Hoa Kỳ Buộc Tội Tin Tặc Đứng Sau Vụ Tấn Công Bằng Lỗ Hổng 53 Triệu Đô La của Uranium Finance

Tóm tắt ngắn gọn

• Các cơ quan chức năng của Mỹ đã buộc tội Jonathan Spalletta vì khai thác Uranium Finance, rút cạn hàng chục triệu đô la từ công ty đứng sau dẫn đến sự sụp đổ của công ty này.
• Công tố viên cho rằng anh ta đã lạm dụng các lỗ hổng hợp đồng thông minh, sau đó chuyển tiền qua các bộ trộn và mua các bộ sưu tập giá trị cao.
• Khoảng 31 triệu đô la tiền mã hóa liên quan đến vụ việc đã bị tịch thu vào năm ngoái.

Một tin tặc tiền mã hóa bị cáo buộc từng mô tả tài sản kỹ thuật số là “tiền internet giả” hiện đang bị giam giữ tại Mỹ, bị cáo buộc thực hiện một vụ khai thác trị giá 53 triệu đô la, góp phần làm sụp đổ một sàn giao dịch phi tập trung, trong một vụ án mà một chuyên gia cho rằng cho thấy tòa án đang xem xét kỹ hơn liệu các vụ khai thác hợp đồng thông minh có thể được coi là hợp pháp hay không. Các cơ quan chức năng của Mỹ hôm thứ Hai đã công bố bản cáo trạng truy tố Jonathan Spalletta, còn được biết đến với tên “Cthulhon” và “Jspalletta,” vì tội gian lận máy tính và rửa tiền liên quan đến hai cuộc tấn công vào Uranium Finance, một sàn giao dịch phi tập trung, diễn ra vào năm 2021.  Spalletta đã ra trình diện cơ quan chức năng vào hôm thứ Hai sau khi bị buộc tội, hiện đối mặt với mức án tối đa 10 năm đối với tội gian lận máy tính và 20 năm đối với tội rửa tiền.

 “Đánh cắp từ một sàn giao dịch tiền mã hóa là đánh cắp—khẳng định rằng ‘tiền mã hóa là khác biệt’ không làm điều đó thay đổi.” Luật sư Hoa Kỳ Jay Clayton cho biết trong một tuyên bố.  Vụ việc này nằm trong một nỗ lực rộng hơn nhằm giải quyết các vụ khai thác DeFi kết hợp kẽ hở kỹ thuật với việc lạm dụng tiền. “Ý tưởng rằng ‘mã là luật’ ngày càng được thử thách tại tòa án,” Angela Ang, Giám đốc chính sách và quan hệ đối tác chiến lược khu vực Châu Á Thái Bình Dương tại TRM Labs, nói với Decrypt.

“Việc khai thác các lỗ hổng hợp đồng thông minh có thể về mặt kỹ thuật là khả thi, nhưng điều đó không có nghĩa là tòa án sẽ xem việc đó là được phép về mặt pháp lý—đặc biệt khi được kết hợp với rửa tiền và che giấu,” cô nói thêm. Bản cáo trạng cáo buộc Spalletta đã thực hiện một cuộc tấn công đầu tiên vào ngày 8 tháng 4 năm 2021, khai thác một lỗi theo dõi phần thưởng trong các hợp đồng thông minh của Uranium để rút cạn lặp đi lặp lại một nhóm thanh khoản (liquidity pool) khoảng 1,4 triệu đô la.  Khoảng hai tuần sau, anh ta viết cho một cá nhân khác: “I did a crypto heist of $1.5MM… There was a bug in a smart contract, and I exploited it… Crypto is all fake internet money anyway.” Các cơ quan chức năng cho biết sau đó anh ta đã trả lại phần lớn số tiền bị đánh cắp sau khi đàm phán với nền tảng, nhưng giữ lại khoảng 386.000 đô la theo cái mà các công tố viên mô tả là một thỏa thuận “bug bounty” giả mạo. Vào ngày 28 tháng 4, anh ta bị cáo buộc đã khai thác một lỗ hổng khác trên 26 nhóm thanh khoản, thu về khoảng 53,3 triệu đô la tiền mã hóa và khiến Uranium Finance không thể tiếp tục hoạt động. Từ tháng 4 năm 2021 đến tháng 11 năm 2023, Spalletta bị cáo buộc đã chuyển khoảng 26 triệu đô la qua Tornado Cash, chuyển tiền giữa nhiều blockchain và ví để che giấu nguồn gốc của chúng.  Nhà điều tra trên chuỗi ZachXBT trước đó đã lần theo dấu vết rửa tiền trong một báo cáo vào tháng 12 năm 2023, chỉ ra cách ETH bị đánh cắp được rút khỏi bộ trộn và chuyển qua các bên môi giới để mua các bộ sưu tập giá trị cao. Các bộ sưu tập bao gồm các thẻ Magic và Pokémon hiếm, một đồng xu thời Julius Caesar, và một hiện vật của anh em nhà Wright sau đó được Neil Armstrong đưa lên mặt trăng, theo bản cáo trạng.

Tháng trước (Tháng Hai) năm ngoái, cơ quan thực thi pháp luật cũng đã tịch thu tiền mã hóa trị giá khoảng 31 triệu đô la mà các cơ quan chức năng cho rằng có liên quan đến âm mưu bị cáo buộc. Khi được hỏi liệu việc kiểm toán hoặc bảo hiểm chặt chẽ hơn có thể đã ngăn được sự sụp đổ của nền tảng hay không, Ang cho biết rằng “Các cơ chế kiểm toán và bảo hiểm mạnh hơn có thể giảm khả năng và tác động của các vụ khai thác, nhưng chúng không phải là giải pháp toàn diện.”  Các tổ chức cần một “hệ thống phòng thủ nhiều lớp,” bao gồm “các cuộc kiểm toán bảo mật định kỳ, các thực hành mã hóa an toàn, các cơ chế kiểm soát chữ ký đa, và một văn hóa an ninh vững mạnh, thay vì dựa vào bất kỳ một biện pháp bảo vệ đơn lẻ nào,” cô nói thêm.