Hack do Uranium Finance: detido! roubou 54 milhões de criptomoedas, pena máxima de 30 anos

O residente do estado do Maryland, Jonathan Spalletta, entregou-se às autoridades a 31 de março, enfrentando acusações do gabinete do Procurador dos Estados Unidos para o Distrito Sul de Nova Iorque (SDNY) relativamente a duas acusações de pirataria contra o protocolo DeFi da BNB Chain Uranium Finance, por parte de 2021. O ataque provocou perdas de criptomoedas superiores a 54 milhões de dólares, levando ao encerramento da plataforma.

Linha temporal de dois ataques: duas investidas num mês, a plataforma declara falência

A Uranium Finance é um protocolo de bifurcação de um market maker automatizado (AMM) com base na arquitectura da Uniswap na BNB Chain, lançado durante o bull market de abril de 2021. A acusação mostra que Spalletta realizou dois ataques meticulosos em menos de um mês:

Primeiro ataque (8 de abril): poucos dias após a plataforma entrar em funcionamento, Spalletta utilizou uma falha no contrato inteligente para retirar prémios de criptomoedas muito acima do autorizado, roubando cerca de 1,4 milhões de dólares. Posteriormente, a Uranium Finance e os piratas chegaram a um acordo privado, recuperando todos os fundos roubados, excepto 386.000 dólares.

Segundo ataque (28 de abril): a escala foi significativamente aumentada. Spalletta explorou uma falha crítica no contrato que controlava os limites de saque de 26 pools de liquidez independentes, roubando cerca de 53,3 milhões de dólares em activos de criptomoeda, incluindo Bitcoin (BTC), Ethereum (ETH) e o token nativo da plataforma. Após o segundo ataque, o site da Uranium Finance encerrou e as vítimas até agora não receberam qualquer indemnização.

O destino estranho dos fundos roubados: criptomoedas trocadas por artefactos históricos e colecções de cartas

A acusação revela a forma mais inesperada de utilização dos fundos roubados. As autoridades policiais, ao procederem a buscas na residência de Spalletta, encontraram os seguintes itens:

Cartas de Pokémon (Pokémon Cards): uma colecção de cartas raras compradas com as moedas roubadas

Moedas antigas romanas: moedas antigas físicas da era do Império Romano

Tecido das aeronaves dos irmãos Wright: fragmentos raros de artefactos históricos retirados das aeronaves originais dos irmãos Wright

Em fevereiro de 2025, as autoridades já tinham apreendido cerca de 31 milhões de dólares em criptomoeda relacionados com este caso, mas na altura não foi divulgado qualquer detalhe. Só com a publicação desta acusação é que os resultados da investigação do fluxo de fundos foram totalmente revelados.

Acusações legais: fraude informática e branqueamento de capitais, pena máxima de 30 anos

Spalletta enfrenta duas acusações criminais federais: crime de fraude informática com pena máxima de 10 anos, e crime de branqueamento de capitais com pena máxima de 20 anos, perfazendo um total de até 30 anos. Compareceu perante o juiz federal de distrito Ona Wang (Judge Ona Wang), para ouvir formalmente a acusação.

O procurador dos Estados Unidos, Jay Clayton, salientou na sua declaração: «Roubar numa exchange de criptomoedas é roubo, e a afirmação de que “cripto é diferente” não altera esse facto. Spalletta causou perdas de dezenas de milhões de dólares a vítimas reais, e agora ele foi detido.»

O ano de 2021 foi um ano particularmente intenso para ataques de cibercriminosos DeFi, com perdas que ultrapassaram 2,6 mil milhões de dólares no total do ano, sendo o maior ataque o incidente de 610 milhões de dólares contra o protocolo cross-chain Poly Network (o atacante mais tarde devolveu voluntariamente os fundos). A particularidade do caso Uranium Finance reside no facto de as vítimas, até hoje, não terem recebido qualquer compensação.

Perguntas frequentes

Porque é que o segundo ataque de pirataria da Uranium Finance conseguiu causar perdas tão elevadas?

O segundo ataque explorou uma falha lógica nos contratos inteligentes da Uranium que controlavam os limites de saque de 26 pools de liquidez independentes; através de uma única operação precisa, o atacante contornou todas as restrições de levantamento dos pools, esvaziou de uma só vez grande parte dos activos do protocolo, num montante de 53,3 milhões de dólares, levando a plataforma a perder toda a liquidez e a ser forçada a encerrar permanentemente.

Porque é que comprar cartas de Pokémon e moedas da Roma Antiga pode ser considerado branqueamento de capitais?

Os elementos constitutivos legais do branqueamento de capitais incluem a disposição, por qualquer forma, de proveitos ilícitos de modo a fazê-los parecer ter uma origem lícita ou ser difícil de os rastrear. Converter criptomoedas roubadas em colecções físicas é uma técnica típica e «em camadas» — transformar activos digitais em forma física, ocultando a origem dos fundos e preservando o valor dos activos —, o que se enquadra na definição legal do crime de branqueamento de capitais.

As vítimas da Uranium Finance podem obter compensação a partir desta acusação?

As autoridades já apreenderam cerca de 31 milhões de dólares em criptomoeda relacionados com este caso em fevereiro de 2025. Caso haja condenação, o tribunal poderá emitir uma ordem de confisco de activos e exigir indemnizações às vítimas, mas se os fundos puderem ser recuperados e quanto será recuperado dependerá, em última instância, do progresso dos procedimentos judiciais subsequentes; as vítimas enfrentam ainda uma elevada incerteza.