Le pirate d’Uranium Finance a été arrêté ! Il a volé 54 millions de cryptomonnaies, peine maximale de 30 ans

Le 31 mars, le résident du Maryland Jonathan Spalletta s’est rendu aux autorités, faisant face à des poursuites de la part du Bureau du procureur fédéral pour le district sud de New York (SDNY) concernant deux attaques informatiques qu’il aurait menées en 2021 contre le protocole DeFi d’Uranium Finance sur la chaîne BNB Chain. Les attaques ont entraîné des pertes de cryptomonnaies de plus de 54 millions de dollars, conduisant à la fermeture de la plateforme.

Chronologie des deux attaques : deux coups réussis en un mois, la plateforme annonce sa chute

Uranium Finance est une branche de protocole de type teneur de marché automatisé (AMM) sur BNB Chain basée sur l’architecture d’Uniswap, lancée en avril 2021 pendant le bull market. L’acte d’accusation indique que Spalletta a réalisé deux attaques sophistiquées en moins d’un mois :

Première attaque (8 avril) : La plateforme venait à peine d’être mise en ligne que Spalletta a exploité une faille dans un contrat intelligent pour extraire des récompenses en cryptomonnaies largement supérieures à ce qui était autorisé, volant environ 1,4 million de dollars. Par la suite, Uranium Finance et le pirate ont conclu une entente privée, récupérant l’intégralité des fonds volés à l’exception de 386 000 dollars.

Deuxième attaque (28 avril) : L’ampleur a considérablement augmenté. Spalletta a exploité une faille critique dans des contrats contrôlant les plafonds de retrait de 26 pools de liquidité distincts, volant environ 53,3 millions de dollars d’actifs cryptographiques, couvrant Bitcoin (BTC), Ethereum (ETH) et le token natif de la plateforme. Après la deuxième attaque, le site d’Uranium Finance a fermé ; les victimes n’ont reçu aucune compensation à ce jour.

Étrange destination des fonds volés : des cryptomonnaies échangées contre des vestiges historiques et des cartes de collection

L’acte d’accusation révèle l’utilisation la plus inattendue des fonds volés. Lors d’une perquisition au domicile de Spalletta, les forces de l’ordre ont trouvé :

Cartes Pokémon (Pokémon Cards) : Une collection de cartes rares achetées avec les cryptomonnaies volées

Pièces de l’ancienne Rome : Des monnaies anciennes physiques datant de l’époque de l’Empire romain

Tissu des avions des frères Wright : Des fragments rares de vestiges historiques provenant des avions originaux des frères Wright

En février 2025, les autorités avaient déjà saisi environ 31 millions de dollars de cryptomonnaies liés à cette affaire, mais aucune autre information détaillée n’avait alors été rendue publique. La publication de cet acte d’accusation a seulement permis de divulguer entièrement les résultats de l’enquête sur le flux des fonds.

Chefs d’accusation : fraude informatique et blanchiment d’argent, jusqu’à 30 ans de prison

Spalletta fait face à deux accusations criminelles fédérales : une condamnation maximale de 10 ans pour fraude informatique, et une condamnation maximale de 20 ans pour blanchiment d’argent, soit une peine totale maximale pouvant aller jusqu’à 30 ans. Il s’est présenté devant le juge de district fédéral Ona Wang pour une audience, et a officiellement entendu l’acte d’accusation.

Dans une déclaration, le procureur américain Jay Clayton a souligné : « Voler sur des échanges de cryptomonnaies, c’est voler, et l’argument selon lequel “les cryptomonnaies sont différentes” ne change rien à cette réalité. Spalletta a causé des pertes de plusieurs dizaines de millions de dollars à des victimes réelles, et il a maintenant été arrêté. »

2021 a été une année particulièrement dense en attaques informatiques DeFi : les pertes sur l’ensemble de l’année ont dépassé 2,6 milliards de dollars, et la plus importante transaction unique a été l’incident de 610 millions de dollars contre le protocole inter-chaînes Poly Network (l’attaquant a ensuite restitué volontairement les fonds). La particularité de l’affaire Uranium Finance est que, jusqu’à présent, les victimes n’ont reçu aucune compensation.

FAQ

Pourquoi la deuxième attaque contre Uranium Finance a-t-elle causé une perte aussi importante ?

La deuxième attaque a exploité une faille logique dans les contrats intelligents d’Uranium contrôlant les plafonds de retrait de 26 pools de liquidité indépendants. L’attaquant a contourné les limites de retrait de l’ensemble des pools via une opération unique et précise, vidant d’un coup la grande majorité des actifs du protocole, avec une ampleur de 53,3 millions de dollars, ce qui a fait perdre toute liquidité à la plateforme et l’a forcée à fermer définitivement.

Pourquoi l’achat de cartes Pokémon et de pièces de l’ancienne Rome peut-il être qualifié de blanchiment d’argent ?

Les éléments constitutifs du blanchiment d’argent incluent la disposition des produits illégaux par quelque moyen que ce soit, de manière à leur donner une apparence de source légitime ou à les rendre difficiles à retracer. Convertir des cryptomonnaies volées en objets de collection physiques correspond à une technique typique de blanchiment « en plusieurs couches » : transformer des actifs numériques en forme physique, dissimuler l’origine des fonds tout en conservant la valeur des actifs, ce qui répond à la définition légale du délit de blanchiment d’argent.

Les victimes d’Uranium Finance peuvent-elles obtenir une compensation à partir de cette poursuite ?

Les autorités ont déjà saisi environ 31 millions de dollars de cryptomonnaies liés à cette affaire en février 2025. Si une condamnation est prononcée, le tribunal pourrait émettre une ordonnance de confiscation d’actifs et exiger une indemnisation des victimes. Cependant, la capacité à récupérer des fonds et le montant qui pourrait être récupéré dépendent des progrès de la procédure judiciaire ultérieure. Les victimes font pour l’instant face à un niveau élevé d’incertitude.