EEUU Acusa a Hacker Responsable del Exploit de $53 Millones en Uranium Finance

Un presunto hacker de criptomonedas que en algún momento describió los activos digitales como “dinero falso de internet” ahora está bajo custodia en Estados Unidos, acusado de llevar a cabo un exploit de $53 millones que contribuyó a la caída de un exchange descentralizado, en un caso que, según un experto, demuestra que los tribunales están examinando con más detenimiento si los exploits de contratos inteligentes pueden considerarse legales.

El lunes, las autoridades estadounidenses revelaron un acta de acusación contra Jonathan Spalletta, mejor conocido como “Cthulhon” y “Jspalletta”, por fraude informático y lavado de dinero en relación con dos ataques realizados en 2021 contra Uranium Finance, un exchange descentralizado.

Spalletta se entregó a las autoridades el lunes tras los cargos, y ahora enfrenta un máximo de 10 años por el cargo de fraude informático y 20 años por el de lavado de dinero.

“Robar a un exchange de criptomonedas es robar; el argumento de que ‘las criptomonedas son diferentes’ no cambia eso”, afirmó el fiscal estadounidense Jay Clayton en un comunicado.

El caso se enmarca en un esfuerzo más amplio por abordar los exploits en DeFi que combinan lagunas técnicas con el uso indebido de fondos.

“La idea de que ‘el código es la ley’ está siendo cada vez más puesta a prueba en los tribunales”, señaló Angela Ang, directora de política y alianzas estratégicas para Asia Pacífico en TRM Labs, a Decrypt.

“Explotar vulnerabilidades en contratos inteligentes puede ser técnicamente posible, pero eso no significa que los tribunales lo consideren legalmente permisible, especialmente cuando va acompañado de lavado de dinero y ocultamiento”, agregó.

La acusación señala que Spalletta ejecutó un primer ataque el 8 de abril de 2021, aprovechando un error en el sistema de seguimiento de recompensas de los contratos inteligentes de Uranium para drenar repetidamente un pool de liquidez por aproximadamente $1,4 millones.

Aproximadamente dos semanas después, le escribió a otra persona: “Hice un robo cripto de $1,5MM… Había un bug en un contrato inteligente y lo exploté… Las criptomonedas son solo dinero falso de internet de todos modos”.

Las autoridades afirman que posteriormente devolvió la mayor parte de los fondos robados tras negociar con la plataforma, pero conservó unos $386.000 bajo lo que los fiscales describen como un acuerdo ficticio de “bug bounty”.

El 28 de abril, presuntamente explotó otra falla en 26 pools de liquidez, obteniendo cerca de $53,3 millones en criptomonedas y dejando a Uranium Finance sin posibilidad de continuar operando.

Entre abril de 2021 y noviembre de 2023, Spalletta presuntamente canalizó alrededor de $26 millones a través de Tornado Cash, moviendo fondos a través de múltiples blockchains y wallets para ocultar su origen.

El investigador on-chain ZachXBT había rastreado previamente el rastro del lavado en un informe de diciembre de 2023, identificando cómo el ETH robado fue retirado del mixer y canalizado a través de intermediarios para adquirir coleccionables de alto valor.

Según la acusación, entre los coleccionables había cartas raras de Magic y Pokémon, una moneda de la época de Julio César y un artefacto de los hermanos Wright que Neil Armstrong llevó posteriormente a la Luna.

En febrero del año pasado, las autoridades también incautaron criptomonedas por un valor de aproximadamente $31 millones que, según las autoridades, estaban vinculadas al presunto esquema.

Cuando se le preguntó si auditorías más rigurosas o seguros podrían haber prevenido el colapso de la plataforma, Ang señaló que “mecanismos más sólidos de auditoría y seguros pueden reducir la probabilidad e impacto de los exploits, pero no son una solución definitiva”.

Las organizaciones necesitan una “defensa de múltiples capas” que incluya “auditorías de seguridad regulares, prácticas de codificación segura, controles multifirma y una cultura de seguridad sólida, en lugar de depender de una sola salvaguarda”, agregó.