Een vermeende crypto-hacker die digitale activa ooit omschreef als “nep internetgeld” zit nu in Amerikaanse hechtenis, beschuldigd van het uitvoeren van een $53 miljoen exploit die heeft bijgedragen aan de ondergang van een gedecentraliseerde beurs, in een zaak die volgens een expert aantoont dat rechtbanken kritischer kijken naar de vraag of smart contract exploits als rechtmatig kunnen worden beschouwd.

Amerikaanse autoriteiten hebben maandag een aanklacht openbaar gemaakt tegen Jonathan Spalletta, ook bekend als “Cthulhon” en “Jspalletta”, wegens computerfraude en witwassen in verband met twee aanvallen in 2021 op Uranium Finance, een gedecentraliseerde beurs.

Spalletta heeft zich maandag overgegeven aan de autoriteiten na de aanklachten, en riskeert nu een maximale straf van 10 jaar voor computerfraude en 20 jaar voor witwassen.

“Stelen van een crypto-beurs is stelen – de bewering dat 'crypto anders is' verandert daar niets aan”, zei openbaar aanklager Jay Clayton in een verklaring.

De zaak past in een bredere inspanning om DeFi-exploits aan te pakken die technische mazen combineren met misbruik van fondsen.

“Het idee dat 'code wet is' wordt steeds vaker getoetst in de rechtbank”, vertelde Angela Ang, hoofd beleid en strategische partnerschappen voor Azië-Pacific bij TRM Labs, aan Decrypt.

“Het exploiteren van smart contract kwetsbaarheden is technisch misschien mogelijk, maar dat betekent niet dat rechtbanken het als wettelijk toelaatbaar zullen beschouwen – zeker niet in combinatie met witwassen en verhulling”, voegde ze eraan toe.

De aanklacht stelt dat Spalletta op 8 april 2021 een eerste aanval uitvoerde, waarbij hij een bug in de smart contracts van Uranium Finance uitbuitte om herhaaldelijk een liquiditeitspool van ongeveer $1,4 miljoen leeg te halen.

Ongeveer twee weken later schreef hij aan een andere persoon: “Ik heb een crypto-roof van $1,5 miljoen gedaan… Er zat een bug in een smart contract, en die heb ik misbruikt… Crypto is toch allemaal nep internetgeld.”

Autoriteiten zeggen dat hij later het grootste deel van de gestolen fondsen teruggaf na onderhandelingen met het platform, maar ongeveer $386.000 behield onder wat aanklagers een nep “bug bounty”-regeling noemen.

Op 28 april zou hij een andere kwetsbaarheid hebben uitgebuit over 26 liquiditeitspools, waarbij hij ongeveer $53,3 miljoen aan crypto verkreeg en Uranium Finance niet meer kon functioneren.

Tussen april 2021 en november 2023 sluisde Spalletta naar verluidt ongeveer $26 miljoen via Tornado Cash, waarbij hij fondsen over meerdere blockchains en wallets verplaatste om hun herkomst te verdoezelen.

Onchain-speurder ZachXBT had eerder het witwaspad getraceerd in een rapport van december 2023, waarbij hij identificeerde hoe gestolen ETH uit de mixer werd opgenomen en via makelaars werd geleid om waardevolle verzamelobjecten te kopen.

De verzamelobjecten omvatten zeldzame Magic- en Pokémon-kaarten, een munt uit het tijdperk van Julius Caesar, en een artefact van de gebroeders Wright dat later door Neil Armstrong naar de maan werd meegenomen, volgens de aanklacht.

Afgelopen februari heeft de wetshandhaving ook crypto ter waarde van ongeveer $31 miljoen in beslag genomen, waarvan de autoriteiten zeggen dat deze verband hield met de vermeende regeling.

Op de vraag of strengere audits of verzekeringen de ineenstorting van het platform hadden kunnen voorkomen, zei Ang dat “Sterkere audit- en verzekeringsmechanismen de kans en impact van exploits kunnen verminderen, maar ze zijn geen wondermiddel.”

Organisaties hebben een “meerlaagse verdediging” nodig, waaronder “regelmatige beveiligingsaudits, veilige codeerpraktijken, multi-signature controles en een sterke beveiligingscultuur, in plaats van te vertrouwen op één enkele beveiliging”, voegde ze eraan toe.