Isang umano’y crypto hacker na minsang naglarawan sa mga digital asset bilang “pekeng pera sa internet” ay nasa kustodiya na ngayon ng U.S., inakusahan ng pagsasagawa ng isang $53 milyong exploit na nagpabagsak sa isang decentralized exchange, sa isang kaso na ayon sa isang eksperto ay nagpapakita na mas seryosong sinisiyasat ng mga korte kung ang mga smart contract exploit ay maaaring ituring na legal.
Isinapubliko ng mga awtoridad ng U.S. noong Lunes ang isang indictment na nagsasampa ng kaso kay Jonathan Spalletta, na kilala rin bilang “Cthulhon” at “Jspalletta,” para sa computer fraud at money laundering na may kaugnayan sa dalawang pag-atake noong 2021 sa Uranium Finance, isang decentralized exchange.
Sumuko si Spalletta sa mga awtoridad noong Lunes matapos ang mga kaso, at ngayo'y nahaharap sa maximum na 10 taon para sa computer fraud at 20 taon para sa money laundering.
“Ang pagnanakaw mula sa isang crypto exchange ay pagnanakaw—ang pag-aangkin na ‘magkaiba ang crypto’ ay hindi nagbabago niyan,” sabi ni U.S. Attorney Jay Clayton sa isang statement.
Ang kaso ay bahagi ng mas malawak na pagsisikap na tugunan ang mga exploit sa DeFi na pinagsasama ang mga teknikal na butas sa maling paggamit ng pondo.
“Ang ideya na ‘code is law’ ay lalong sinusubok sa korte,” sabi ni Angela Ang, pinuno ng patakaran at strategic partnerships para sa Asia Pacific sa TRM Labs, sa Decrypt.
“Ang pagsasamantala sa mga smart contract vulnerabilities ay maaaring posible sa teknikal, ngunit hindi ito nangangahulugang titingnan ito ng mga korte bilang legal na pinapayagan—lalo na kapag ipinares sa money laundering at pagtatago,” dagdag niya.
Sinasabi ng sakdal na isinagawa ni Spalletta ang unang pag-atake noong Abril 8, 2021, sinasamantala ang isang rewards-tracking bug sa mga smart contract ng Uranium upang paulit-ulit na ubusin ang isang liquidity pool na humigit-kumulang $1.4 milyon.
Humigit-kumulang dalawang linggo pagkatapos, sumulat siya sa isa pang indibidwal, “Nagsagawa ako ng crypto heist na $1.5MM… May bug sa isang smart contract, at sinamantala ko ito… Ang crypto ay puro pekeng pera sa internet anyway.”
Sabi ng mga awtoridad, ibinalik niya kalaunan ang karamihan sa mga ninakaw na pondo matapos makipag-negosasyon sa platform, ngunit itinago ang humigit-kumulang $386,000 sa ilalim ng tinatawag ng mga tagausig na pekeng “bug bounty” arrangement.
Noong Abril 28, umano’y sinamantala niya ang isa pang depekto sa 26 na liquidity pool, nakakuha ng humigit-kumulang $53.3 milyon sa crypto at iniwan ang Uranium Finance na hindi na makapagpatuloy sa operasyon.
Sa pagitan ng Abril 2021 at Nobyembre 2023, umano’y ipinadaan ni Spalletta ang humigit-kumulang $26 milyon sa pamamagitan ng Tornado Cash, inilipat ang mga pondo sa iba't ibang blockchains at wallets upang itago ang pinagmulan ng mga ito.
Nauna nang nasubaybayan ng onchain sleuth na si ZachXBT ang bakas ng laundering sa isang ulat noong Disyembre 2023, tinukoy kung paano inilabas ang ninakaw na ETH mula sa mixer at ipinadaan sa mga broker upang bumili ng mamahaling kolektibl.
Kasama sa mga kolektibl ang mga bihirang Magic at Pokémon cards, isang barya mula sa panahon ni Julius Caesar, at isang artifact ng Wright brothers na kalaunan ay dinala sa buwan ni Neil Armstrong, ayon sa sakdal.
Noong Pebrero ng nakaraang taon, nasamsam din ng mga tagapagpatupad ng batas ang crypto na nagkakahalaga ng humigit-kumulang $31 milyon na ayon sa mga awtoridad ay konektado sa umano’y scheme.
Nang tanungin kung ang mas mahigpit na auditing o insurance ay maaaring nakapigil sa pagbagsak ng platform, sinabi ni Ang na “Ang mas matibay na mekanismo ng auditing at insurance ay maaaring magpababa ng posibilidad at epekto ng mga exploit, ngunit hindi ito isang 'silver bullet.'”
Kailangan ng mga organisasyon ng isang “multi-layered defense,” kabilang ang “regular na security audits, secure na coding practices, multi-signature controls, at isang malakas na kultura ng seguridad, sa halip na umasa sa isang solong pananggalang,” dagdag niya.
