Un presunto hacker de criptomonedas que una vez describió los activos digitales como “dinero falso de internet” se encuentra ahora bajo custodia estadounidense, acusado de llevar a cabo una explotación de 53 millones de dólares que ayudó a colapsar un intercambio descentralizado, en un caso que, según un experto, demuestra que los tribunales están examinando más de cerca si las explotaciones de contratos inteligentes pueden ser tratadas como legales.

Las autoridades estadounidenses hicieron pública el lunes una acusación formal contra Jonathan Spalletta, también conocido como “Cthulhon” y “Jspalletta”, por fraude informático y blanqueo de dinero en relación con dos ataques en 2021 a Uranium Finance, un intercambio descentralizado.

Spalletta se entregó a las autoridades el lunes tras las acusaciones, enfrentando ahora una pena máxima de 10 años por el cargo de fraude informático y 20 años por el de blanqueo de dinero.

“Robar de un intercambio de criptomonedas es robar; la afirmación de que ‘las criptomonedas son diferentes’ no cambia eso”, dijo el fiscal estadounidense Jay Clayton en un comunicado.

El caso se enmarca en un esfuerzo más amplio para abordar las explotaciones de DeFi que combinan lagunas técnicas con el uso indebido de fondos.

“La idea de que ‘el código es ley’ está siendo cada vez más puesta a prueba en los tribunales”, dijo Angela Ang, jefa de políticas y asociaciones estratégicas para Asia-Pacífico en TRM Labs, a Decrypt.

“Explotar las vulnerabilidades de los contratos inteligentes puede ser técnicamente posible, pero eso no significa que los tribunales lo consideren legalmente permisible, especialmente cuando se combina con el blanqueo y la ocultación”, añadió.

La acusación formal alega que Spalletta llevó a cabo un primer ataque el 8 de abril de 2021, explotando un error de seguimiento de recompensas en los contratos inteligentes de Uranium para drenar repetidamente un fondo de liquidez de aproximadamente 1.4 millones de dólares.

Aproximadamente dos semanas después, escribió a otra persona: “Hice un atraco cripto de 1.5 millones de dólares… Había un error en un contrato inteligente, y lo exploté… Las criptomonedas son dinero falso de internet de todos modos”.

Las autoridades dicen que más tarde devolvió la mayor parte de los fondos robados tras negociar con la plataforma, pero se quedó con unos 386.000 dólares bajo lo que los fiscales describen como un falso acuerdo de “recompensa por errores” (bug bounty).

El 28 de abril, presuntamente explotó otra vulnerabilidad en 26 fondos de liquidez, obteniendo alrededor de 53.3 millones de dólares en criptomonedas y dejando a Uranium Finance incapaz de seguir operando.

Entre abril de 2021 y noviembre de 2023, Spalletta supuestamente canalizó alrededor de 26 millones de dólares a través de Tornado Cash, moviendo fondos a través de múltiples blockchains y carteras para ocultar su origen.

El rastreador on-chain ZachXBT había rastreado previamente la ruta de blanqueo en un informe de diciembre de 2023, identificando cómo el ETH robado fue retirado del mezclador y dirigido a través de brokers para comprar objetos de colección de alto valor.

Los objetos de colección incluían cartas raras de Magic y Pokémon, una moneda de la era de Julio César y un artefacto de los hermanos Wright que más tarde fue llevado a la luna por Neil Armstrong, según la acusación formal.

El pasado febrero, las fuerzas del orden también incautaron criptomonedas por valor de unos 31 millones de dólares que, según las autoridades, estaban vinculadas al supuesto plan.

Cuando se le preguntó si una auditoría o un seguro más estrictos podrían haber evitado el colapso de la plataforma, Ang dijo que “mecanismos de auditoría y seguros más sólidos pueden reducir la probabilidad y el impacto de las explotaciones, pero no son una bala de plata”.

Las organizaciones necesitan una “defensa multicapa”, que incluya “auditorías de seguridad periódicas, prácticas de codificación segura, controles de multifirma y una sólida cultura de seguridad, en lugar de depender de una única salvaguarda”, añadió.