Seorang terduga peretas kripto yang pernah menyebut aset digital sebagai "uang internet palsu" kini berada dalam tahanan AS, dituduh melakukan eksploitasi senilai $53 juta yang membantu meruntuhkan bursa terdesentralisasi, dalam kasus yang menurut seorang ahli menunjukkan bahwa pengadilan sedang meninjau lebih dalam apakah eksploitasi smart contract dapat dianggap sah secara hukum.
Otoritas AS pada hari Senin membuka dakwaan yang mendakwa Jonathan Spalletta, juga dikenal sebagai "Cthulhon" dan "Jspalletta," dengan penipuan komputer dan pencucian uang sehubungan dengan dua serangan pada tahun 2021 terhadap Uranium Finance, sebuah bursa terdesentralisasi.
Spalletta menyerahkan diri kepada pihak berwenang pada hari Senin menyusul dakwaan tersebut, kini menghadapi hukuman maksimal 10 tahun untuk dakwaan penipuan komputer dan 20 tahun untuk dakwaan pencucian uang.
"Mencuri dari bursa kripto adalah mencuri—klaim bahwa 'kripto itu berbeda' tidak mengubah fakta itu," kata Jaksa AS Jay Clayton dalam sebuah pernyataan.
Kasus ini sesuai dengan upaya yang lebih luas untuk menangani eksploitasi DeFi yang menggabungkan celah teknis dengan penyalahgunaan dana.
"Ide bahwa 'kode adalah hukum' semakin diuji di pengadilan," Angela Ang, kepala kebijakan dan kemitraan strategis untuk Asia Pasifik di TRM Labs, mengatakan kepada Decrypt.
"Mengeksploitasi kerentanan smart contract mungkin secara teknis bisa dilakukan, tetapi bukan berarti pengadilan akan menganggapnya sah secara hukum—terutama jika dipadukan dengan pencucian dan penyembunyian," tambahnya.
Dakwaan tersebut menuduh Spalletta melakukan serangan pertama pada 8 April 2021, mengeksploitasi bug pelacakan hadiah dalam smart contract Uranium untuk berulang kali menguras pool likuiditas sekitar $1,4 juta.
Sekitar dua minggu kemudian, dia menulis kepada individu lain, "Saya melakukan perampokan kripto senilai $1,5 juta... Ada bug di smart contract, dan saya mengeksploitasinya... Kripto itu semua uang internet palsu kok."
Pihak berwenang mengatakan dia kemudian mengembalikan sebagian besar dana curian setelah bernegosiasi dengan platform, tetapi menyimpan sekitar $386.000 di bawah apa yang jaksa gambarkan sebagai pengaturan "bug bounty" palsu.
Pada 28 April, dia diduga mengeksploitasi kelemahan lain di 26 pool likuiditas, mendapatkan sekitar $53,3 juta dalam kripto dan membuat Uranium Finance tidak dapat melanjutkan operasinya.
Antara April 2021 dan November 2023, Spalletta diduga menyalurkan sekitar $26 juta melalui Tornado Cash, memindahkan dana melintasi berbagai blockchain dan dompet untuk menyamarkan asalnya.
Detektif on-chain ZachXBT sebelumnya melacak jejak pencucian uang dalam laporan Desember 2023, mengidentifikasi bagaimana ETH yang dicuri ditarik dari mixer dan disalurkan melalui broker untuk membeli barang koleksi bernilai tinggi.
Barang koleksi tersebut termasuk kartu Magic dan Pokémon langka, koin era Julius Caesar, dan artefak Wright bersaudara yang kemudian dibawa ke bulan oleh Neil Armstrong, menurut dakwaan.
Februari lalu, aparat penegak hukum juga menyita kripto senilai sekitar $31 juta yang menurut pihak berwenang terkait dengan skema yang dituduhkan.
Ketika ditanya apakah audit yang lebih ketat atau asuransi bisa mencegah keruntuhan platform, Ang mengatakan bahwa "Mekanisme audit dan asuransi yang lebih kuat dapat mengurangi kemungkinan dan dampak eksploitasi, tetapi itu bukan solusi ajaib."
Organisasi membutuhkan "pertahanan berlapis," termasuk "audit keamanan rutin, praktik pengkodean yang aman, kontrol multi-tanda tangan, dan budaya keamanan yang kuat, daripada mengandalkan satu pengamanan tunggal," tambahnya.
