Hacker di Criptovalute Arrestato negli Stati Uniti
Un presunto hacker di criptovalute, che in passato ha descritto gli asset digitali come “finti soldi di internet”, è ora sotto custodia negli Stati Uniti, accusato di aver realizzato un exploit da 53 milioni di dollari che ha contribuito al crollo di un exchange decentralizzato.
Dettagli dell’Accusa
Le autorità statunitensi hanno reso pubblica, lunedì, un’accusa contro Jonathan Spalletta, noto anche come “Cthulhon” e “Jspalletta”, per frode informatica e riciclaggio di denaro in relazione a due attacchi avvenuti nel 2021 su Uranium Finance, un exchange decentralizzato. Spalletta si è consegnato alle autorità lunedì dopo le accuse e ora rischia fino a 10 anni di carcere per frode informatica e 20 anni per riciclaggio di denaro.
“Rubare da un exchange di criptovalute è rubare: l’affermazione che ‘le criptovalute sono diverse’ non cambia questo fatto,” ha dichiarato il procuratore statunitense Jay Clayton in una nota.
Implicazioni Legali
Il caso rientra in uno sforzo più ampio per affrontare gli exploit DeFi, che combinano falle tecniche con uso improprio di fondi. Angela Ang, responsabile delle politiche e delle partnership strategiche per l’Asia Pacifico presso TRM Labs, ha affermato:
“L’idea che ‘il codice è legge’ è sempre più messa alla prova in tribunale. Sfruttare le vulnerabilità dei contratti intelligenti può essere tecnicamente possibile, ma ciò non significa che i tribunali lo considereranno legalmente permesso, specialmente quando è abbinato a riciclaggio e occultamento.”
Dettagli degli Attacchi
L’accusa sostiene che Spalletta abbia effettuato un primo attacco l’8 aprile 2021, sfruttando un bug nel tracciamento delle ricompense nei contratti intelligenti di Uranium per drenare ripetutamente un pool di liquidità di circa 1,4 milioni di dollari. Circa due settimane dopo, ha scritto a un’altra persona:
“Ho fatto un colpo di stato crypto da 1,5 milioni di dollari… C’era un bug in un contratto intelligente, e l’ho sfruttato… Le criptovalute sono comunque tutti soldi finti di internet.”
Le autorità affermano che in seguito ha restituito la maggior parte dei fondi rubati dopo aver negoziato con la piattaforma, ma ha mantenuto circa 386.000 dollari sotto quello che i pubblici ministeri descrivono come un finto accordo di “bug bounty”. Il 28 aprile, avrebbe sfruttato un’altra falla in 26 pool di liquidità, ottenendo circa 53,3 milioni di dollari in criptovalute e lasciando Uranium Finance incapace di continuare a operare.
Riciclaggio di Denaro
Tra aprile 2021 e novembre 2023, Spalletta avrebbe canalizzato circa 26 milioni di dollari attraverso Tornado Cash, spostando fondi attraverso più blockchain e portafogli per oscurarne l’origine. Il detective on-chain ZachXBT aveva precedentemente tracciato il percorso del riciclaggio in un rapporto di dicembre 2023, identificando come l’ETH rubato fosse stato prelevato dal mixer e instradato attraverso broker per acquistare collezionabili di alto valore.
I collezionabili includevano carte rare di Magic e Pokémon, una moneta dell’era di Giulio Cesare e un artefatto dei fratelli Wright, successivamente portato sulla luna da Neil Armstrong, secondo l’accusa. Lo scorso febbraio, le forze dell’ordine hanno anche sequestrato criptovalute per un valore di circa 31 milioni di dollari, che le autorità affermano fossero legate al presunto schema.
Prevenzione degli Exploit
Quando le è stato chiesto se un auditing più rigoroso o un’assicurazione avrebbero potuto prevenire il crollo della piattaforma, Ang ha affermato che:
“Meccanismi di auditing e assicurazione più forti possono ridurre la probabilità e l’impatto degli exploit, ma non sono una soluzione miracolosa. Le organizzazioni hanno bisogno di una ‘difesa multilivello’, inclusi audit di sicurezza regolari, pratiche di codifica sicura, controlli multi-firma e una forte cultura della sicurezza, piuttosto che fare affidamento su qualsiasi singola salvaguardia.”
