Uranium Financeハッカー、5,400万ドル窃取容疑でついに起訴

2021年の分散型金融（DeFi）史上最大級のハッキング事件のひとつが、ようやく法的決着へ向かっている。メリーランド州ロックビル在住のJonathan Spalletta（36歳）が、分散型取引所Uranium Financeに対する2度の大規模攻撃に関連して、コンピュータ詐欺および資金洗浄の罪で正式に起訴された。

検察によると、Spallettaは巧妙に設計された一連の攻撃を通じて5,000万ドル以上の暗号資産を奪い取り、その結果Uranium Financeは即座に運営を停止せざるを得なくなったという。

二段階の攻撃手口

Complex Frauds and Cybercrime Unitの捜査により、犯行は2021年4月に二段階で実行されたことが明らかになった。

4月8日、SpallettaはUraniumのスマートコントラクトを不正に操作し、承認された範囲をはるかに超える暗号資産報酬を引き出すことに成功した。

"数週間前に150万ドルのクリプト一撃を決めた…スマートコントラクトにバグがあったから利用した…どうせクリプトはただのインターネット上の偽金だしな。"

この最初の攻撃で約140万ドルを入手したSpallettaは、その後さらに大胆な行動に出た。取得資金の一部を正当化するため、取引所を脅迫して約38万6,000ドルを偽の "バグバウンティ"（脆弱性発見報奨金）として受け取り、法的措置を取らないという約束を条件とした。

そして決定的な攻撃が2021年4月28日に実行された。流動性プールからの引き出し上限を管理するスマートコントラクトに存在した致命的な欠陥を悪用し、26のプールから推定5,330万ドル相当の資産を吸い上げた。被害の規模があまりにも甚大であったため、Uranium Financeは即座にすべての運営を停止することを余儀なくされた。日本の金融庁（FSA）やJVCEA（日本暗号資産取引業協会）がDeFiプロトコルの監督強化を検討するなか、スマートコントラクトの脆弱性対策の重要性が改めて浮き彫りになった事件である。

資金洗浄と豪奢な消費

奪取した資金はそのまま放置されることはなかった。検察は、Spallettaが犯罪収益の出所を隠すため、複雑な資金洗浄スキームを実行したと主張している。足跡を消すため、米国財務省OFAC制裁の対象にもなった暗号資産ミキサーサービスTornado Cashを利用したとされる。

"起訴状に記載されているように、Jonathan Spallettaはスマートコントラクトを繰り返しハッキングして他人の資金を数百万ドル単位で窃取し、その過程で暗号資産取引所を壊滅させました。" — 米国連邦検事 Jay Clayton

洗浄された資金は現物資産へと変換された。Spallettaは希少な収集品や古代コインへの投資など、派手な消費生活を謳歌していたとされる。しかし2025年2月、連邦捜査官が彼のウォレットに紐付く約3,100万ドル相当のデジタル資産を押収したことで、すべての行動が終わりを迎えた。

攻撃にさらされるDeFiエコシステム

Spallettaの逮捕は、DeFiエコシステムが依然として深刻なセキュリティリスクにさらされていることを改めて示している。日本国内ではbitFlyer、Coincheck、SBI VC Tradeなどの取引所が厳格なFSA規制のもとで運営されているが、国境を越えるDeFiプロトコルへの攻撃は規制の枠組みを超えたグローバルな脅威だ。PeckShieldのデータによると、2025年の暗号資産関連被害総額は40億ドルを超え、前年比34%増を記録した。スマートコントラクトの脆弱性は、サイバー犯罪者にとって依然として主要な侵入経路となっている。

"SPALLETTA（36歳、メリーランド州ロックビル）は、コンピュータ詐欺罪1件（最高懲役10年）および資金洗浄罪1件（最高懲役20年）で起訴されています。" — 公式プレスリリース

Jonathan Spallettaは最大30年の禁固刑に直面している。本事件は業界全体への厳重な警告となっている。ブロックチェーン技術は透明性を標榜するが、コードに未発見の脆弱性が存在する場合、その不変性はもろ刃の剣となりうる。米国司法当局は専門捜査ユニットを通じて、オンチェーン取引の複雑性にもかかわらず、匿名性はもはや大規模詐欺の免罪符にはならないことを証明しつつある。日本のDeFi投資家にとっても、スマートコントラクト監査の重要性とプロトコル選定の慎重さを再確認すべき事案だ。