Un homme du Maryland est accusé par le parquet américain d’avoir dérobé plus de 53 millions de dollars. Il aurait piraté à deux reprises la plateforme d’échange de cryptomonnaies Uranium Finance avant de blanchir son butin via un service de mélange.
Jonathan Spalletta, 36 ans, a comparu devant la magistrate américaine Ona T. Wang après s’être rendu aux autorités lundi. L’homme, connu en ligne sous les pseudonymes « Cthulhon » et « Jspalletta », est formellement inculpé pour ses actes.
Selon les faits reprochés, sa première attaque a eu lieu le 8 avril 2021. Spalletta a exploité une faille dans le smart contract d’Uranium Finance, une plateforme de type automated market maker. En abusant d’une variable de code nommée AmountWithBonus, il a forcé le système à lui verser des récompenses auxquelles il n’avait pas droit, drainant ainsi pour 1,4 million de dollars de liquidités.
Trois semaines plus tard, le 28 avril, il a frappé une seconde fois. Cette attaque reposait sur une erreur de codage d’un seul caractère, modifiant un multiplicateur dans la logique de vérification. Cette faille lui a permis de retirer près de 90% des actifs de 26 pools de liquidité différents, soit un gain d’environ 53,3 millions de dollars. Cette perte a contraint la plateforme à cesser immédiatement son activité.
Pour dissimuler l’origine des cryptomonnaies volées, Spalletta a eu recours au mélangeur Tornado Cash. Il a ensuite converti une partie des gains en objets de collection de grande valeur, comme une carte « Black Lotus » de Magic: The Gathering acquise pour 500 000 dollars, des packs originaux de cartes Magic pour 1,5 million de dollars, un set Pokémon de première édition complet pour 750 000 dollars, et même une pièce de monnaie romaine commémorant l’assassinat de Jules César, payée plus de 601 000 dollars.
Une perquisition à son domicile en février 2025, autorisée par un tribunal, a permis aux forces de l’ordre de saisir l’ensemble de ces objets. Elles ont également saisi environ 31 millions de dollars en cryptomonnaies sur des portefeuilles numériques liés à l’accusé.
Jonathan Spalletta encourt une peine pouvant aller jusqu’à 10 ans de prison pour fraude informatique, et jusqu’à 20 ans supplémentaires pour blanchiment d’argent.