Piratage crypto de 54 M$ vaut à un homme du Maryland une inculpation de 30 ans

Les procureurs fédéraux affirment qu'un homme du Maryland qui a volé plus de 54 millions de dollars à une plateforme d'échange de crypto-monnaies a dépensé une partie importante de l'argent en cartes Pokémon, pièces de monnaie romaines antiques et un morceau de tissu de l'avion des frères Wright.

Un pirate informatique avec une liste d'achats inhabituelle

Jonathan Spalletta s'est rendu aux autorités lundi après que le bureau du procureur américain du district sud de New York a révélé un acte d'accusation contre lui. Les agents qui ont perquisitionné son domicile ont trouvé les objets de collection. Les articles ont été saisis. Spalletta encourt jusqu'à 30 ans de prison s'il est reconnu coupable de toutes les accusations — un chef de fraude informatique et un chef de blanchiment d'argent.

L'affaire porte sur deux attaques distinctes contre Uranium Finance, une plateforme d'échange de crypto-monnaies aujourd'hui disparue qui opérait sur la blockchain BNB. Les deux piratages se sont produits en avril 2021, à quelques semaines d'intervalle, et ensemble ils ont anéanti des dizaines de millions de dollars de fonds d'utilisateurs. La plateforme ne s'en est jamais remise.

La première attaque, le 8 avril, était relativement mineure selon les normes de la criminalité crypto. Un acteur malveillant a exploité une faille de contrat intelligent et est reparti avec 1,4 million de dollars. Les deux parties ont finalement conclu un accord privé, et tout sauf 386 000 dollars a été restitué. Puis, 20 jours plus tard, Spalletta serait revenu pour en prendre davantage.

La deuxième frappe a tué la plateforme

L'attaque du 28 avril était d'un autre niveau. Selon les procureurs, Spalletta a exploité une erreur de codage dans le système de retrait d'Uranium Finance, frappant 26 pools de liquidité distincts en un seul coup. Il est reparti avec 53,3 millions de dollars en Bitcoin, Ether et le propre jeton U92 de la plateforme. La plateforme d'échange a fermé peu de temps après. Les victimes se sont retrouvées avec peu d'informations et aucun recours.

Uranium Finance avait été lancée quelques jours seulement avant le premier piratage, pendant le marché haussier de 2021. Elle avait été construite comme un fork d'Uniswap, un protocole de trading automatisé bien connu. La plateforme n'a jamais eu la chance de se développer. Fin avril, elle avait disparu.

Les enquêteurs fédéraux ont travaillé sur l'affaire pendant des années dans les coulisses. Début 2025, les autorités ont récupéré 31 millions de dollars en crypto-monnaies liés au piratage mais n'ont fourni aucune explication publique à l'époque. L'acte d'accusation de lundi a révélé les détails.

Le procureur américain Jay Clayton a précisé que son bureau considère le vol de crypto-monnaies de la même manière que tout autre crime financier. « Voler à une plateforme d'échange de crypto-monnaies, c'est voler », a déclaré Clayton. « Pour les victimes, il n'y a aucune différence dans le fait de se faire prendre son argent. » Il a ajouté que Spalletta a causé des pertes réelles à de vraies personnes et fait maintenant l'objet d'une véritable arrestation.

Spalletta est apparu lundi devant la magistrate américaine Ona Wang pour entendre formellement les accusations. Les données de l'industrie crypto au sens large mettent le piratage de 2021 en contexte — des acteurs malveillants ont volé environ 2,6 milliards de dollars grâce à diverses exploitations cette année-là seulement. La plus importante était une violation de 610 millions de dollars du Poly Network, bien que le pirate informatique dans ce cas ait finalement restitué les fonds.

Les victimes d'Uranium Finance ont attendu près de cinq ans pour obtenir des réponses. L'acte d'accusation de lundi était un début.

Image vedette d'Unsplash, graphique de TradingView