Một hacker tiền điện tử bị cáo buộc, người từng mô tả tài sản kỹ thuật số là “tiền internet giả”, hiện đang bị giam giữ tại Hoa Kỳ, bị buộc tội thực hiện một vụ khai thác trị giá 53 triệu đô la đã giúp đánh sập một sàn giao dịch phi tập trung. Một chuyên gia cho rằng vụ án này cho thấy các tòa án đang xem xét kỹ hơn liệu các vụ khai thác hợp đồng thông minh có thể được coi là hợp pháp hay không.
Giới chức Hoa Kỳ vào thứ Hai đã công bố một bản cáo trạng buộc tội Jonathan Spalletta, còn được biết đến với biệt danh “Cthulhon” và “Jspalletta”, về tội lừa đảo máy tính và rửa tiền liên quan đến hai vụ tấn công vào Uranium Finance, một sàn giao dịch phi tập trung, vào năm 2021.
Spalletta đã đầu thú với giới chức vào thứ Hai sau các cáo buộc, hiện phải đối mặt với mức án tối đa 10 năm cho tội lừa đảo máy tính và 20 năm cho tội rửa tiền.
“Ăn cắp từ một sàn giao dịch tiền điện tử là ăn cắp – lập luận rằng ‘tiền điện tử khác biệt’ không thay đổi điều đó.” Luật sư Hoa Kỳ Jay Clayton cho biết trong một tuyên bố.
Vụ án này nằm trong nỗ lực rộng lớn hơn nhằm giải quyết các vụ khai thác DeFi (tài chính phi tập trung) kết hợp lỗ hổng kỹ thuật với việc lạm dụng quỹ.
“Ý tưởng ‘mã nguồn là luật’ đang ngày càng được kiểm chứng tại tòa án,” Angela Ang, người đứng đầu chính sách và đối tác chiến lược khu vực Châu Á – Thái Bình Dương tại TRM Labs, nói với Decrypt.
“Việc khai thác các lỗ hổng hợp đồng thông minh có thể khả thi về mặt kỹ thuật, nhưng điều đó không có nghĩa là các tòa án sẽ coi đó là hợp pháp – đặc biệt khi đi kèm với hành vi rửa tiền và che giấu,” cô nói thêm.
Bản cáo trạng cáo buộc Spalletta đã thực hiện cuộc tấn công đầu tiên vào ngày 8 tháng 4 năm 2021, khai thác một lỗi theo dõi phần thưởng trong các hợp đồng thông minh của Uranium để liên tục rút khoảng 1,4 triệu đô la từ một pool thanh khoản.
Khoảng hai tuần sau, ông ta đã viết cho một cá nhân khác rằng, “Tôi đã thực hiện một vụ cướp tiền điện tử trị giá 1,5 triệu đô la… Có một lỗi trong hợp đồng thông minh, và tôi đã khai thác nó… Dù sao thì tiền điện tử cũng chỉ là tiền internet giả.”
Giới chức cho biết sau đó ông ta đã trả lại phần lớn số tiền bị đánh cắp sau khi đàm phán với nền tảng, nhưng giữ lại khoảng 386.000 đô la dưới dạng một thỏa thuận “tiền thưởng tìm lỗi” mà các công tố viên mô tả là giả mạo.
Vào ngày 28 tháng 4, ông ta bị cáo buộc đã khai thác một lỗ hổng khác trên 26 pool thanh khoản, thu về khoảng 53,3 triệu đô la tiền điện tử và khiến Uranium Finance không thể tiếp tục hoạt động.
Từ tháng 4 năm 2021 đến tháng 11 năm 2023, Spalletta bị cáo buộc đã chuyển khoảng 26 triệu đô la qua Tornado Cash, di chuyển tiền qua nhiều blockchains và ví để che giấu nguồn gốc của chúng.
Thám tử on-chain ZachXBT trước đây đã truy tìm dấu vết rửa tiền trong một báo cáo tháng 12 năm 2023, xác định cách ETH bị đánh cắp được rút ra từ bộ trộn (mixer) và chuyển qua các nhà môi giới để mua các vật phẩm sưu tầm giá trị cao.
Các vật phẩm sưu tầm bao gồm thẻ Magic và Pokémon quý hiếm, một đồng xu thời Julius Caesar, và một hiện vật của anh em nhà Wright sau đó được Neil Armstrong mang lên mặt trăng, theo bản cáo trạng.
Tháng 2 năm ngoái, cơ quan thực thi pháp luật cũng đã tịch thu số tiền điện tử trị giá khoảng 31 triệu đô la mà giới chức cho biết có liên quan đến kế hoạch bị cáo buộc.
Khi được hỏi liệu việc kiểm toán hoặc bảo hiểm nghiêm ngặt hơn có thể ngăn chặn sự sụp đổ của nền tảng hay không, Ang cho biết rằng “Các cơ chế kiểm toán và bảo hiểm mạnh mẽ hơn có thể giảm khả năng và tác động của các vụ khai thác, nhưng chúng không phải là một giải pháp thần kỳ.”
Các tổ chức cần một “hệ thống phòng thủ đa tầng”, bao gồm “kiểm toán bảo mật thường xuyên, thực hành mã hóa an toàn, kiểm soát đa chữ ký và văn hóa bảo mật mạnh mẽ, thay vì chỉ dựa vào bất kỳ biện pháp bảo vệ đơn lẻ nào,” cô nói thêm.
