Хакер, який викрав $53 млн з криптобіржі, витратив мільйони на рідкісні картки покемонів

Офіс прокурора Південного округу Нью-Йорка звинуватив 36-річного жителя штату Меріленд у крадіжці понад $53 мільйонів в результаті двох зламів децентралізованої криптовалютної біржі Uranium Finance та відмивання отриманих коштів через криптовалютний міксер Tornado Cash. 

Затриманий Джонатан Спаллетта (відомий в інтернеті як Cthulhon або Jspalletta) постав перед судом після того, як вчора, 30 березня, здався правоохоронним органам.

У квітні 2021 року Спаллетта зламав та викрав майже всі кошти з DeFi-біржі Uranium, яка працювала як автоматизований криптовалютний маркет-мейкер, подібний до Uniswap. Це змусило компанію відразу закритися через брак ліквідності.

Згідно з матеріалами справи, підсудний здійснив дві окремі атаки. Під час першого зламу, 8 квітня 2021 року, Спаллетта скористався недоліком у коді смарт-контракту Uranium, зловживаючи змінною AmountWithBonus для видачі команд на виведення токенів. Це позбавило біржу приблизно $1,4 мільйона.

Після цього Спаллетта вимагав у Uranium $386 000 викрадених коштів як фіктивну «винагороду за виявлення помилок» в обмін на повернення решти.

Через три тижні, 28 квітня, він знову атакував платформу, використавши помилку кодування з одного символу. Вона призвела до того, що логіка перевірки транзакцій Uranium використовувала 1000 замість 10 000.

Помилка в коді дозволила Спаллетті вивести майже 90% активів, які зберігалися в 26 окремих пулах ліквідності. Це принесло йому приблизно $53,3 мільйона (переважна більшість активів Uranium) та змусило криптовалютну біржу негайно закритися.

Спаллетта відмив викрадені криптоактиви на кількох децентралізованих біржах через криптовалютний міксер Tornado Cash. Гроші він витрачав на широкий спектр товарів, включаючи колекційну карту гри Magic: The Gathering «Black Lotus» вартістю приблизно $500 000, 18 запечатаних пакунків карт Alpha Booster Magic приблизно за $1,5 мільйона, повний базовий набір покемонів першого видання приблизно за $750 000 та давньоримську монету, присвячену вбивству Юлія Цезаря, вартістю понад $601 000.

У лютому 2025 року правоохоронні органи США вилучили колекційні предмети з його помешкання на підставі судового ордеру на обшук та вилучили приблизно $31 мільйон у криптовалюті з гаманців, пов’язаних зі Спаллеттою.

Тепер хакеру загрожує до 10 років ув’язнення за комп’ютерне шахрайство та до 20 років, якщо його визнають винним у відмиванні грошей.

Нагадаємо, що хакери використовують критичну вразливість Zimbra для атак на українські державні установи.

Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn