HackerangriffeCyberkriminalitätSchwachstellen

Hacker zu 53 Millionen Dollar Diebstahl angeklagt: Der Fall Jonathan Spalletta

Hacker zu 53 Millionen Dollar Diebstahl angeklagt: Der Fall Jonathan Spalletta
Zusammenfassung

Ein 36-jähriger Mann aus Maryland wurde von US-Behörden angeklagt, mehr als 53 Millionen Dollar von der Kryptobörse Uranium Finance gestohlen zu haben. Der unter den Online-Alias „Cthulhon" und „Jspalletta" bekannte Jonathan Spalletta führte zwei separate Hackerangriffe durch, bei denen er Sicherheitslücken im Smart-Contract-Code der dezentralisierten Exchange exploitierte. Beim ersten Angriff im April 2021 stahl er rund 1,4 Millionen Dollar, versuchte danach die Plattform mit einer Lösegeldforderung zu erpressen. Drei Wochen später gelang ihm ein zweiter Angriff durch Ausnutzung eines einzelnen Programmierfehlers, mit dem er etwa 90 Prozent der Vermögenswerte aus 26 Liquiditätspools abzog – insgesamt rund 53,3 Millionen Dollar. Die gestohlenen Kryptoassets wurden über den Tornado Cash Mixer gewaschen. Spalletta gab die Gelder für Sammlerstücke wie Magic-Karten, Pokémon-Sets und antike Münzen aus. Das Verfahren verdeutlicht die erheblichen Risiken von Smart-Contract-Schwachstellen und illustriert die Vulnerabilität dezentralisierter Finanzanwendungen. Für deutsche Nutzer und Unternehmen im Kryptobereich wird damit die Bedeutung strenger Code-Audits und Sicherheitsstandards unterstrichen, zumal ähnliche technische Anfälligkeiten auch hiesige Plattformen gefährden könnten.

Der Fall Jonathan Spalletta zeigt die verheerenden Auswirkungen gezielter Cyberangriffe auf Kryptobörsen. Der Maryland-Mann führte zwei separate Attacken auf Uranium Finance durch, eine automatisierte Marktmacherbörse ähnlich Uniswap, mit verheerenden Folgen.

Bei der ersten Attacke am 8. April 2021 nutzte Spalletta eine Schwachstelle in der Smart-Contract-Code aus und manipulierte die “AmountWithBonus”-Variable. Dies ermöglichte ihm, Abhebungen mit Null-Token-Befehlen zu erstellen und dadurch 1,4 Millionen Dollar aus dem Liquiditätspool zu entnehmen. Besonders dreist war sein anschließender Erpressungsversuch: Er zwang Uranium, die gestohlenen Mittel als gefälschte “Bug-Bounty”-Zahlung von knapp 386.000 Dollar zu deklarieren.

Nur drei Wochen später folgte der Knock-out-Schlag. Am 28. April entdeckte Spalletta einen verheerend einfachen Fehler: Eine einzelne Zahl im Code war falsch – die Transaktionsprüfung nutzte 1.000 statt 10.000. Diese winzige Schwachstelle ermöglichte es ihm, fast 90 Prozent der Vermögenswerte aus 26 Liquiditätspools abzuziehen, während er praktisch keine Tokens hinterlegte. Das Ergebnis: 53,3 Millionen Dollar Raub und der unmittelbare Zusammenbruch der Exchange.

Um seine Beute zu verstecken, bediente sich Spalletta des Kryptomixers Tornado Cash und verteilte die Gelder über dezentralisierte Börsen. Das Besondere: Er gab das Geld mit großzügiger Hand aus – für eine seltene Magic: The Gathering “Black Lotus”-Karte zahlte er etwa 500.000 Dollar, für eine erste Edition Pokémon-Basis-Set rund 750.000 Dollar. Auch antike römische Münzen und weitere Sammlerstücke im Wert von über 2 Millionen Dollar erwarb er.

Im Februar 2025 endete Spalletts Triumphzug: Unter richterlichem Beschluss beschlagnahmten die Behörden die Sammlerstücke und konnten zudem etwa 31 Millionen Dollar in Kryptowährung aus seinen Wallets sicherstellen.

Die Anklage ist erheblich: Bis zu 10 Jahre für Computerbetrug und bis zu 20 Jahre wegen Geldwäsche drohen. U.S. Attorney Jay Clayton kommentierte deutlich: “Für die Opfer ist es nicht egal, ob ihr Geld aus einer Krypto-Börse gestohlen wird oder nicht. Diebstahl ist Diebstahl.” Ein wichtiger Fall, der deutschen Unternehmen im DeFi-Sektor zeigt, wie kritisch sichere Smart-Contract-Audits sind.

Ähnliche Artikel