США предъявили обвинения хакеру, стоящему за финансовым взломом с ураном на $53 млн

Кратко

• Власти США предъявили обвинения Джонатану Спаллетте в эксплуатации Uranium Finance, в результате чего из компании, приведшей к ее краху, было выведено десятки миллионов долларов.
• По словам прокуроров, он якобы злоупотреблял уязвимостями смарт-контрактов, позже выводя средства через миксеры и покупая дорогостоящие коллекционные предметы.
• Около $31 млн в криптовалюте, связанной с этим делом, было изъято в прошлом году.

Предполагаемый хакер, который однажды назвал цифровые активы «фальшивыми интернет-деньгами», сейчас находится под стражей в США. Его обвиняют в совершении эксплойта на $53 млн, который помог обрушить децентрализованную биржу; в деле, по словам эксперта, показано, что суды более пристально рассматривают вопрос о том, можно ли считать эксплойты смарт-контрактов законными. В понедельник власти США вскрыли (unsealed) обвинительное заключение, предъявляющее Джонатану Спаллетте, также известному как «Cthulhon» и «Jspalletta», обвинения в компьютерном мошенничестве и отмывании денег в связи с двумя атаками 2021 года на Uranium Finance, децентрализованную биржу.  В понедельник Спаллетта сдался властям после предъявления обвинений. Теперь ему грозит максимум 10 лет по пункту о компьютерном мошенничестве и 20 лет по обвинению в отмывании денег.

 «Кража у криптобиржи — это кража; утверждение, что „крипто — особенное“, этого не меняет». Юрист США Джей Клейтон (Jay Clayton) заявил в своем сообщении.  Дело вписывается в более широкие усилия по противодействию эксплойтам в DeFi, которые сочетают технические лазейки с злоупотреблением средствами. «Идея о том, что „код — это закон“, все чаще проверяется в суде», — сказала Анджела Энг (Angela Ang), руководитель направления по политике и стратегическим партнерствам для Азиатско-Тихоокеанского региона в TRM Labs, изданию Decrypt.

«Эксплуатация уязвимостей смарт-контрактов технически, возможно, и осуществима, но это не означает, что суды сочтут ее юридически допустимой — особенно когда она сочетается с отмыванием и сокрытием», — добавила она. В обвинительном заключении утверждается, что Спаллетта провел первую атаку 8 апреля 2021 года, используя ошибку отслеживания вознаграждений в смарт-контрактах Uranium, чтобы многократно выкачивать из пула ликвидности примерно $1,4 млн.  Примерно через две недели он написал другому человеку: «Я совершил крипто-ограбление на $1.5MM… Там была ошибка в смарт-контракте, и я ее использовал… В любом случае крипто — это одни фальшивые интернет-деньги». Власти утверждают, что позже он вернул большую часть похищенных средств после переговоров с платформой, но оставил около $386 000 в рамках того, что прокуроры описывают как фиктивное соглашение о «bug bounty». 28 апреля, по версии обвинения, он якобы использовал еще одну уязвимость сразу по 26 пулам ликвидности, получив примерно $53,3 млн в криптовалюте и лишив Uranium Finance возможности продолжать работу. С апреля 2021 года по ноябрь 2023 года Спаллетта, как утверждается, направил около $26 млн через Tornado Cash, перебрасывая средства по нескольким блокчейнам и кошелькам, чтобы скрыть их происхождение.  Ончейн-детектив ЗаксБТ (ZachXBT) ранее проследил цепочку отмывания в декабрьском отчете за 2023 год, указав, как украденный ETH был выведен из миксера и направлен через брокеров для покупки дорогостоящих коллекционных предметов. В обвинительном заключении говорится, что в число коллекционных предметов входили редкие карты Magic и Pokémon, монета эпохи Юлия Цезаря и артефакт, связанный с братьями Райт, который позже был доставлен на Луну Нилом Армстронгом.

В прошлом феврале правоохранительные органы также изъяли криптовалюту примерно на $31 млн, которую власти, по их словам, связывают с предполагаемой схемой. Отвечая на вопрос, могли ли более строгий аудит или страхование предотвратить крах платформы, Энг сказала, что «более надежные механизмы аудита и страхования могут уменьшить вероятность и последствия эксплойтов, но они не являются универсальным решением». Организациям нужна «многослойная защита», включая «регулярные аудиты безопасности, безопасные практики разработки кода, контроль на основе мультиподписей и сильную культуру безопасности — а не полагаться на какую-либо одну меру», — добавила она.