Хакера Uranium Finance затримали! Викрали 54 мільйони криптовалют, максимальний термін ув’язнення — 30 років

Житель штату Меріленд Джонатан Спаллетта (Jonathan Spalletta) 31 березня здався правоохоронцям, відповідаючи на звинувачення з боку Офісу федерального прокурора США у Південному окрузі Нью-Йорка (SDNY) щодо двох хакерських атак, здійснених ним у 2021 році на протокол Uranium Finance платформи DeFi на BNB Chain. Атаки спричинили криптовалютні збитки на суму понад 54 млн доларів, що призвело до закриття платформи.

Хронологія двох атак: двічі за місяць, платформа оголосила про банкрутство

Uranium Finance — це форк протоколу автоматичного маркет-мейкінгу (AMM) на BNB Chain, побудований на архітектурі Uniswap, який було запущено під час криптобичого ринку в квітні 2021 року. У матеріалах обвинувального акту зазначено, що Спаллетта менш ніж за місяць здійснив дві вивірені атаки:

Перша атака (8 квітня): платформа працювала лише кілька днів, і Спаллетта використав уразливість у смарт-контракті, щоб витягнути криптовалютні нагороди, значно більші за надані дозволи, викравши приблизно 1,4 млн доларів. Після цього Uranium Finance уклав із хакером приватну домовленість і повернув усі викрадені кошти, окрім 386 тис. доларів.

Друга атака (28 квітня): масштаб різко зріс. Спаллетта використав критичну уразливість у контракті, що впливала на ліміти виведення коштів за 26 окремими пулами ліквідності, викравши приблизно 53,3 млн доларів криптоактивів, що охоплювали біткоїн (BTC), ефір (ETH) та нативний токен платформи. Після другої атаки сайт Uranium Finance закрився, а постраждалі досі не отримали жодної компенсації.

Дивне спрямування викрадених коштів: криптовалюта обертається на історичні артефакти та колекційні картки

У обвинувальному акті розкрито найбільш несподіваний спосіб використання викрадених коштів. Під час обшуку помешкання Спаллетти правоохоронці вилучили такі предмети:

Карти покемонів (Pokémon Cards): колекція рідкісних карт, придбаних на викрачені монети

Старовинні римські монети: матеріальні давні гроші часів Римської імперії

Тканина від літака братів Райт: рідкісні фрагменти історичних артефактів, узяті з оригінального літака братів Райт

У лютому 2025 року влада вже попередньо вилучила приблизно 31 млн доларів криптовалюти, пов’язаної з цією справою, однак тоді не було оприлюднено жодних деталей. Лише публікація цього обвинувального акту повністю розкрила результати розслідування щодо руху коштів.

Юридичні обвинувачення: комп’ютерне шахрайство та відмивання грошей, до 30 років ув’язнення

Спаллетті загрожують два федеральні кримінальні обвинувачення: за злочин комп’ютерного шахрайства — до 10 років, за відмивання грошей — до 20 років; у сумі максимальний строк покарання становить до 30 років. Він з’явився перед федеральним окружним суддею Оною Ванг (Judge Ona Wang), щоб офіційно заслухати обвинувачення.

У заяві американський прокурор Джей Клейтон (Jay Clayton) підкреслив: «Викрадення з криптовалютних бірж — це крадіжка, і твердження “криптовалюта є іншою” не може змінити цей факт. Спаллетта завдав справжнім жертвам збитків на десятки мільйонів доларів, а тепер його заарештовано».

2021 рік став роком, насиченим хакерськими атаками на DeFi: загальні втрати за рік перевищили 2,6 млрд доларів, а найбільший одиничний інцидент — це подія на 610 млн доларів проти кросчейн-протоколу Poly Network (згодом атакувальник добровільно повернув кошти). Особливість справи Uranium Finance полягає в тому, що постраждалі досі не отримали жодної компенсації.

Поширені запитання

Чому друга хакерська атака на Uranium Finance змогла спричинити такі великі втрати?

Друга атака використала логічну уразливість у смарт-контракті Uranium, яка контролювала ліміти виведення коштів для 26 окремих пулів ліквідності. Атакувальник, здійснивши один точний маневр, обійшов усі обмеження на виведення коштів із пулів, одноразово спорожнивши левову частку активів протоколу. Масштаб становив 53,3 млн доларів, внаслідок чого платформа втратила всю ліквідність і була змушена назавжди закритися.

Чому покупка карт покемонів і старовинних римських монет може бути визнана відмиванням грошей?

Елементи правової конструкції відмивання грошей включають розпорядження незаконно отриманими коштами будь-яким способом, щоб вони виглядали такими, що мають законне походження, або щоб їх було важко відстежити. Перетворення викрадених криптовалют на матеріальні колекційні предмети є типовою схемою «шарування» у відмиванні — переведення цифрових активів у фізичну форму. Це приховує джерело коштів, а також зберігає цінність активів, що відповідає юридичному визначенню злочину відмивання грошей.

Чи можуть постраждалі у справі Uranium Finance отримати компенсацію в межах цього обвинувачення?

Влада вже у лютому 2025 року вилучила приблизно 31 млн доларів криптовалюти, пов’язаної з цією справою. Якщо вирок буде ухвалено, суд може видати наказ про конфіскацію активів і вимагати компенсацію жертвам, але чи вдасться повернути кошти і в якій сумі — зрештою залежить від прогресу подальших судових процедур. Наразі постраждалі все ще стикаються з високим рівнем невизначеності.