Hacker Tiền Điện Tử Bị Buộc Tội Gian Lận và Rửa Tiền
Một hacker tiền điện tử bị cáo buộc, người từng mô tả tài sản kỹ thuật số là “tiền giả trên internet”, hiện đang bị giam giữ tại Mỹ. Người này bị cáo buộc thực hiện một vụ khai thác trị giá 53 triệu đô la, dẫn đến sự sụp đổ của một sàn giao dịch phi tập trung. Vụ việc này cho thấy các tòa án đang xem xét kỹ lưỡng liệu các vụ khai thác hợp đồng thông minh có thể được coi là hợp pháp hay không.
Cáo Trạng và Hệ Quả Pháp Lý
Các cơ quan chức năng Mỹ hôm thứ Hai đã công bố một bản cáo trạng buộc tội Jonathan Spalletta, còn được biết đến với tên gọi “Cthulhon” và “Jspalletta”, về tội gian lận máy tính và rửa tiền liên quan đến hai cuộc tấn công vào Uranium Finance, một sàn giao dịch phi tập trung vào năm 2021. Spalletta đã đầu thú với các cơ quan chức năng vào thứ Hai sau khi bị buộc tội và hiện đang đối mặt với mức án tối đa 10 năm cho tội gian lận máy tính và 20 năm cho tội rửa tiền.
“Trộm cắp từ một sàn giao dịch tiền điện tử là trộm cắp – tuyên bố rằng ‘crypto là khác biệt’ không thay đổi điều đó,” công tố viên Mỹ Jay Clayton cho biết trong một tuyên bố.
Vụ việc này nằm trong nỗ lực rộng lớn hơn nhằm giải quyết các vụ khai thác DeFi, kết hợp giữa lỗ hổng kỹ thuật và việc lạm dụng quỹ.
“Ý tưởng rằng ‘mã là luật’ đang ngày càng bị thử thách tại tòa án,” Angela Ang, người đứng đầu chính sách và quan hệ đối tác chiến lược khu vực Châu Á – Thái Bình Dương tại TRM Labs, nói với Decrypt.
“Khai thác các lỗ hổng hợp đồng thông minh có thể về mặt kỹ thuật là khả thi, nhưng điều đó không có nghĩa là các tòa án sẽ coi đó là hợp pháp – đặc biệt khi kết hợp với việc rửa tiền và che giấu,” cô nói thêm.
Chi Tiết Vụ Tấn Công
Bản cáo trạng cáo buộc Spalletta đã thực hiện cuộc tấn công đầu tiên vào ngày 8 tháng 4 năm 2021, khai thác một lỗi theo dõi phần thưởng trong các hợp đồng thông minh của Uranium để liên tục rút cạn một quỹ thanh khoản khoảng 1,4 triệu đô la. Khoảng hai tuần sau, anh ta đã viết cho một cá nhân khác, “Tôi đã thực hiện một vụ cướp tiền điện tử trị giá 1,5 triệu đô la… Có một lỗi trong một hợp đồng thông minh, và tôi đã khai thác nó… Crypto thực ra đều là tiền giả trên internet.”
Các cơ quan chức năng cho biết anh ta sau đó đã trả lại hầu hết số tiền bị đánh cắp sau khi thương lượng với nền tảng, nhưng giữ lại khoảng 386.000 đô la dưới một thỏa thuận “bug bounty” giả mạo mà các công tố viên mô tả. Vào ngày 28 tháng 4, anh ta bị cáo buộc đã khai thác một lỗi khác trên 26 quỹ thanh khoản, thu được khoảng 53,3 triệu đô la tiền điện tử và khiến Uranium Finance không thể tiếp tục hoạt động.
Rửa Tiền và Hệ Thống Phòng Thủ
Giữa tháng 4 năm 2021 và tháng 11 năm 2023, Spalletta bị cáo buộc đã chuyển khoảng 26 triệu đô la qua Tornado Cash, di chuyển quỹ qua nhiều blockchain và ví để che giấu nguồn gốc của chúng. Nhà điều tra onchain ZachXBT trước đó đã theo dõi con đường rửa tiền trong một báo cáo tháng 12 năm 2023, xác định cách ETH bị đánh cắp được rút ra từ mixer và chuyển qua các nhà môi giới để mua các bộ sưu tập có giá trị cao.
Các bộ sưu tập này bao gồm thẻ Magic và Pokémon hiếm, một đồng tiền từ thời Julius Caesar, và một hiện vật của anh em nhà Wright, sau đó được mang lên mặt trăng bởi Neil Armstrong, theo bản cáo trạng.
Vào tháng 2 năm ngoái, các cơ quan thực thi pháp luật cũng đã tịch thu tiền điện tử trị giá khoảng 31 triệu đô la mà các cơ quan chức năng cho rằng có liên quan đến âm mưu bị cáo buộc. Khi được hỏi liệu việc kiểm toán nghiêm ngặt hơn hoặc bảo hiểm có thể ngăn chặn sự sụp đổ của nền tảng hay không, Ang cho biết rằng “Các cơ chế kiểm toán và bảo hiểm mạnh mẽ hơn có thể giảm thiểu khả năng và tác động của các vụ khai thác, nhưng chúng không phải là giải pháp hoàn hảo.”
Các tổ chức cần một “hệ thống phòng thủ đa lớp”, bao gồm “kiểm toán an ninh định kỳ, thực hành lập trình an toàn, kiểm soát đa chữ ký và một văn hóa an ninh mạnh mẽ, thay vì chỉ dựa vào bất kỳ biện pháp bảo vệ nào,” cô nói thêm.
