøveri på $1,5 millioner… Der var en fejl i en smart kontrakt, og jeg udnyttede det… Krypto er alligevel alle falske internetpenge.”
Myndighederne siger, at han senere returnerede det meste af de stjålne midler efter at have forhandlet med platformen, men beholdt omkring $386.000 under hvad anklagerne beskriver som en skam “bug bounty”-ordning. Den 28. april angiveligt udnyttede han en anden fejl på tværs af 26 likviditetspuljer og opnåede omkring $53,3 millioner i krypto, hvilket efterlod Uranium Finance ude af stand til at fortsætte driften.
Hvidvaskning af midler
Mellem april 2021 og november 2023 angiveligt kanaliserede Spalletta omkring $26 millioner gennem Tornado Cash, og flyttede midler på tværs af flere blockchains og tegnebøger for at skjule deres oprindelse. Onchain-detektiven ZachXBT havde tidligere sporet hvidvaskningssporet i en rapport fra december 2023, der identificerede, hvordan stjålet ETH blev trukket fra mixer og rute gennem mæglere for at købe værdifulde samlerobjekter.
Samlerobjekterne omfattede sjældne Magic- og Pokémon-kort, en mønt fra Julius Cæsar-æraen og en artefakt fra Wright-brødrene, der senere blev bragt til månen af Neil Armstrong, ifølge anklageskriftet. Sidste februar beslaglagde retshåndhævelse også krypto til en værdi af omkring $31 millioner, som myndighederne siger var knyttet til den påståede plan.
Forebyggelse af fremtidige udnyttelser
Da hun blev spurgt, om strengere revision eller forsikring kunne have forhindret platformens sammenbrud, sagde Ang:
“Stærkere revisions- og forsikringsmekanismer kan reducere sandsynligheden for og virkningen af udnyttelser, men de er ikke en sølvkugle. Organisationer har brug for et ‘flerskiktet forsvar’, herunder ‘regelmæssige sikkerhedsrevisioner, sikre kodningspraksisser, multi-signaturkontroller og en stærk sikkerhedskultur, i stedet for at stole på nogen enkelt beskyttelse.'”
