สหรัฐฯ ตั้งข้อกล่าวหาผู้แฮ็กเกอร์ที่อยู่เบื้องหลังการฉ้อโกงการเงินยูเรเนียมมูลค่า 53 ล้านดอลลาร์

โดยสรุป

• เจ้าหน้าที่สหรัฐฯ ได้ตั้งข้อหาโจนาธาน สปาลเลตตา (Jonathan Spalletta) ฐานใช้ประโยชน์จาก Uranium Finance เพื่อระบายเงินหลายสิบล้านดอลลาร์ออกจากบริษัทที่เป็นต้นเหตุของการล่มสลาย
• อัยการกล่าวหาว่าเขาอาจได้ใช้อภิสิทธิ์จากช่องโหว่ในสัญญาอัจฉริยะ จากนั้นจึงโอนเงินผ่านมิกเซอร์และซื้อของสะสมมูลค่าสูง
• มูลค่าเกือบ $31 ล้านในคริปโทที่เชื่อมโยงกับคดีนี้ถูกยึดเมื่อปีที่แล้ว

แฮ็กเกอร์คริปโทที่ถูกกล่าวหา ซึ่งเคยอธิบายสินทรัพย์ดิจิทัลว่า “เงินปลอมบนอินเทอร์เน็ต” บัดนี้อยู่ในความควบคุมของสหรัฐฯ โดยถูกกล่าวหาว่าลงมือทำการเอ็กซ์พลอยต์มูลค่า $53 ล้าน ซึ่งช่วยทำให้การแลกเปลี่ยนแบบกระจายอำนาจล่มลง ในคดีที่ผู้เชี่ยวชาญกล่าวว่าสะท้อนให้เห็นว่าศาลกำลังพิจารณาอย่างเข้มงวดขึ้นว่า การเอ็กซ์พลอยต์จากสัญญาอัจฉริยะสามารถถูกมองว่าเป็นการกระทำที่ชอบด้วยกฎหมายได้หรือไม่ ในวันจันทร์ หน่วยงานสหรัฐฯ ได้เปิดเผยคำฟ้องที่ไม่ปิดบัง โดยกล่าวหาว่าโจนาธาน สปาลเลตตา ซึ่งเป็นที่รู้จักในชื่อ “Cthulhon” และ “Jspalletta” มีความผิดฐานฉ้อโกงทางคอมพิวเตอร์และฟอกเงิน จากความเชื่อมโยงกับเหตุโจมตีของ Uranium Finance แบบกระจายอำนาจจำนวน 2 ครั้งในปี 2021.  สปาลเลตตายอมมอบตัวต่อหน่วยงานในวันจันทร์หลังถูกตั้งข้อกล่าวหา โดยขณะนี้เขาเผชิญโทษสูงสุด 10 ปีในข้อหาฉ้อโกงทางคอมพิวเตอร์ และ 20 ปีในข้อหาฟอกเงิน

 “การขโมยจากการแลกเปลี่ยนในโลกคริปโทก็คือการขโมย—ข้อกล่าวที่ว่า ‘คริปโทไม่เหมือนกัน’ ไม่ได้เปลี่ยนแปลงอะไร” อัยการสหรัฐฯ เจย์ เคลย์ตัน (Jay Clayton) กล่าวในแถลงการณ์.  คดีนี้สอดคล้องกับความพยายามในวงกว้างเพื่อรับมือกับการเอ็กซ์พลอยต์ในระบบ DeFi ที่ผสานช่องโหว่ทางเทคนิคเข้ากับการนำเงินไปใช้ในทางที่ผิด. “แนวคิดที่ว่า ‘โค้ดคือกฎหมาย’ กำลังถูกทดสอบในศาลมากขึ้นเรื่อยๆ” แองเจลา แอง (Angela Ang) หัวหน้าฝ่ายนโยบายและความร่วมมือเชิงกลยุทธ์ประจำภูมิภาคเอเชียแปซิฟิกของ TRM Labs กล่าวกับ Decrypt.

“การใช้ประโยชน์จากช่องโหว่ในสัญญาอัจฉริยะอาจเป็นไปได้ทางเทคนิค แต่ไม่ได้หมายความว่าศาลจะมองว่าเป็นการอนุญาตให้ทำได้ตามกฎหมาย—โดยเฉพาะเมื่อมาพร้อมกับการฟอกเงินและการปกปิด” เธอกล่าวเพิ่มเติม. คำฟ้องระบุว่า สปาลเลตตามีการลงมือโจมตีครั้งแรกเมื่อวันที่ 8 เมษายน 2021 โดยใช้ประโยชน์จากบั๊กสำหรับการติดตามรางวัลในสัญญาอัจฉริยะของ Uranium เพื่อระบายสภาพคล่องของพูลราวประมาณ $1.4 ล้านซ้ำแล้วซ้ำเล่า.  ประมาณสองสัปดาห์ต่อมา เขาเขียนถึงบุคคลอีกคนว่า “ฉันทำการขโมยคริปโทมูลค่า $1.5MM… มีบั๊กในสัญญาอัจฉริยะ และฉันใช้มัน… ไม่ว่าอย่างไรก็แล้วแต่ คริปโทคือเงินปลอมบนอินเทอร์เน็ต” หน่วยงานระบุว่าเขาได้คืนเงินส่วนใหญ่ที่ถูกขโมยหลังจากเจรจากับแพลตฟอร์ม แต่เก็บไว้ประมาณ $386,000 ภายใต้สิ่งที่อัยการอธิบายว่าเป็นข้อตกลงหลอกลวงแบบ “bug bounty” เมื่อวันที่ 28 เมษายน เขาถูกกล่าวหาว่าใช้ประโยชน์จากอีกหนึ่งช่องโหว่ที่ครอบคลุมพูลสภาพคล่องจำนวน 26 พูล โดยได้มาคราวๆ $53.3 ล้านในคริปโท และทำให้ Uranium Finance ไม่สามารถดำเนินการต่อได้ ระหว่างเดือนเมษายน 2021 ถึงเดือนพฤศจิกายน 2023 สปาลเลตตามีการส่งต่อเงินราว $26 ล้านผ่าน Tornado Cash โดยโอนเงินข้ามบล็อกเชนและวอลเล็ตหลายแห่งเพื่อทำให้ที่มาของเงินถูกปกปิด.  ก่อนหน้านั้น ZachXBT นักสืบเชิงออนเชน ได้ไล่ตามร่องรอยการฟอกเงินในรายงานเดือนธันวาคม 2023 โดยระบุว่า ETH ที่ถูกขโมยถูกถอนจากมิกเซอร์อย่างไร และถูกส่งต่อผ่านโบรกเกอร์เพื่อซื้อของสะสมมูลค่าสูง. ของสะสมดังกล่าวรวมถึงการ์ด Magic และ Pokémon ที่หายาก เหรียญที่อยู่ในยุคของ จูเลียส ซีซาร์ และชิ้นงานของพี่น้องไรท์ ซึ่งต่อมาถูกส่งขึ้นไปบนดวงจันทร์โดย นีล อาร์มสตรอง ตามที่ระบุในคำฟ้อง.

เมื่อเดือนกุมภาพันธ์ปีที่แล้ว หน่วยงานบังคับใช้กฎหมายยังได้ยึดคริปโทมูลค่าประมาณ $31 ล้าน ที่หน่วยงานกล่าวว่ามีความเชื่อมโยงกับแผนการที่ถูกกล่าวหา. เมื่อถูกถามว่าการตรวจสอบที่เข้มงวดยิ่งขึ้นหรือประกันภัยอาจช่วยป้องกันการล่มสลายของแพลตฟอร์มหรือไม่ แองกล่าวว่า “กลไกการตรวจสอบที่เข้มแข็งและประกันภัยสามารถลดโอกาสและผลกระทบจากการเอ็กซ์พลอยต์ได้ แต่ไม่ใช่ยาวิเศษ” องค์กรจำเป็นต้องมีกลไกป้องกันแบบ “หลายชั้น” ซึ่งรวมถึง “การตรวจสอบความปลอดภัยเป็นประจำ แนวปฏิบัติการเขียนโค้ดที่ปลอดภัย การควบคุมแบบมัลติซิกเนเจอร์ และวัฒนธรรมความปลอดภัยที่แข็งแกร่ง แทนที่จะพึ่งพาการปกป้องเพียงอย่างเดียว” เธอกล่าวเพิ่มเติม.