Một hacker tiền điện tử bị cáo buộc, người từng mô tả tài sản kỹ thuật số là "tiền ảo trên internet", hiện đang bị giam giữ tại Mỹ, bị buộc tội thực hiện vụ tấn công trị giá 53 triệu đô la giúp làm sụp đổ một Sàn phi tập trung (DEX). Một chuyên gia cho rằng vụ việc này cho thấy các tòa án đang xem xét kỹ hơn liệu việc khai thác lỗ hổng hợp đồng thông minh có thể được coi là hợp pháp hay không.
Hôm thứ Hai, các nhà chức trách Mỹ đã công bố bản cáo trạng buộc tội Jonathan Spalletta, còn được biết đến với biệt danh “Cthulhon” và “Jspalletta”, về tội gian lận máy tính và rửa tiền liên quan đến hai vụ tấn công năm 2021 vào Uranium Finance, một Sàn phi tập trung (DEX).
Spalletta đã đầu hàng chính quyền hôm thứ Hai sau khi bị buộc tội, hiện đang đối mặt với mức án tối đa 10 năm tù cho tội gian lận máy tính và 20 năm tù cho tội rửa tiền.
“Ăn cắp từ sàn giao dịch crypto là hành vi ăn cắp – tuyên bố rằng ‘tiền điện tử khác biệt’ không làm thay đổi điều đó”, luật sư Jay Clayton của Mỹ cho biết trong một tuyên bố .
Vụ việc này nằm trong nỗ lực rộng lớn hơn nhằm giải quyết các lỗ hổng bảo mật DeFi , vốn kết hợp giữa các sơ hở kỹ thuật và việc lạm dụng quỹ.
Angela Ang, người đứng đầu bộ phận chính sách và quan hệ đối tác chiến lược khu vực châu Á Thái Bình Dương tại TRM Labs, chia sẻ với Decrypt : "Quan niệm 'mã nguồn là luật' ngày càng được kiểm chứng tại tòa án. "
"Về mặt kỹ thuật, việc khai thác các lỗ hổng trong hợp đồng thông minh có thể khả thi, nhưng điều đó không có nghĩa là tòa án sẽ coi đó là hành vi được pháp luật cho phép — đặc biệt là khi kết hợp với rửa tiền và che giấu," bà nói thêm.
Bản cáo trạng cáo buộc Spalletta đã thực hiện cuộc tấn công đầu tiên vào ngày 8 tháng 4 năm 2021, lợi dụng lỗi theo dõi phần thưởng trong hợp đồng thông minh của Uranium để liên tục rút Bể thanh khoản khoảng 1,4 triệu đô la.
Khoảng hai tuần sau, anh ta viết thư cho một người khác, "Tôi đã thực hiện một vụ trộm tiền điện tử trị giá 1,5 triệu đô la... Có một lỗi trong hợp đồng thông minh, và tôi đã khai thác nó... Dù sao thì tiền điện tử cũng chỉ là tiền ảo trên internet thôi."
Các nhà chức trách cho biết sau đó anh ta đã trả lại phần lớn số tiền bị đánh cắp sau khi đàm phán với nền tảng này, nhưng vẫn giữ lại khoảng 386.000 đô la theo cái mà các công tố viên mô tả là một thỏa thuận "săn lỗi nhận tiền thưởng" giả mạo.
Vào ngày 28 tháng 4, người này được cho là đã lợi dụng một lỗ hổng khác trên 26 nhóm thanh khoản, thu được khoảng 53,3 triệu đô la tiền điện tử và khiến Uranium Finance không thể tiếp tục hoạt động.
Từ tháng 4 năm 2021 đến tháng 11 năm 2023, Spalletta được cho là đã chuyển khoảng 26 triệu đô la thông qua Tornado Cash , di chuyển tiền qua nhiều chuỗi khối và ví khác nhau để che giấu nguồn gốc.
Chuyên gia điều tra Onchain ZachXBT trước đó đã lần theo dấu vết rửa tiền trong một báo cáo hồi tháng 12 năm 2023, xác định cách ETH bị đánh cắp được rút khỏi máy trộn và chuyển qua các nhà môi giới để mua các vật phẩm sưu tầm có giá trị cao.
Theo cáo trạng, các vật phẩm sưu tầm bao gồm những lá bài Magic và Pokémon quý hiếm, một đồng xu thời Julius Caesar, và một hiện vật của anh em nhà Wright mà sau này Neil Armstrong đã mang lên Moon .
Tháng 2 năm ngoái, lực lượng thực thi pháp luật cũng đã thu giữ số tiền điện tử trị giá khoảng 31 triệu đô la mà các nhà chức trách cho rằng có liên quan đến âm mưu bị cáo buộc.
Khi được hỏi liệu việc kiểm toán hoặc bảo hiểm chặt chẽ hơn có thể ngăn chặn sự sụp đổ của nền tảng hay không, Ang cho biết rằng “Các cơ chế kiểm toán và bảo hiểm mạnh mẽ hơn có thể giảm thiểu khả năng và tác động của các vụ tấn công, nhưng chúng không phải là giải pháp thần kỳ.”
Bà cho biết thêm, các tổ chức cần một “hệ thống phòng thủ đa tầng”, bao gồm “kiểm tra an ninh thường xuyên, thực hành lập trình an toàn, kiểm soát Đa chữ ký (Multi-SIG) và một nền văn hóa an ninh mạnh mẽ, thay vì chỉ dựa vào một biện pháp bảo vệ duy nhất”.
