Penangkapan Hacker Cryptocurrency
Seorang hacker cryptocurrency yang diduga pernah menyebut aset digital sebagai “uang internet palsu” kini berada dalam tahanan pihak berwenang AS. Ia dituduh melakukan eksploitasi senilai $53 juta yang menyebabkan kerugian pada sebuah bursa terdesentralisasi. Kasus ini menunjukkan bahwa pengadilan semakin memperhatikan apakah eksploitasi kontrak pintar dapat dianggap sah secara hukum.
Dakwaan Terhadap Jonathan Spalletta
Pada hari Senin, otoritas AS mengajukan dakwaan terhadap Jonathan Spalletta, yang juga dikenal dengan nama samaran “Cthulhon” dan “Jspalletta.” Ia menghadapi tuduhan penipuan komputer dan pencucian uang terkait dengan dua serangan yang terjadi pada tahun 2021 terhadap Uranium Finance, sebuah bursa terdesentralisasi. Spalletta menyerahkan diri kepada pihak berwenang pada hari yang sama setelah dakwaan tersebut diumumkan. Ia kini menghadapi hukuman maksimum 10 tahun penjara untuk tuduhan penipuan komputer dan 20 tahun untuk tuduhan pencucian uang.
Jaksa AS, Jay Clayton, menyatakan, “Mencuri dari bursa cryptocurrency adalah pencurian—klaim bahwa ‘crypto itu berbeda’ tidak mengubah fakta tersebut.”
Upaya Penegakan Hukum
Kasus ini merupakan bagian dari upaya yang lebih luas untuk menangani eksploitasi dalam DeFi yang memanfaatkan celah teknis dan penyalahgunaan dana. Angela Ang, kepala kebijakan dan kemitraan strategis untuk Asia Pasifik di TRM Labs, mengatakan kepada Decrypt, “Ide bahwa ‘kode adalah hukum’ semakin diuji di pengadilan. Mengeksploitasi kerentanan kontrak pintar mungkin secara teknis mungkin, tetapi itu tidak berarti bahwa pengadilan akan memandangnya sebagai sah secara hukum—terutama ketika dipasangkan dengan pencucian dan penyembunyian.”
Detail Serangan dan Pencucian Uang
Dakwaan tersebut mengklaim bahwa Spalletta melakukan serangan pertama pada 8 April 2021, dengan mengeksploitasi bug pelacakan hadiah dalam kontrak pintar Uranium untuk menguras kolam likuiditas sekitar $1,4 juta. Sekitar dua minggu kemudian, ia menghubungi individu lain dan menyatakan, “Saya melakukan perampokan crypto senilai $1,5 juta… Ada bug dalam kontrak pintar, dan saya mengeksploitasinya… Crypto adalah uang internet palsu bagaimanapun juga.”
Otoritas menyebutkan bahwa ia kemudian mengembalikan sebagian besar dana yang dicuri setelah bernegosiasi dengan platform, tetapi menyimpan sekitar $386.000 di bawah apa yang digambarkan oleh jaksa sebagai pengaturan “bug bounty” yang tidak sah. Pada 28 April, ia diduga mengeksploitasi celah lain di 26 kolam likuiditas, memperoleh sekitar $53,3 juta dalam cryptocurrency dan membuat Uranium Finance tidak dapat melanjutkan operasinya.
Pencucian Dana dan Penegakan Hukum
Antara April 2021 dan November 2023, Spalletta diduga mengalirkan sekitar $26 juta melalui Tornado Cash, memindahkan dana di berbagai blockchain dan dompet untuk menyembunyikan asal-usulnya. Penyidik on-chain, ZachXBT, sebelumnya telah melacak jejak pencucian dalam laporan Desember 2023, mengidentifikasi bagaimana ETH yang dicuri ditarik dari mixer dan dialihkan melalui broker untuk membeli koleksi bernilai tinggi. Koleksi tersebut termasuk kartu Magic dan Pokémon langka, koin dari era Julius Caesar, serta artefak Wright bersaudara yang kemudian dibawa ke bulan oleh Neil Armstrong, menurut dakwaan.
Pada bulan Februari lalu, penegak hukum juga menyita cryptocurrency senilai sekitar $31 juta yang menurut otoritas terkait dengan skema yang diduga tersebut. Ketika ditanya apakah audit yang lebih ketat atau asuransi dapat mencegah keruntuhan platform, Ang menyatakan bahwa “audit dan mekanisme asuransi yang lebih kuat dapat mengurangi kemungkinan dan dampak eksploitasi, tetapi itu bukan solusi yang sempurna.” Organisasi memerlukan “pertahanan berlapis,” termasuk “audit keamanan reguler, praktik pengkodean yang aman, kontrol multi-tanda tangan, dan budaya keamanan yang kuat, daripada mengandalkan satu perlindungan saja,” tambahnya.
