Les autorités américaines inculpent le hacker derrière l'exploit de Uranium Finance de 53 millions de dollars

En bref

• Les autorités américaines ont inculpé Jonathan Spalletta d’avoir exploité Uranium Finance, en vidant de dizaines de millions de dollars l’entreprise à l’origine de son effondrement.
• Les procureurs affirment qu’il aurait abusé d’irrégularités de contrats intelligents, puis déplacé des fonds via des mixeurs et acheté des objets de collection de grande valeur.
• Environ 31 millions de dollars en crypto liés à l’affaire ont été saisis l’an dernier.

Un pirate présumé de la crypto, qui décrivait autrefois les actifs numériques comme « une fausse monnaie Internet », se trouve désormais sous garde aux États-Unis, accusé d’avoir mené une exploitation de 53 millions de dollars ayant contribué à faire tomber une bourse décentralisée, dans une affaire qu’un expert estime montrer que les tribunaux portent désormais un regard plus dur sur la question de savoir si des exploits de contrats intelligents peuvent être considérés comme licites. Les autorités américaines ont dévoilé lundi une mise en accusation visant Jonathan Spalletta, également connu sous le nom de « Cthulhon » et « Jspalletta », l’accusant de fraude informatique et de blanchiment d’argent dans le cadre de deux attaques sur Uranium Finance, une bourse décentralisée, survenues en 2021.  Spalletta s’est rendu aux autorités lundi après ces accusations, encourant désormais un maximum de 10 ans pour le chef de fraude informatique et 20 ans pour le chef de blanchiment d’argent.

 « Voler sur une bourse de crypto, c’est voler — l’affirmation selon laquelle “la crypto est différente” ne change rien. » Le procureur américain Jay Clayton a déclaré dans un communiqué.  L’affaire s’inscrit dans un effort plus large visant à traiter les exploits DeFi qui combinent des failles techniques avec un mauvais usage des fonds. « L’idée que “le code est la loi” est de plus en plus mise à l’épreuve devant les tribunaux », a déclaré Angela Ang, responsable des politiques et des partenariats stratégiques pour l’Asie-Pacifique chez TRM Labs, à Decrypt.

« Exploiter des vulnérabilités de contrats intelligents peut être techniquement possible, mais cela ne veut pas dire que les tribunaux y verront une autorisation légale — surtout lorsqu’on l’associe à un blanchiment et à une dissimulation », a-t-elle ajouté. L’acte d’accusation allègue que Spalletta a mené une première attaque le 8 avril 2021, en exploitant un bug de suivi des récompenses dans les contrats intelligents d’Uranium afin de vider à répétition un pool de liquidité d’environ 1,4 million de dollars.  Environ deux semaines plus tard, il a écrit à une autre personne : « J’ai fait un vol de crypto de 1,5MM… Il y avait un bug dans un contrat intelligent, et je l’ai exploité… La crypto, c’est de toute façon de la fausse monnaie Internet. » Les autorités affirment qu’il a ensuite rendu la majeure partie des fonds volés après avoir négocié avec la plateforme, mais qu’il a conservé environ 386 000 dollars dans ce que les procureurs décrivent comme un arrangement bidon de « bug bounty ». Le 28 avril, il aurait exploité une autre faille sur 26 pools de liquidité, obtenant environ 53,3 millions de dollars en crypto et empêchant Uranium Finance de continuer à fonctionner. Entre avril 2021 et novembre 2023, Spalletta aurait canalisé environ 26 millions de dollars via Tornado Cash, en déplaçant des fonds entre plusieurs blockchains et portefeuilles afin d’obscurcir leur origine.  Le « sleuth » on-chain ZachXBT avait auparavant retracé la piste du blanchiment dans un rapport de décembre 2023, identifiant comment l’ETH volé a été retiré du mixeur et acheminé via des courtiers pour acheter des objets de collection de grande valeur. Les objets de collection comprenaient des cartes rares Magic et Pokémon, une pièce de l’époque de Jules César, et un artefact des frères Wright, plus tard emporté vers la Lune par Neil Armstrong, selon l’acte d’accusation.

En février dernier, les forces de l’ordre ont également saisi une crypto d’une valeur d’environ 31 millions de dollars que les autorités disent liée au stratagème présumé. Lorsqu’on lui a demandé si un audit plus strict ou une assurance auraient pu empêcher l’effondrement de la plateforme, Ang a répondu que « des mécanismes d’audit et d’assurance plus solides peuvent réduire la probabilité et l’impact des exploits, mais ce n’est pas une solution miracle ». Les organisations ont besoin d’une « défense multicouche », comprenant « des audits de sécurité réguliers, des pratiques de codage sécurisé, des contrôles par multi-signature et une forte culture de sécurité, plutôt que de s’appuyer sur une seule mesure de protection », a-t-elle ajouté.