米国の検察当局は、ウラン・ファイナンス暗号資産取引所を2度にわたってハッキングし、その収益を暗号資産ミキサーを通じてロンダリングした後、5,300万ドル以上を盗んだとしてメリーランド州の男性を起訴しました。
36歳のジョナサン・スパレッタ(オンライン名「Cthulhon」および「Jspalletta」として知られている)は、月曜日に法執行機関に自首した後、米国司法判事Ona T. Wangの前に法廷に出頭しました。
スパレッタは2021年4月、分散型暗号資産取引所ウラン(Uniswapと同様の自動マーケットメーカーとして機能していた)をハッキングし、約5,330万ドル相当の暗号資産を盗んだため、資金不足を理由に同社を経営終了に追い込みました。
「容疑によると、ジョナサン・スパレッタはスマートコントラクトを繰り返しハッキングして、他人の数百万ドル相当の資金を自分のために盗み、その過程で暗号資産取引所を破壊しました」と、米国司法長官Jay Claytonが述べました。
「容疑者の『盗難』について説明する際、スパレッタは別の個人に『暗号資産は結局のところ偽のインターネットマネーに過ぎない』と話しました。暗号資産取引所からの盗難は盗難であり、『暗号資産は異なっている』という主張はそれを変えません。被害者にとって、自分の資金を奪われることは何も異なることはありません。スパレッタは実在する被害者に数千万ドルの実在の損失をもたらし、現在実在する逮捕下にあります。」
開示された起訴状によると、被告人は2つの別々の攻撃を実行しました。4月8日の最初の侵害では、スパレッタはウランのスマートコントラクトコード内の欠陥を悪用し、AmountWithBonusの変数を悪用して、ゼロトークンの引き出しコマンドを発行し、取引所が受け取る権利のないリワードを支払うことを強制し、流動性プールから約140万ドルを枯渇させました。
その後、スパレッタはウランを脅迫して、盗まれた資金のうち約386,000ドルを、残りを暗号資産取引所に返すことと引き換えに、いんちき「バグ報奨金」として割り当てさせました。
3週間後の4月28日、彼は再度攻撃し、ウランのトランザクション検証ロジックが10,000ではなく1,000を使用するようにした別の単一文字のコーディングエラーを悪用しました。
これにより、スパレッタは26の別個の流動性プールに保有される資産の約90%を引き出しながら、実質的にゼロトークンをデポジットすることができ、約5,330万ドル(ウランの保有量の圧倒的多数派)の利益を得て、暗号資産取引所を直ちに経営終了に追い込みました。
スパレッタはTornado Cash暗号資産ミキサーを通じて複数の分散型取引所で盗まれた暗号資産をロンダリングし、その収益を、約500,000ドルの「黒い蓮」マジック:ザ・ギャザリングカード、約150万ドルのアルファブースターマジックカードの18パック密閉品、約750,000ドルの初版完全ポケモン基本セット、ユリウス・カエサルの暗殺を記念した601,000ドル以上の古代ローマコインを含む、幅広い品目に費やしました。
2025年2月、法執行機関は裁判所の許可を得た捜索令状の下で彼の住宅からコレクティブを押収し、スパレッタにリンクされたウォレットから約3,100万ドルの暗号資産を回収しました。
スパレッタは現在、コンピュータ詐欺の罪で最大10年の懲役、マネーロンダリングの有罪判決を受けた場合は最大20年の懲役に直面しています。
