Kolejna giełda kryptowalut okradziona. Tym razem władze USA postawiły zarzuty 36-letniemu Jonathanowi Spallettcie, który miał dopuścić się serii ataków hakerskich na zdecentralizowaną platrformę Uranium Finance. Według aktu oskarżenia, działania te doprowadziły do strat przekraczających 50 milionów dolarów i ostatecznego upadku platformy. Sprawa pokazuje rosnącą skalę przestępstw związanych z DeFi, gdzie luki w smart kontraktach mogą prowadzić do natychmiastowych i ogromnych strat finansowych.
Dwa ataki i wykorzystanie błędów w smart kontraktach
Według śledczych, pierwszy atak miał miejsce w kwietniu 2021 roku. Spalletta wykorzystał błąd w smart kontrakcie, który pozwolił mu wielokrotnie wypłacać nagrody większe niż te, do których był uprawniony. W ten sposób miał przejąć około 1,4 mln dolarów. Co istotne, po kradzieży miał próbować uniknąć konsekwencji, przedstawiając część środków jako tzw. „bug bounty” – czyli nagrodę za znalezienie błędu w systemie. Znacznie poważniejszy był drugi atak, przeprowadzony pod koniec tego samego miesiąca. W jego wyniku oskarżony miał wykorzystać kolejną lukę w mechanizmie wypłat i opróżnić aż 26 pul płynności, uzyskując około 53,3 mln dolarów. Skala zdarzenia była tak duża, że platforma Uranium Finance przestała funkcjonować.
Giełda kryptowalut i pranie pieniędzy
Po zdobyciu środków Spalletta miał je „wyprać” poprzez złożoną sieć transakcji kryptowalutowych, w tym z wykorzystaniem narzędzi anonimizujących, takich jak Tornado Cash. Następnie środki miały zostać przeznaczone na luksusowe i kolekcjonerskie przedmioty. Wśród nich znalazły się m.in. rzadkie karty kolekcjonerskie z gry Magic: The Gathering, w tym słynna karta Black Lotus warta około 500 tys. dolarów, zestawy kart Pokémon, a także antyczne monety rzymskie i unikalne artefakty historyczne. Łączna wartość zabezpieczonych przez organy ścigania aktywów kryptowalutowych wyniosła około 31 mln dolarów w momencie ich zajęcia w 2025 roku.
Poważne zarzuty i możliwa kara
Spalletta został oskarżony o oszustwa komputerowe oraz pranie pieniędzy. W przypadku uznania go za winnego grozi mu do 30 lat więzienia. Więcej o ciekawych atakach hakerskich pisaliśmy również tutaj:
Kolejna giełda kryptowalut okradziona — sprawdź, czy trzymasz tam środki
Władze podkreślają, że przestępstwa w świecie kryptowalut są traktowane tak samo jak tradycyjne oszustwa finansowe. Sprawa stanowi kolejny przykład na to, że mimo rosnącej popularności technologii blockchain, systemy DeFi wciąż narażone są na poważne ryzyko związane z błędami w kodzie oraz działalnością cyberprzestępców.