かつてデジタル資産を「偽のインターネットマネー」と表現したことがあるとされる仮想通貨ハッカーが、現在は米国の拘束下に置かれており、分散型取引所の崩壊を助けた5,300万ドル規模のエクスプロイトを実行したとして告発されている。専門家は、この案件は、スマートコントラクトのエクスプロイトを適法なものとして扱えるかどうかについて、裁判所がより厳しく見ていることを示しているという。 月曜日、米国当局は、分散型取引所Uranium Financeに対する2021年の2件の攻撃に関連して、コンピュータ詐欺およびマネーロンダリングの罪でJonathan Spalletta(「Cthulhon」および「Jspalletta」とも呼ばれる)への起訴状を公開した。 Spallettaは月曜日に起訴を受け当局に出頭し、現在、コンピュータ詐欺の罪で最大10年、マネーロンダリングの罪で最大20年の刑に直面している。
「仮想通貨取引所から盗むのは盗みだ。『仮想通貨は違う』という主張はそれを変えない。」米国司法長官Jay Claytonは声明で述べた。 この事件は、技術的な抜け穴と資金の不正使用を組み合わせたDeFiのエクスプロイトに対処する、より広範な取り組みに位置づけられる。 「『コードは法である』という考え方は、裁判でますます検証されつつある」と、TRM Labsのアジア太平洋地域における政策・戦略的パートナーシップ責任者Angela Angは_Decrypt_に語った。
「スマートコントラクトの脆弱性を悪用することが技術的に可能であるとしても、それが法的に許容されると裁判所が見なすことを意味するわけではない。特に、それがマネーロンダリングや隠蔽と組み合わさっている場合はなおさらだ」と彼女は付け加えた。 起訴状によれば、Spallettaは2021年4月8日に最初の攻撃を実行し、Uraniumのスマートコントラクトにある報酬追跡のバグを悪用して、約140万ドルの流動性プールを繰り返し流出させたという。 それから約2週間後、彼は別の個人に「$1.5MMの仮想通貨強奪をした… スマートコントラクトのバグがあって、それを悪用した… とにかく仮想通貨は全部、偽のインターネットマネーだ」と書いた。 当局は、彼がプラットフォームと交渉した後に盗まれた資金の大半を返したと述べているが、検察側が「見せかけのバグバウンティ」だと説明する取り決めに基づいて、約386,000ドルを手元に残したという。 4月28日、彼はさらに別の欠陥を26の流動性プールにまたがって悪用したとされ、約5,330万ドルの仮想通貨を獲得し、Uranium Financeが運営を継続できなくなった。 2021年4月から2023年11月まで、Spallettaは約2,600万ドルをTornado Cash経由で流し、複数のブロックチェーンとウォレット間で資金を移動させて出所を秘匿したとされる。 オンチェーンの捜査で知られるZachXBTは、2023年12月のレポートで、盗まれたETHがミキサーからどのように引き出され、ブローカーを通じて高額なコレクティブルを購入するためにどのようにルーティングされたかを特定し、マネーロンダリングの経路を以前に追跡していた。 起訴状によれば、コレクティブルには、希少なMagicおよびPokémonカード、ユリウス・カエサー時代のコイン、そしてのちにNeil Armstrongによって月へ運ばれたライト兄弟の遺物が含まれていた。
先月2月、治安当局も、当局が申し立てるところの疑惑スキームに関連していたとする約31百万ドル相当の仮想通貨を押収した。 監査の強化や保険が、プラットフォームの崩壊を防げたのではないかと問われると、Angは「より強力な監査と保険の仕組みは、エクスプロイトの可能性や影響を減らし得ますが、それは万能の解決策ではありません。」と述べた。 組織には「多層的な防御」が必要であり、その内訳として「定期的なセキュリティ監査、セキュアなコーディング慣行、マルチシグの統制、そして強固なセキュリティ文化など」が挙げられ、「単一のセーフガードに頼る」のではなく、これらを含めるべきだと彼女は付け加えた。
