Хакер Uranium Finance арестован! Украл 54 миллиона криптовалюты, максимальное наказание — 30 лет

Житель Мэриленда Джонатан Спаллетта (Jonathan Spalletta) 31 марта сдался властям, столкнувшись с обвинениями со стороны офиса федеральных прокуроров Южного округа Нью-Йорка (SDNY) за два хакерских нападения, совершённых им в 2021 году на DeFi-протокол Uranium Finance в сети BNB Chain. В результате атак было причинено более 54,0 млн долларов в виде потерь в криптовалюте, что привело к закрытию платформы.

Хронология двух атак: дважды за один месяц, платформа объявляет о банкротстве

Uranium Finance — ответвлённый протокол автоматического маркет-мейкинга (AMM) на базе архитектуры Uniswap в BNB Chain, который был запущен в ходе майского? бычьего рынка в апреле 2021 года. Как следует из обвинительного акта, Спаллетта менее чем за месяц провёл две точные атаки:

Первая атака (8 апреля): платформа работала всего несколько дней, когда Спаллетта использовал уязвимости в смарт-контрактах, чтобы вывести криптовалютные награды в объёме, значительно превышающем разрешённый. Он похитил примерно 1,4 млн долларов. Позже Uranium Finance и хакер договорились в частном порядке, вернув все похищенные средства, кроме 386 тыс. долларов.

Вторая атака (28 апреля): масштаб был существенно увеличен. Спаллетта воспользовался критически важной уязвимостью контрактов, влияющих на лимиты вывода средств из 26 независимых пулов ликвидности, и украл примерно 53,3 млн долларов в криптоактивах, включая биткоин (BTC), эфириум (ETH) и нативный токен платформы. После второй атаки сайт Uranium Finance был закрыт, а пострадавшие до сих пор не получили никакой компенсации.

Странные маршруты похищенных средств: криптовалюта превращается в исторические артефакты и коллекционные карточки

Обвинительный акт раскрывает самые неожиданные способы использования похищенных средств. Во время обыска в доме Спаллетты власти обнаружили следующие предметы:

Карточки Pokémon (Pokémon Cards): коллекция редких карточек, приобретённых на похищенные монеты

Древнеримские монеты: физические древние деньги времён Римской империи

Ткань от самолёта братьев Райт: редкие исторические артефакты — фрагменты оригинального самолёта братьев Райт

В феврале 2025 года власти заранее обнаружили около 31,0 млн долларов в криптовалюте, связанной с этим делом, но тогда не было раскрыто никаких подробностей. Публикация этого обвинительного акта лишь полностью раскрыла результаты расследования потоков средств.

Юридические обвинения: компьютерное мошенничество и отмывание денег, до 30 лет лишения свободы

Спаллетте предъявлены два федеральных уголовных обвинения: за компьютерное мошенничество — до 10 лет, за отмывание денег — до 20 лет; в сумме максимальный срок достигает 30 лет. Он предстал перед федеральным окружным судьёй Она Уанг (Judge Ona Wang) и официально заслушал обвинение.

Американский прокурор Джей Клейтон (Jay Clayton) в заявлении подчеркнул: «Кража с криптовалютных бирж — это кража, и утверждение, что “криптовалюта — особенная”, не меняет этого факта. Спаллетта причинил реальные ущербы живым жертвам на десятки миллионов долларов, и теперь он арестован».

2021 год стал годом массовых DeFi-атак хакеров: за весь год потери превысили 2,6 млрд долларов, а крупнейшим инцидентом стал случай на 610 млн долларов против кроссчейн-протокола Poly Network (впоследствии атакующий добровольно вернул средства). Особенность дела Uranium Finance в том, что пострадавшие до сих пор не получили никакой компенсации.

Часто задаваемые вопросы

Почему вторая хакерская атака Uranium Finance смогла привести к таким большим потерям?

Вторая атака использовала логическую уязвимость в смарт-контрактах Uranium, управляющую лимитами вывода средств для 26 независимых пулов ликвидности. Злоумышленник обошёл все ограничения на вывод за счёт одной точной операции, одномоментно опустошив подавляющую часть активов протокола. Масштаб составил 53,3 млн долларов, из-за чего платформа лишилась всей ликвидности и была вынуждена закрыться навсегда.

Почему покупка карточек Pokémon и древнеримских монет может быть признана отмыванием денег?

Юридические элементы состава отмывания денег включают в себя распоряжение незаконно полученными доходами любым способом, чтобы они выглядели имеющими законное происхождение или чтобы их было трудно отследить. Конвертация похищенных криптовалют в материальные коллекционные предметы — типичный приём «слоистого» отмывания денег: цифровые активы переводятся в физическую форму, скрывая источник средств и одновременно сохраняя ценность активов, что соответствует юридическому определению состава отмывания денег.

Могут ли пострадавшие по делу Uranium Finance получить компенсацию по этому обвинению?

Власти уже в феврале 2025 года выявили около 31,0 млн долларов в криптовалюте, связанной с этим делом. Если обвинительный приговор будет вынесен, суд может издать приказ о конфискации активов и потребовать компенсацию пострадавшим, но вопрос о том, удастся ли вернуть средства и в каком объёме, в конечном счёте зависит от хода последующих судебных процедур; в настоящее время пострадавшие по-прежнему сталкиваются с высокой степенью неопределённости.