یک هکر ارز دیجیتال مظنون که زمانی دارایی‌های دیجیتال را «پول قلابی اینترنتی» توصیف کرده بود، اکنون در بازداشت ایالات متحده قرار دارد و متهم به انجام یک سوءاستفاده 53 میلیون دلاری است که به فروپاشی یک صرافی غیرمتمرکز کمک کرد؛ پرونده‌ای که به گفته یک کارشناس، نشان می‌دهد دادگاه‌ها با جدیت بیشتری در حال بررسی این موضوع هستند که آیا سوءاستفاده از قراردادهای هوشمند می‌تواند قانونی تلقی شود یا خیر.

مقامات ایالات متحده روز دوشنبه کیفرخواستی را علیه جاناتان اسپالتا، معروف به «کتولون» و «جی‌اسپالتا»، به اتهام کلاهبرداری رایانه‌ای و پولشویی در ارتباط با دو حمله در سال 2021 به Uranium Finance، یک صرافی غیرمتمرکز، علنی کردند. 

اسپالتا روز دوشنبه پس از این اتهامات خود را به مقامات تسلیم کرد و اکنون با حداکثر 10 سال حبس برای اتهام کلاهبرداری رایانه‌ای و 20 سال برای اتهام پولشویی مواجه است.

جی کلیتون، دادستان ایالات متحده، در بیانیه‌ای گفت: «سرقت از یک صرافی رمزارزی، سرقت است – این ادعا که «رمزارز متفاوت است» این واقعیت را تغییر نمی‌دهد.» 

این پرونده در راستای تلاش گسترده‌تری برای رسیدگی به سوءاستفاده‌های دیفای (DeFi) قرار می‌گیرد که ترکیبی از نقاط ضعف فنی و سوءاستفاده از وجوه هستند.

آنجلا آنگ، رئیس سیاست‌گذاری و مشارکت‌های استراتژیک برای منطقه آسیا و اقیانوسیه در TRM Labs، به Decrypt گفت: «این ایده که «کد، قانون است» به طور فزاینده‌ای در دادگاه‌ها در حال آزمایش است.» 

او افزود: «سوءاستفاده از آسیب‌پذیری‌های قرارداد هوشمند ممکن است از نظر فنی امکان‌پذیر باشد، اما این بدان معنا نیست که دادگاه‌ها آن را از نظر قانونی مجاز بدانند – به ویژه هنگامی که با پولشویی و پنهان‌کاری همراه باشد.»

کیفرخواست ادعا می‌کند که اسپالتا اولین حمله را در 8 آوریل 2021 انجام داد و با سوءاستفاده از یک نقص ردیابی پاداش در قراردادهای هوشمند Uranium، مکرراً یک استخر نقدینگی را به مبلغ تقریباً 1.4 میلیون دلار تخلیه کرد. 

تقریباً دو هفته بعد، او به شخص دیگری نوشت: «من یک سرقت رمزارزی 1.5 میلیون دلاری انجام دادم... یک باگ در یک قرارداد هوشمند وجود داشت و من از آن سوءاستفاده کردم... به هر حال، کریپتو همه پول قلابی اینترنتی است.»

مقامات می‌گویند او بعداً بیشتر وجوه سرقت شده را پس از مذاکره با پلتفرم بازگرداند، اما حدود 386 هزار دلار را تحت آنچه دادستان‌ها آن را یک توافق «جایزه باگ» ساختگی توصیف می‌کنند، نگه داشت.

در 28 آوریل، او ظاهراً از نقص دیگری در 26 استخر نقدینگی سوءاستفاده کرد و حدود 53.3 میلیون دلار ارز دیجیتال به دست آورد که Uranium Finance را از ادامه فعالیت بازداشت.

بین آوریل 2021 و نوامبر 2023، اسپالتا ظاهراً حدود 26 میلیون دلار را از طریق Tornado Cash جابجا کرده و وجوه را در چندین بلاکچین و کیف پول منتقل کرده تا منشأ آنها را پنهان کند. 

کارآگاه آنچین ZachXBT قبلاً مسیر پولشویی را در گزارشی در دسامبر 2023 ردیابی کرده بود و مشخص کرده بود که چگونه ETH سرقت شده از میکسر خارج شده و از طریق کارگزاران برای خرید کلکسیون‌های با ارزش بالا هدایت شده است.

طبق کیفرخواست، این کلکسیون‌ها شامل کارت‌های کمیاب Magic و Pokémon، یک سکه مربوط به دوران ژولیوس سزار و یک شیء باستانی برادران رایت بود که بعداً توسط نیل آرمسترانگ به ماه برده شد.

فوریه گذشته، نیروهای انتظامی نیز حدود 31 میلیون دلار رمزارز را که مقامات می‌گویند با این طرح ادعایی مرتبط بوده است، ضبط کردند.

هنگامی که از آنگ پرسیده شد که آیا ممیزی سخت‌تر یا بیمه می‌توانست از فروپاشی پلتفرم جلوگیری کند، او گفت: «مکانیسم‌های ممیزی و بیمه قوی‌تر می‌توانند احتمال و تأثیر سوءاستفاده‌ها را کاهش دهند، اما آن‌ها راه‌حل قطعی نیستند.» 

او افزود: «سازمان‌ها به یک «دفاع چند لایه» نیاز دارند، از جمله «ممیزی‌های امنیتی منظم، شیوه‌های کدنویسی ایمن، کنترل‌های چند امضایی و فرهنگ امنیتی قوی، به جای تکیه بر یک تدبیر امنیتی واحد.»