Promotores dos Estados Unidos denunciaram um homem de Maryland acusado de roubar mais de 53 milhões de dólares após invadir duas vezes a exchange de criptomoedas Uranium Finance e lavar o dinheiro usando um mixer de criptomoedas.
Jonathan Spalletta, de 36 anos, conhecido online como "Cthulhon" e "Jspalletta", se apresentou às autoridades na segunda-feira e foi levado a julgamento perante a juíza federal Ona T. Wang.
Em abril de 2021, Spalletta explorou vulnerabilidades na exchange descentralizada Uranium, que funcionava como um automated market maker similar à Uniswap.
O ataque resultou no roubo de aproximadamente 53,3 milhões de dólares em criptomoedas, o que levou a empresa a encerrar suas operações por falta de fundos.
"Como foi alegado, Jonathan Spalletta invadiu repetidamente contratos inteligentes para roubar milhões de dólares do dinheiro de outras pessoas, destruindo uma exchange de criptomoedas no processo", declarou o promotor Jay Clayton.
"Em uma conversa sobre o suposto roubo, Spalletta disse a outro indivíduo que ‘crypto é só dinheiro de mentira da internet’.
Roubar uma exchange de criptomoedas é roubar, a afirmação de que 'crypto é diferente' não muda isso.
Para as vítimas, não há diferença em ter seu dinheiro tirado.
Spalletta causou perdas reais de dezenas de milhões de dólares para vítimas reais e agora está sob custódia."
Segundo a denúncia divulgada, o réu realizou dois ataques distintos.
No primeiro, em 8 de abril, ele explorou uma falha no código do contrato inteligente da Uranium, abusando da variável AmountWithBonus para emitir comandos de retirada de tokens zero que forçaram a exchange a pagar recompensas indevidas, drenando cerca de 1,4 milhão de dólares do pool de liquidez.
Em seguida, Spalletta coagiu a Uranium a registrar aproximadamente 386 mil dólares dos fundos roubados como um falso “bug bounty”, em troca da devolução do restante.
Três semanas depois, em 28 de abril, ele voltou a atacar, explorando um erro de codificação de um único caractere que levou a lógica de verificação de transações da Uranium a usar 1.000 em vez de 10.000.
Isso permitiu que Spalletta sacasse quase 90% dos ativos de 26 pools de liquidez distintos, depositando praticamente zero tokens.
O ataque resultou no desvio de cerca de 53,3 milhões de dólares, a maior parte dos fundos da plataforma, e forçou o fechamento imediato da exchange.
Após o roubo, Spalletta utilizou múltiplas exchanges descentralizadas, passando os ativos pelo mixer de criptomoedas Tornado Cash para lavar o dinheiro.
Ele usou os recursos obtidos para adquirir diversos itens de colecionador, entre eles uma carta "Black Lotus" do Magic: The Gathering por cerca de 500 mil dólares, 18 pacotes lacrados Alpha Booster do mesmo jogo por aproximadamente 1,5 milhão, um conjunto completo da primeira edição da base de Pokémon avaliado em 750 mil dólares e uma moeda romana antiga que comemora o assassinato de Júlio César, avaliada em mais de 601 mil dólares.
Em fevereiro de 2025, a polícia apreendeu essas coleções na residência de Spalletta durante uma busca autorizada pela Justiça, recuperando também cerca de 31 milhões de dólares em criptomoedas associadas às suas wallets.
Agora, Spalletta pode cumprir até 10 anos de prisão por fraude eletrônica e até 20 anos caso seja condenado por lavagem de dinheiro.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...