US erhebt Anklage gegen Hacker hinter einem Uran-Finanzierungs-Exploit über 53 Millionen Dollar

Kurz gesagt

• US-Behörden haben Jonathan Spalletta angeklagt, indem er Uranium Finance ausgenutzt und dem Unternehmen, das zu seinem Zusammenbruch führte, zehns of Millionen Dollar entzogen habe.
• Staatsanwälte behaupten, er habe angeblich Schwächen in Smart Contracts missbraucht, später Gelder über Mixer weitergeleitet und hochwertige Sammlerstücke gekauft.
• Etwa 31 Millionen US-Dollar in Krypto, die mit dem Fall in Verbindung standen, wurden letztes Jahr beschlagnahmt.

Ein mutmaßlicher Krypto-Hacker, der digitale Assets einst als „fake internet money“ beschrieben hatte, befindet sich nun in US-Gewahrsam. Ihm wird vorgeworfen, einen Exploit über 53 Millionen US-Dollar durchgeführt zu haben, der dazu beitrug, eine dezentrale Börse zu Fall zu bringen. In einem Fall, den ein Experte so einordnet, dass Gerichte genauer prüfen, ob Smart-Contract-Exploits als rechtmäßig behandelt werden können. US-Behörden versiegelten am Montag eine Anklageschrift, in der Jonathan Spalletta, auch bekannt als „Cthulhon“ und „Jspalletta“, mit Computerbetrug und Geldwäsche in Verbindung mit zwei Angriffen im Jahr 2021 auf Uranium Finance, eine dezentrale Börse, angeklagt wird.  Spalletta stellte sich am Montag den Behörden nach den Anklagen und sieht sich nun mit bis zu 10 Jahren im Anklagepunkt Computerbetrug und 20 Jahren im Anklagepunkt Geldwäsche konfrontiert.

 „Von einer Krypto-Börse zu stehlen ist Diebstahl—die Behauptung, dass ‚Krypto anders ist‘, ändert daran nichts.“ sagte US-Staatsanwalt Jay Clayton in einer Erklärung.  Der Fall fügt sich in eine umfassendere Initiative ein, die DeFi-Exploits angehen soll, bei denen technische Schlupflöcher mit dem Missbrauch von Geldern kombiniert werden. „Die Vorstellung, dass ‚Code das Gesetz ist‘, wird vor Gericht zunehmend auf die Probe gestellt“, sagte Angela Ang, Leiterin für Politik und strategische Partnerschaften für Asien-Pazifik bei TRM Labs, gegenüber Decrypt.

„Smart-Contract-Schwachstellen auszunutzen mag technisch möglich sein, aber das heißt nicht, dass Gerichte es als rechtlich zulässig ansehen werden—insbesondere, wenn es mit Geldwäsche und Verschleierung einhergeht“, fügte sie hinzu. Die Anklageschrift behauptet, Spalletta habe am 8. April 2021 einen ersten Angriff durchgeführt und dabei einen Fehler zur Belohnungs-Überwachung in den Smart Contracts von Uranium ausgenutzt, um einen Liquiditätspool in wiederholten Abflüssen von ungefähr 1,4 Millionen US-Dollar zu entleeren.  Etwa zwei Wochen später schrieb er an eine andere Person: „Ich habe einen Krypto-Überfall über 1,5MM gemacht… Da gab es einen Bug in einem Smart Contract, und ich habe ihn ausgenutzt… Krypto ist ohnehin alles Fake internet money.“ Behörden zufolge gab er später nach Verhandlungen mit der Plattform den Großteil der gestohlenen Gelder zurück, behielt jedoch etwa 386.000 US-Dollar ein, die Staatsanwälte als eine Schein-„Bug-Bounty“-Vereinbarung beschreiben. Am 28. April habe er angeblich einen weiteren Fehler über 26 Liquiditätspools hinweg ausgenutzt, dadurch etwa 53,3 Millionen US-Dollar in Krypto erlangt und Uranium Finance daran gehindert, den Betrieb fortzusetzen. Zwischen April 2021 und November 2023 habe Spalletta angeblich etwa 26 Millionen US-Dollar über Tornado Cash umgeleitet und dabei Gelder über mehrere Blockchains und Wallets verschoben, um ihre Herkunft zu verschleiern.  Onchain-Detektiv ZachXBT hatte zuvor im Bericht vom Dezember 2023 die Geldwäsche-Spur nachverfolgt und identifiziert, wie das gestohlene ETH aus dem Mixer entnommen und über Broker weitergeleitet wurde, um hochwertige Sammlerstücke zu kaufen. Zu den Sammlerstücken gehörten seltene Magic- und Pokémon-Karten, eine Münze aus der Zeit des Julius Caesar sowie ein Artefakt der Wright-Brüder, das später von Neil Armstrong zum Mond gebracht wurde, so die Anklageschrift.

Letzten Februar beschlagnahmten Strafverfolgungsbehörden außerdem Krypto im Wert von etwa 31 Millionen US-Dollar, das Behörden zufolge mit dem angeblich zugrunde liegenden Vorgehen verbunden war. Als gefragt wurde, ob strengere Prüfungen oder Versicherungen den Zusammenbruch der Plattform hätten verhindern können, sagte Ang, dass „Stärkere Prüfungs- und Versicherungsmechanismen die Wahrscheinlichkeit und die Auswirkungen von Exploits verringern können, aber sie sind kein Allheilmittel.“ Organisationen brauchen eine „mehrschichtige Verteidigung“, einschließlich „regelmäßiger Sicherheitsscans, sicherer Coding-Praktiken, Multi-Signature-Kontrollen und einer starken Sicherheitskultur—statt sich auf irgendeine einzelne Schutzmaßnahme zu verlassen“, fügte sie hinzu.