Pag-aresto sa Isang Sinasabing Hacker ng Cryptocurrency
Isang sinasabing hacker ng cryptocurrency na minsang inilarawan ang mga digital na asset bilang “pekeng pera sa internet” ay nasa kustodiya na ng U.S. at inakusahan ng pagsasagawa ng isang $53 milyong exploit na nagdulot ng pagbagsak ng isang decentralized exchange.
Mga Detalye ng Kaso
Ayon sa isang eksperto, ang kasong ito ay nagpapakita na mas masusing tinitingnan ng mga hukuman kung ang mga smart contract exploits ay maaaring ituring na legal. Noong Lunes, inilabas ng mga awtoridad ng U.S. ang isang indictment na nag-aakusa kay Jonathan Spalletta, na kilala rin bilang “Cthulhon” at “Jspalletta”, ng computer fraud at money laundering kaugnay ng dalawang pag-atake noong 2021 sa Uranium Finance, isang decentralized exchange.
Sumuko si Spalletta sa mga awtoridad noong Lunes kasunod ng mga akusasyon, at ngayon ay nahaharap sa maximum na 10 taon sa kasong computer fraud at 20 taon sa kasong money laundering.
Mga Pahayag ng mga Awtoridad
“Ang pagnanakaw mula sa isang crypto exchange ay pagnanakaw—ang pahayag na ‘iba ang crypto’ ay hindi nagbabago niyan,” sabi ni U.S. Attorney Jay Clayton sa isang pahayag.
Ang kaso ay bahagi ng mas malawak na pagsisikap na tugunan ang mga DeFi exploits na pinagsasama ang mga teknikal na butas at maling paggamit ng pondo. “Ang ideya na ‘ang code ay batas’ ay unti-unting sinusubok sa hukuman,” sabi ni Angela Ang, pinuno ng patakaran at mga estratehikong pakikipagsosyo para sa Asia Pacific sa TRM Labs, sa Decrypt.
Mga Detalye ng mga Pag-atake
Ang indictment ay nag-aakusa kay Spalletta na nagsagawa ng unang pag-atake noong Abril 8, 2021, na sinasamantala ang isang bug sa pagsubaybay ng gantimpala sa mga smart contract ng Uranium upang paulit-ulit na ubusin ang isang liquidity pool na humigit-kumulang $1.4 milyon. Mga dalawang linggo pagkatapos, sumulat siya sa ibang indibidwal, “Nagawa ko ang isang crypto heist ng $1.5MM… May bug sa isang smart contract, at sinamantala ko ito… Ang crypto ay lahat pekeng pera sa internet anyway.”
Sinasabi ng mga awtoridad na kalaunan ay ibinalik niya ang karamihan sa mga ninakaw na pondo matapos makipag-ayos sa platform, ngunit itinago ang humigit-kumulang $386,000 sa ilalim ng tinatawag ng mga tagausig na isang pekeng “bug bounty” na kasunduan.
Noong Abril 28, sinasabing sinamantala niya ang isa pang depekto sa 26 liquidity pools, nakakuha ng humigit-kumulang $53.3 milyon sa crypto at iniwan ang Uranium Finance na hindi makapagpatuloy sa operasyon.
Paglilipat ng mga Pondo
Mula Abril 2021 hanggang Nobyembre 2023, sinasabing pinadaan ni Spalletta ang humigit-kumulang $26 milyon sa pamamagitan ng Tornado Cash, inilipat ang mga pondo sa iba’t ibang blockchain at wallet upang itago ang kanilang pinagmulan. Nauna nang sinubaybayan ni onchain sleuth ZachXBT ang laundering trail sa isang ulat noong Disyembre 2023, na tinukoy kung paano ang ninakaw na ETH ay inwithdraw mula sa mixer at inilipat sa mga broker upang bumili ng mga mataas na halaga ng collectibles.
Kabilang sa mga collectibles ang mga bihirang Magic at Pokémon cards, isang barya mula sa panahon ni Julius Caesar, at isang artifact ng Wright brothers na kalaunan ay dinala sa buwan ni Neil Armstrong, ayon sa indictment.
Mga Komento sa Seguridad
Noong nakaraang Pebrero, sinamsam din ng mga awtoridad ang crypto na nagkakahalaga ng humigit-kumulang $31 milyon na sinasabing konektado sa sinasabing scheme. Nang tanungin kung ang mas mahigpit na auditing o insurance ay makakapigil sa pagbagsak ng platform, sinabi ni Ang na “Ang mas malakas na auditing at insurance mechanisms ay maaaring bawasan ang posibilidad at epekto ng exploits, ngunit hindi sila isang silver bullet.”
Kailangan ng mga organisasyon ng “multi-layered defense,” kabilang ang “regular security audits, secure coding practices, multi-signature controls, at isang malakas na kultura ng seguridad,” sa halip na umasa sa anumang solong safeguard, dagdag niya.
