Uranium Finance-Hacker festgenommen! Gestohlen: 54 Millionen Kryptowährungen, Höchststrafe 30 Jahre

Der in Maryland ansässige Jonathan Spalletta stellte sich am 31. März den Behörden und sieht sich einer Anklage des U.S. District Attorney’s Office für den Southern District of New York (SDNY) gegenüber, wegen zweier Hackerangriffe im Jahr 2021 auf das BNB-Chain-DeFi-Protokoll Uranium Finance. Die Angriffe führten zu einem Schaden von über 54 Millionen US-Dollar in Kryptowährung und brachten die Plattform zum Erliegen.

Zeitleiste der zwei Angriffe: zweimal innerhalb eines Monats erfolgreich, Plattform erklärt endgültig den Betrieb für eingestellt

Uranium Finance ist eine Fork-协议 für einen automatisierten Market Maker (AMM) auf Basis der Uniswap-Struktur auf BNB Chain, die im April 2021 während des Bullenmarkts live ging. Laut der Anklageschrift hat Spalletta innerhalb von weniger als einem Monat zwei präzise Angriffe durchgeführt:

Erster Angriff (8. April): Die Plattform war erst wenige Tage online, als Spalletta mithilfe einer Schwachstelle in Smart Contracts Krypto-Erträge abgriff, die weit über das genehmigte Maß hinausgingen, und etwa 1,4 Millionen US-Dollar stahl. Im Anschluss einigten sich Uranium Finance und der Hacker in einem privaten Vergleich darauf, alle gestohlenen Gelder außer 386.000 US-Dollar zurückzuerhalten.

Zweiter Angriff (28. April): Der Umfang wurde deutlich aufgestockt. Spalletta nutzte eine kritische Schwachstelle in einem Vertrag, der die Abhebungsobergrenzen für 26 unabhängige Liquiditätspools steuerte, und stahl kryptografische Vermögenswerte im Umfang von etwa 53,3 Millionen US-Dollar, darunter Bitcoin (BTC), Ethereum (ETH) sowie den plattform-eigenen Token. Nach dem zweiten Angriff schloss Uranium Finance die Website, und die Opfer haben bis heute keine Entschädigung erhalten.

Seltsame Verwendung der gestohlenen Gelder: Kryptowährungen wurden gegen historische Sammlungsstücke und Karten getauscht

Die Anklageschrift deckt die unerwartetste Verwendung der gestohlenen Gelder auf. Die Strafverfolgungsbehörden stellten bei einer Durchsuchung der Wohnung von Spalletta die folgenden Gegenstände sicher:

Pokémon-Karten: seltene Karten-Sammlungen, die mit gestohlenen Coins gekauft wurden

Altrömische Münzen: antike Münzen aus der Zeit des Römischen Reiches

Stoff von Flugzeugen der Gebrüder Wright: seltene historische Artefakte aus Fragmenten des Originalflugzeugs der Gebrüder Wright

Im Februar 2025 hatten die Behörden bereits vorab etwa 31 Millionen US-Dollar an Kryptowährungen sichergestellt, die mit diesem Fall in Zusammenhang stehen, jedoch wurden damals keine Details veröffentlicht. Erst mit der Veröffentlichung dieser Anklageschrift wurden die Untersuchungsergebnisse zum Geldfluss vollständig offengelegt.

Rechtliche Vorwürfe: Computerbetrug und Geldwäsche, bis zu 30 Jahre Haft

Spalletta sieht sich zwei bundesstrafrechtlichen Anklagepunkten gegenüber: Computerbetrug, der mit bis zu 10 Jahren geahndet werden kann, und Geldwäsche, die mit bis zu 20 Jahren geahndet werden kann; zusammen ergibt das eine maximale Strafdauer von bis zu 30 Jahren. Er ist vor dem US-Bundesbezirksrichter Ona Wang (Judge Ona Wang) erschienen und hat die Anklage formal vernommen.

Der US-Staatsanwalt Jay Clayton betonte in einer Erklärung: „Der Diebstahl von Kryptowährungen von einer Kryptobörse ist Diebstahl, und die Behauptung, ‚Kryptowährungen seien anders‘, ändert nichts an dieser Tatsache. Spalletta verursachte realen Opfern Schäden in Höhe von mehreren zehn Millionen Dollar, und jetzt wurde er verhaftet.“

2021 war ein Jahr, in dem DeFi-Hackerangriffe besonders gehäuft auftraten: Der gesamte jährliche Schaden belief sich auf mehr als 2,6 Milliarden US-Dollar. Der größte Einzelfall war das Ereignis über 610 Millionen US-Dollar gegen das Cross-Chain-Protokoll Poly Network (der Angreifer gab die Gelder später freiwillig zurück). Die Besonderheit im Fall Uranium Finance besteht darin, dass die Opfer bis heute keinerlei Entschädigung erhalten haben.

Häufige Fragen

Warum konnte der zweite Hackerangriff auf Uranium Finance einen so großen Schaden verursachen?

Der zweite Angriff nutzte eine Logikschwachstelle in den Uranium-Smart-Contracts aus, die die Abhebungsobergrenzen für 26 unabhängige Liquiditätspools steuerte. Indem der Angreifer mit einer einzigen präzisen Aktion alle Abhebegrenzen der Pools umging, entleerte er auf einen Schlag den Großteil der Vermögenswerte des Protokolls. Das Ausmaß erreichte 53,3 Millionen US-Dollar, wodurch der Plattform die gesamte Liquidität entzogen und sie gezwungen wurde, den Betrieb dauerhaft einzustellen.

Warum kann der Kauf von Pokémon-Karten und antiken römischen Münzen als Geldwäsche eingestuft werden?

Zu den Tatbestandsmerkmalen von Geldwäsche gehören, dass illegale Erträge auf irgendeine Weise umgehandelt werden, sodass sie einen legalen Ursprung vortäuschen oder schwer zurückverfolgbar sind. Die Umwandlung gestohlener Kryptowährungen in greifbare Sammlungsstücke ist eine typische Form von „Schichten“-Geldwäsche – die digitalen Vermögenswerte werden in eine physische Form übertragen, wodurch sowohl die Herkunft der Gelder verschleiert als auch der Wert der Vermögenswerte erhalten bleibt. Das entspricht der rechtlichen Definition von Geldwäsche.

Können die Opfer von Uranium Finance aus dieser Anklage Entschädigung erhalten?

Die Behörden haben im Februar 2025 etwa 31 Millionen US-Dollar an Kryptowährungen sichergestellt, die mit diesem Fall in Zusammenhang stehen. Wenn eine Verurteilung zustande kommt, kann das Gericht Anordnungen zur Einziehung von Vermögenswerten erlassen und die Entschädigung der Opfer anordnen, doch ob und in welchem Umfang Gelder zurückgeholt werden können, hängt letztlich vom Fortschritt der nachfolgenden Gerichtsverfahren ab. Die Opfer stehen derzeit nach wie vor vor großer Unsicherheit.