Giới chức Mỹ đã công bố bản cáo trạng đối với người đàn ông bị cáo buộc đứng sau vụ tấn công Uranium Finance — một nền tảng tài chính phi tập trung (DeFi) nay đã ngừng hoạt động sau khi thất thoát hơn 54 triệu USD qua hai vụ khai thác lỗ hổng vào năm 2021.
Văn phòng Biện lý Liên bang Mỹ tại Quận Nam New York (SDNY) hôm thứ Hai đã cáo buộc Jonathan Spalletta, cư dân bang Maryland, thực hiện hai vụ tấn công riêng biệt nhằm vào Uranium Finance trong tháng 4/2021. Người này cũng đã ra đầu thú trước nhà chức trách trong cùng ngày.
Trong một tuyên bố, Công tố viên Liên bang Jay Clayton cho biết Spalletta đã khai thác lỗ hổng trong smart contractđể chiếm đoạt hàng triệu USD từ Uranium Finance, khiến sàn buộc phải đóng cửa do cạn kiệt nguồn vốn.
“Chiếm đoạt tài sản từ một sàn giao dịch crypto cũng là hành vi trộm cắp — việc cho rằng ‘crypto là khác biệt’ không làm thay đổi bản chất đó. Với các nạn nhân, việc bị lấy mất tiền của họ không có gì là khác biệt. Spalletta đã khiến các nạn nhân thực sự phải gánh chịu những khoản thiệt hại thực sự lên tới hàng chục triệu USD, và giờ đây hắn đã thực sự bị bắt giữ,” ông nói thêm.
Uranium Finance là một fork trên BNB Chain của AMM Uniswap, được ra mắt vào tháng 4/2021 trong giai đoạn thị trường tăng giá. Trang web của dự án đã ngừng hoạt động sau vụ tấn công thứ hai, và các nạn nhân kể từ đó hầu như không nhận được câu trả lời thỏa đáng.
Hai vụ hack chỉ trong cùng một tháng đã “xóa sổ” sàn giao dịch
Uranium Finance hứng chịu vụ hack đầu tiên trị giá 1,4 triệu USD vào ngày 8/4/2021, chỉ vài ngày sau khi ra mắt, khi một tác nhân xấu khai thác lỗ hổng smart contract để “rút số phần thưởng bằng tiền mã hóa lớn hơn rất nhiều” so với mức họ được phép nhận, theo Văn phòng Biện lý Liên bang Mỹ tại Quận Nam New York.
Sau đó, nền tảng đã đạt được một thỏa thuận dàn xếp riêng với hacker, qua đó thu hồi lại toàn bộ số tài sản bị đánh cắp, ngoại trừ 386.000 USD.
Trong vụ tấn công thứ hai với quy mô lớn hơn diễn ra vài tuần sau, vào ngày 28/4, kẻ tấn công đã lợi dụng lỗi trong smart contract của Uranium liên quan đến giới hạn rút tiền trên 26 pool thanh khoản riêng biệt để chiếm đoạt 53,3 triệu USD tài sản số, bao gồm Bitcoin (BTC), Ether (ETH) và token U92 — đồng coin gốc của nền tảng.
Số tiền bị đánh cắp bị cáo buộc đã được dùng để mua thẻ Pokémon, tiền xu La Mã cổ
Các công tố viên cáo buộc số tài sản bị chiếm đoạt đã được sử dụng để mua nhiều món đồ sưu tầm, bao gồm thẻ Pokémon, tiền xu La Mã cổ và một mảnh vải từ chiếc máy bay nguyên bản của anh em nhà Wright. Những vật phẩm này đã bị thu giữ trong quá trình khám xét nơi ở của Spalletta.
Bên liên quan: Fenbushi co-founder offers bounty to recover $42M lost in 2022 hack
Vào tháng 2 năm ngoái, giới chức đã tịch thu 31 triệu USD tài sản mã hóa có liên quan đến vụ tấn công, nhưng khi đó không công bố thêm chi tiết.
Spalletta bị truy tố với một tội danh gian lận máy tính, có khung hình phạt tối đa 10 năm tù, và một tội danh rửa tiền, với mức án tối đa 20 năm tù.
Người này dự kiến ra trình diện trước Thẩm phán Liên bang Ona Wang vào thứ Hai để chính thức nghe công bố các cáo buộc.
Ước tính, các tác nhân xấu đã đánh cắp hơn 2,6 tỷ USD thông qua các vụ hack và khai thác lỗ hổng trong năm 2021, trong đó lớn nhất là vụ tấn công 610 triệu USD vào giao thức DeFi cross-chain Poly Network. Sau đó, hacker đã hoàn trả lại số tiền, và đội ngũ dự án mô tả đây là một hành động white hat.
Tạp chí: Morgan Stanley Bitcoin ETF undercuts BlackRock, SBF pardon unlikely: Hodler’s Digest, Mar. 22 – 28
Cointelegraph cam kết theo đuổi nền báo chí độc lập và minh bạch. Bài viết này được thực hiện theo Chính sách Biên tập của Cointelegraph, nhằm cung cấp thông tin chính xác và kịp thời. Độc giả được khuyến nghị tự xác minh thông tin một cách độc lập. Vui lòng tham khảo Chính sách Biên tập của chúng tôi. https://cointelegraph.com/editorial-policy
