Un hacker ganó 53 millones de dólares por un único error tipográfico; la forma en que gastó el dinero dejó incluso al FBI sorprendido.
Lo hallado en el apartamento del ladrón no parecía botín de un profesional.
En Estados Unidos concluyó la investigación de la sonada historia sobre el hackeo del exchange de criptomonedas Uranium Finance, que hace unos años dejó de funcionar de forma repentina. La investigación identificó a la persona presuntamente responsable y reveló detalles del esquema que permitió sacar decenas de millones de dólares.
Fiscales estadounidenses acusaron a Jonathan Spalletta, de 36 años y residente de Maryland, por el robo de más de 53 millones de dólares. Según la causa, el hombre actuó bajo los seudónimos "Cthulhon" y "Jspalletta". A principios de la semana, Spalletta se entregó voluntariamente a las autoridades y compareció ante la jueza Ona Van.
Los ataques contra el exchange descentralizado Uranium Finance tuvieron lugar en abril de 2021. La plataforma operaba con un modelo de creador de mercado automatizado similar a Uniswap. El primer ataque ocurrió el 8 de abril: el atacante encontró una vulnerabilidad en el contrato inteligente y aprovechó la variable AmountWithBonus. La manipulación permitió enviar órdenes de retiro sin depositar realmente tokens, lo que provocó la extracción de alrededor de 1,4 millones de dólares del fondo de liquidez.
Tras el primer hackeo, según la fiscalía, Spalletta intentó dar apariencia de recompensa legítima por haber encontrado la vulnerabilidad. Consiguió que la plataforma pagara aproximadamente 386 000 dólares a cambio de devolver parte de los fondos.
Tres semanas después se produjo un segundo ataque. Esta vez la causa fue un error de un solo carácter en el código, por el cual el sistema de verificación de transacciones usó el coeficiente 1000 en lugar de 10000. Tal fallo permitió al atacante extraer casi el 90 % de los activos de 26 pools de liquidez sin aportar fondos propios. El daño total ascendió a alrededor de 53,3 millones de dólares, tras lo cual la plataforma cesó sus operaciones.
La investigación determinó que los activos robados pasaron por varias plataformas descentralizadas y por el mezclador de criptomonedas Tornado Cash. Parte de los fondos los gastó en objetos de colección raros: costosas cartas de Magic: The Gathering, un conjunto completo de la primera edición de Pokémon y una moneda romana antigua relacionada con el asesinato de Julio César.
En febrero de 2025 las autoridades registraron y decomisaron la colección, y además recuperaron alrededor de 31 millones de dólares en criptomonedas halladas en billeteras vinculadas. A Jonathan Spalletta le pueden imponer hasta 10 años de prisión por fraude informático y hasta 20 años por blanqueo de capitales.