Mỹ truy tố tin tặc đứng sau vụ khai thác lỗ hổng Uranium Finance trị giá 53 triệu USD
Jonathan Spalletta đối mặt với 30 năm tù sau khi khai thác lỗ hổng của Uranium Finance, chiếm đoạt 53 triệu USD rồi rửa tiền qua Tornado Cash.
Giới chức Mỹ vừa công bố bản cáo trạng đối với Jonathan Spalletta, còn được biết đến với biệt danh “Cthulhon”, với các tội danh gian lận máy tính và rửa tiền liên quan đến hai cuộc tấn công nhằm vào Uranium Finance, một sàn giao dịch phi tập trung, trong năm 2021.
Nếu bị kết án về toàn bộ các tội danh, bị cáo có thể đối mặt với mức án tối đa 30 năm tù. Công tố viên liên bang Jay Clayton tuyên bố thẳng thắn rằng trộm cắp từ sàn tài sản mã hóa vẫn là trộm cắp, bất kể lập luận về sự khác biệt của tài sản mã hóa.
Theo cáo trạng, Spalletta thực hiện cuộc tấn công đầu tiên vào ngày 8/4/2021, khai thác lỗi trong cơ chế theo dõi phần thưởng của hợp đồng thông minh Uranium để liên tục rút khoảng 1,4 triệu USD tài sản từ một bể thanh khoản. Sau đó, hắn thương lượng hoàn trả phần lớn số tiền, giữ lại 386.000 USD dưới danh nghĩa một thỏa thuận “tiền thưởng tìm lỗi” mà công tố viên mô tả là giả tạo.
Chỉ hai tuần sau sự kiện đó, Spalletta nhắn tin cho một người quen: “Tôi vừa thực hiện một vụ cướp tài sản mã hóa trị giá 1,5 triệu USD… Dù sao thì tài sản mã hóa cũng chỉ là tiền internet giả.”
Khi “mã nguồn là pháp luật” không còn là lá chắn pháp lý
Ngày 28/4/2021, Spalletta tiếp tục khai thác một lỗ hổng khác trên 26 bể thanh khoản, chiếm đoạt khoảng 53,3 triệu USD và khiến Uranium Finance không thể tiếp tục hoạt động. Trong giai đoạn từ tháng 4/2021 đến tháng 11/2023, bị cáo bị cáo buộc chuyển khoảng 26 triệu USD qua Tornado Cash, luân chuyển dòng tiền qua nhiều blockchain và ví khác nhau để xóa dấu vết.
Nhà điều tra onchain ZachXBT đã lần theo đường dây rửa tiền này từ tháng 12/2023, xác định số ETH bị đánh cắp được chuyển đổi thành các tài sản vật chất có giá trị cao, bao gồm thẻ bài hiếm Magic và Pokémon, một đồng tiền cổ từ thời Julius Caesar, và một cổ vật liên quan đến anh em nhà Wright từng được Neil Armstrong mang lên Mặt Trăng. Tháng 2 năm ngoái, cơ quan thực thi pháp luật đã thu giữ lượng tài sản mã hóa trị giá khoảng 31 triệu USD liên quan đến vụ việc.
Vụ án Uranium Finance đặt ra một câu hỏi lớn hơn cho toàn bộ hệ sinh thái DeFi: liệu việc khai thác lỗ hổng kỹ thuật trong hợp đồng thông minh có thể được biện hộ là hành vi hợp pháp hay không. Angela Ang từ TRM Labs nhận định quan điểm “mã nguồn là pháp luật” đang ngày càng bị thử thách tại tòa án, đặc biệt khi hành vi khai thác đi kèm với rửa tiền và che giấu nguồn gốc tài sản.
Bà cũng nhấn mạnh rằng các nền tảng DeFi cần áp dụng mô hình phòng vệ nhiều lớp, kiểm toán an ninh định kỳ, lập trình an toàn, kiểm soát đa chữ ký, thay vì phụ thuộc vào bất kỳ biện pháp bảo vệ đơn lẻ nào, bởi không có giải pháp nào là vạn năng trước những kẻ tấn công có chủ đích và năng lực kỹ thuật cao.
Nguồn: phocapblockchain.net
What's Your Reaction?
