Em poucas palavras
- As autoridades dos EUA acusaram Jonathan Spalletta de explorar a Uranium Finance, drenando dezenas de milhões de dólares da empresa que levou ao seu colapso.
- Os procuradores dizem que ele terá alegadamente abusado de falhas em contratos inteligentes, passando mais tarde fundos através de mixers e comprando colecionáveis de elevado valor.
- Cerca de 31 milhões de dólares em cripto ligados ao caso foram apreendidos no ano passado.
Um alegado hacker de cripto que, no passado, descreveu ativos digitais como “falsa moeda de internet” está agora sob custódia dos EUA, acusado de ter realizado um exploit de 53 milhões de dólares que ajudou a derrubar uma bolsa descentralizada, num caso que um especialista diz mostrar que os tribunais estão a analisar com mais rigor se exploits de contratos inteligentes podem ser considerados legais.
Na segunda-feira, as autoridades dos EUA tornaram pública uma acusação que acusa Jonathan Spalletta, também conhecido como “Cthulhon” e “Jspalletta”, de fraude informática e branqueamento de capitais, em ligação com dois ataques de 2021 à Uranium Finance, uma bolsa descentralizada.
Spalletta entregou-se às autoridades na segunda-feira após as acusações, enfrentando agora uma pena máxima de 10 anos pelo crime de fraude informática e 20 anos pelo branqueamento de capitais.
“Roubar de uma bolsa de cripto é roubar — a alegação de que ‘a cripto é diferente’ não altera isso.” disse o Procurador dos EUA Jay Clayton numa declaração.
O caso insere-se num esforço mais amplo para combater exploits em DeFi que combinam lacunas técnicas com uso indevido de fundos.
“A ideia de que ‘o código é lei’ está cada vez mais a ser testada em tribunal”, disse Angela Ang, chefe de políticas e parcerias estratégicas para a região Ásia-Pacífico na TRM Labs, ao Decrypt.
“Explorar vulnerabilidades em contratos inteligentes pode ser tecnicamente possível, mas isso não significa que os tribunais o considerem legal — especialmente quando acompanhado de branqueamento e ocultação,” acrescentou.
A acusação alega que Spalletta realizou um primeiro ataque a 8 de abril de 2021, explorando uma falha de rastreamento de recompensas nos contratos inteligentes da Uranium para drenar repetidamente uma pool de liquidez de aproximadamente 1,4 milhões de dólares.
Cerca de duas semanas depois, escreveu a outra pessoa: “Fiz um roubo de cripto de 1,5 milhões… Havia um bug num contrato inteligente, e explorei-o… A cripto é toda falsa moeda de internet, de qualquer forma.”
As autoridades dizem que mais tarde devolveu a maior parte dos fundos roubados após negociar com a plataforma, mas reteve cerca de 386 mil dólares num esquema que os procuradores descrevem como um falso “bug bounty”.
A 28 de abril, alegadamente explorou outra falha em 26 pools de liquidez, obtendo cerca de 53,3 milhões de dólares em cripto e deixando a Uranium Finance incapaz de continuar a operar.
Entre abril de 2021 e novembro de 2023, Spalletta terá encaminhado cerca de 26 milhões de dólares através do Tornado Cash, movendo fundos através de múltiplas blockchains e carteiras para ocultar a sua origem.
O investigador onchain ZachXBT tinha anteriormente seguido o rasto do branqueamento num relatório de dezembro de 2023, identificando como o ETH roubado foi retirado do mixer e encaminhado através de corretores para comprar colecionáveis de elevado valor.
Os colecionáveis incluíam cartas raras de Magic e Pokémon, uma moeda da era de Júlio César e um artefacto dos irmãos Wright, mais tarde levado à Lua por Neil Armstrong, de acordo com a acusação.
No mês passado de fevereiro, as forças de segurança também apreenderam cripto no valor de cerca de 31 milhões de dólares que as autoridades dizem estar ligado ao alegado esquema.
Quando questionada se auditorias mais rigorosas ou seguros poderiam ter evitado o colapso da plataforma, Ang afirmou que “Mecanismos de auditoria e de seguro mais fortes podem reduzir a probabilidade e o impacto de exploits, mas não são uma solução definitiva.”
As organizações precisam de uma “defesa em várias camadas”, incluindo “auditorias regulares de segurança, práticas de codificação segura, controlos de múltipla assinatura e uma forte cultura de segurança, em vez de depender de uma única salvaguarda,” acrescentou.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
