Affaire de fraude dans le secteur des cryptomonnaies
Un hacker présumé, qui a un jour qualifié les actifs numériques de « faux argent internet », est désormais en détention aux États-Unis, accusé d’avoir orchestré une exploitation de 53 millions de dollars ayant conduit à la chute d’un échange décentralisé. Cette affaire soulève des questions sur la légalité des exploitations de contrats intelligents, un sujet de plus en plus examiné par les tribunaux.
Accusations et conséquences
Les autorités américaines ont déposé lundi un acte d’accusation contre Jonathan Spalletta, également connu sous les pseudonymes « Cthulhon » et « Jspalletta », pour fraude informatique et blanchiment d’argent en lien avec deux attaques sur Uranium Finance, un échange décentralisé, en 2021. Spalletta s’est rendu aux autorités lundi et risque jusqu’à 10 ans de prison pour fraude informatique et 20 ans pour blanchiment d’argent.
« Voler dans un échange de crypto, c’est du vol – l’affirmation selon laquelle ‘la crypto est différente’ ne change rien à cela », a déclaré le procureur américain Jay Clayton dans un communiqué.
Cette affaire s’inscrit dans un effort plus large pour traiter les exploitations dans la finance décentralisée (DeFi), qui combinent des failles techniques avec un usage abusif des fonds.
« L’idée que ‘le code est la loi’ est de plus en plus mise à l’épreuve devant les tribunaux », a déclaré Angela Ang, responsable des politiques et des partenariats stratégiques pour la région Asie-Pacifique chez TRM Labs, à Decrypt.
Elle a ajouté : « Exploiter les vulnérabilités des contrats intelligents peut être techniquement possible, mais cela ne signifie pas que les tribunaux le considéreront comme légalement permis, surtout lorsqu’il est associé à du blanchiment et à de la dissimulation ».
Détails des attaques
L’acte d’accusation allègue que Spalletta a réalisé une première attaque le 8 avril 2021, exploitant un bug de suivi des récompenses dans les contrats intelligents d’Uranium pour siphonner à plusieurs reprises un pool de liquidités d’environ 1,4 million de dollars. Environ deux semaines plus tard, il aurait écrit à une autre personne :
« J’ai fait un braquage crypto de 1,5 million de dollars… Il y avait un bug dans un contrat intelligent, et je l’ai exploité… La crypto est de toute façon de l’argent internet faux. »
Les autorités affirment qu’il a ensuite restitué la plupart des fonds volés après avoir négocié avec la plateforme, mais a conservé environ 386 000 dollars dans ce que les procureurs décrivent comme un arrangement de « bug bounty » fictif. Le 28 avril, il aurait exploité une autre faille à travers 26 pools de liquidités, obtenant environ 53,3 millions de dollars en crypto et laissant Uranium Finance incapable de continuer à fonctionner.
Blanchiment et saisies
Entre avril 2021 et novembre 2023, Spalletta aurait canalisé environ 26 millions de dollars via Tornado Cash, déplaçant des fonds à travers plusieurs blockchains et portefeuilles pour obscurcir leur origine. Le détective on-chain ZachXBT avait précédemment retracé la piste de blanchiment dans un rapport de décembre 2023, identifiant comment l’ETH volé avait été retiré du mixeur et acheminé à travers des courtiers pour acheter des objets de collection de grande valeur.
Ces objets comprenaient des cartes Magic et Pokémon rares, une pièce de l’époque de Jules César, et un artefact des frères Wright qui a ensuite été emporté sur la lune par Neil Armstrong, selon l’acte d’accusation.
En février dernier, les forces de l’ordre ont également saisi des cryptomonnaies d’une valeur d’environ 31 millions de dollars que les autorités disent liées au schéma présumé.
Lorsqu’on lui a demandé si un audit plus strict ou une assurance auraient pu prévenir l’effondrement de la plateforme, Ang a déclaré que « des audits et des mécanismes d’assurance plus solides peuvent réduire la probabilité et l’impact des exploitations, mais ils ne sont pas une solution miracle ».
Elle a ajouté que les organisations ont besoin d’une « défense multicouche », incluant « des audits de sécurité réguliers, des pratiques de codage sécurisées, des contrôles multi-signatures et une forte culture de sécurité, plutôt que de compter sur un seul garde-fou ».
