한때 디지털 자산을 "가짜 인터넷 화폐"라고 묘사했던 암호화폐 해커가 5,300만 달러 규모의 해킹을 통해 탈 탈중앙거래소(DEX) 마비시킨 혐의로 미국에서 구금되었습니다. 한 전문가는 이 사건이 스마트 계약 해킹이 합법적인 것으로 간주될 수 있는지 여부를 법원이 더욱 엄격하게 검토하고 있음을 보여준다고 분석했습니다.
미국 당국은 월요일, 탈중앙거래소(DEX) 인 우라늄 파이낸스에 대한 2021년 두 차례의 공격과 관련하여 컴퓨터 사기 및 자금 세탁 혐의로 조너선 스팔레타(일명 "크툴론", "제이스팔레타")를 기소 했다고 발표 했습니다.
스팔레타는 기소된 후 월요일에 당국에 자수했으며, 현재 컴퓨터 사기 혐의로 최대 10년, 자금 세탁 혐의로 최대 20년의 징역형에 처할 수 있습니다.
"암호화폐 거래소에서 돈을 훔치는 것은 절도입니다. '암호화폐는 다르다'는 주장은 이를 바꾸지 못합니다." 제이 클레이튼 미국 연방 검사는 성명 에서 이렇게 밝혔습니다 .
이번 사건은 기술적 허점과 자금 오용이 결합된 DeFi 악용 사례를 해결하기 위한 광범위한 노력의 일환입니다.
TRM Labs의 아시아 태평양 정책 및 전략적 파트너십 책임자인 안젤라 앙은 디크립트(Decrypt) 인터뷰에서 "코드가 곧 법이라는 개념이 법정에서 점점 더 시험대에 오르고 있다"고 말했다 .
"스마트 계약의 취약점을 악용하는 것이 기술적으로 가능할 수는 있지만, 그렇다고 해서 법원이 이를 법적으로 허용 가능한 것으로 간주한다는 의미는 아닙니다. 특히 자금 세탁 및 은닉과 결합될 경우에는 더욱 그렇습니다."라고 그녀는 덧붙였다.
기소장에 따르면 스팔레타는 2021년 4월 8일, 우라늄의 스마트 계약에 있는 보상 추적 버그를 악용하여 약 140만 달러에 달하는 유동성 풀을 반복적으로 빼돌리는 첫 번째 공격을 감행했습니다.
약 2주 후, 그는 다른 사람에게 "150만 달러 상당의 암호화폐를 훔쳤어... 스마트 계약에 버그가 있어서 그걸 이용했지... 어차피 암호화폐는 다 가짜 인터넷 돈일 뿐이야."라고 썼다.
당국은 그가 플랫폼 측과 협상 끝에 훔친 자금의 대부분을 반환했지만, 검찰이 허위 "버그 바운티" 계약이라고 설명하는 방식으로 약 38만 6천 달러를 챙겼다고 밝혔습니다.
4월 28일, 그는 26개의 유동성 풀에서 또 다른 취약점을 악용하여 약 5,330만 달러 상당의 암호화폐를 획득했고, 이로 인해 우라늄 파이낸스는 더 이상 운영을 지속할 수 없게 된 것으로 알려졌습니다.
2021년 4월부터 2023년 11월 사이에 스팔레타는 토네이도 캐시를 통해 약 2,600만 달러를 빼돌린 혐의를 받고 있으며 , 자금의 출처를 숨기기 위해 여러 블록체인 과 지갑을 오가며 자금을 이동시켰다고 합니다.
온체인 탐정 ZachXBT는 앞서 2023년 12월 보고서에서 자금 세탁 경로를 추적하여 도난당한 이더리움(ETH) 가 믹서에서 인출되어 브로커를 통해 고가의 수집품을 구매하는 데 사용된 방식을 밝혀냈습니다.
기소장에 따르면 압수품에는 희귀한 매직 카드와 포켓몬 카드, 율리우스 카이사르 시대의 동전, 그리고 닐 암스트롱 투더문(To the moon) 가져간 라이트 형제의 유물 등이 포함되어 있었습니다.
지난 2월, 사법 당국은 해당 사기 행각과 연관된 것으로 추정되는 약 3,100만 달러 상당의 암호화폐를 압수했습니다 .
플랫폼 붕괴를 막기 위해 더 엄격한 감사나 보험이 필요했는지 묻는 질문에 앙 회장은 "더 강력한 감사 및 보험 메커니즘은 악용 가능성과 그 영향을 줄일 수 있지만 만능 해결책은 아니다"라고 답했다.
그녀는 "조직은 단일 보호 장치에 의존하기보다는 정기적인 보안 감사, 안전한 코딩 관행, 다중 서명 제어 및 강력한 보안 문화를 포함하는 '다층적인 방어'가 필요하다"고 덧붙였습니다.
