AS Menuntut Peretas di Balik Serangan Eksploitasi Uranium Finance senilai $53 Juta

Singkatnya

• Otoritas AS telah mendakwa Jonathan Spalletta karena mengeksploitasi Uranium Finance, menguras puluhan juta dolar dari perusahaan yang memicu keruntuhannya.
• Jaksa mengatakan bahwa ia diduga menyalahgunakan kelemahan pada kontrak pintar, lalu memindahkan dana melalui mixer dan membeli koleksi bernilai tinggi.
• Sekitar $31 juta dalam kripto yang terkait dengan kasus ini disita tahun lalu.

Seorang peretas kripto yang diduga pernah menggambarkan aset digital sebagai “uang internet palsu” kini berada dalam tahanan AS, didakwa melakukan eksploit bernilai $53 juta yang membantu menjatuhkan bursa terdesentralisasi, dalam sebuah perkara yang menurut seorang ahli menunjukkan bahwa pengadilan sedang melihat lebih ketat apakah eksploit kontrak pintar dapat diperlakukan sebagai tindakan yang sah. Otoritas AS pada Senin membuka segel surat dakwaan yang menuduh Jonathan Spalletta, yang juga dikenal sebagai “Cthulhon” dan “Jspalletta,” dengan penipuan komputer dan pencucian uang terkait dua serangan pada 2021 terhadap Uranium Finance, sebuah bursa terdesentralisasi.  Spalletta menyerahkan diri kepada otoritas pada Senin setelah dakwaan tersebut, kini menghadapi maksimal 10 tahun untuk dakwaan penipuan komputer dan 20 tahun untuk dakwaan pencucian uang.

 “Mencuri dari bursa kripto adalah mencuri—klaim bahwa ‘kripto itu berbeda’ tidak mengubah apa pun.” Jaksa Agung AS Jay Clayton mengatakan dalam sebuah pernyataan.  Kasus ini masuk ke dalam upaya yang lebih luas untuk menangani eksploit DeFi yang menggabungkan celah teknis dengan penyalahgunaan dana. “Gagasan bahwa ‘kode adalah hukum’ semakin diuji di pengadilan,” kata Angela Ang, kepala kebijakan dan kemitraan strategis untuk Asia Pasifik di TRM Labs, kepada Decrypt.

“Mengeksploitasi kerentanan kontrak pintar mungkin secara teknis memungkinkan, tetapi itu tidak berarti bahwa pengadilan akan memandangnya sebagai tindakan yang diizinkan secara hukum—terutama jika disandingkan dengan pencucian dan upaya penyamaran,” tambahnya. Surat dakwaan menuduh Spalletta melancarkan serangan pertama pada 8 April 2021, dengan mengeksploitasi bug pelacakan imbalan pada kontrak pintar Uranium untuk berulang kali menguras sebuah liquidity pool sekitar $1,4 juta.  Kira-kira dua minggu kemudian, ia menulis kepada individu lain, “Saya melakukan perampokan kripto sebesar $1,5MM… Ada bug di smart contract, dan saya mengeksploitasinya… Lagi-lagi, Crypto itu semua uang internet palsu.” Otoritas mengatakan bahwa ia kemudian mengembalikan sebagian besar dana yang dicuri setelah bernegosiasi dengan platform, namun menyimpan sekitar $386.000 di bawah skema “bug bounty” palsu yang menurut jaksa. Pada 28 April, ia diduga mengeksploitasi cacat lain di 26 liquidity pool, memperoleh sekitar $53,3 juta dalam bentuk kripto dan membuat Uranium Finance tidak mampu melanjutkan operasionalnya. Antara April 2021 dan November 2023, Spalletta diduga mengalirkan sekitar $26 juta melalui Tornado Cash, memindahkan dana di berbagai blockchain dan dompet untuk mengaburkan asal-usulnya.  Pelacak onchain ZachXBT sebelumnya menelusuri jejak pencucian tersebut dalam laporan Desember 2023, mengidentifikasi bagaimana ETH yang dicuri ditarik dari mixer dan diarahkan melalui broker untuk membeli koleksi bernilai tinggi. Koleksi tersebut mencakup kartu Magic dan Pokémon yang langka, sebuah koin era Julius Caesar, serta artefak milik Wright bersaudara yang kemudian dibawa ke bulan oleh Neil Armstrong, menurut surat dakwaan.

Pada Februari lalu, penegak hukum juga menyita kripto senilai sekitar $31 juta yang menurut otoritas terkait dengan skema yang diduga itu. Saat ditanya apakah audit yang lebih ketat atau asuransi dapat mencegah runtuhnya platform, Ang mengatakan bahwa “Mekanisme audit dan asuransi yang lebih kuat dapat mengurangi kemungkinan dan dampak eksploit, tetapi itu bukan solusi yang pasti.” Organisasi membutuhkan “pertahanan berlapis,” termasuk “audit keamanan berkala, praktik pengkodean yang aman, kontrol multi-tanda tangan, dan budaya keamanan yang kuat, alih-alih mengandalkan satu perlindungan saja,” tambahnya.