¡El hacker de Uranium Finance fue arrestado! Robó 54 millones de criptomonedas; la condena máxima es de 30 años

Un residente de Maryland, Jonathan Spalletta, se entregó a las autoridades el 31 de marzo, enfrentándose a cargos presentados por la Oficina del Fiscal Federal para el Distrito Sur de Nueva York (SDNY) con respecto a dos ciberataques contra el protocolo DeFi Uranium Finance, construido sobre BNB Chain, que llevó a cabo en 2021. Los ataques causaron pérdidas de más de 54 millones de dólares en criptomonedas y llevaron al cierre de la plataforma.

Línea de tiempo de los dos ataques: logró dos golpes en un mes, la plataforma declara su quiebra

Uranium Finance es un protocolo de bifurcación de AMM (market maker automatizado) basado en la arquitectura de Uniswap dentro de BNB Chain, que se lanzó durante el mercado alcista de abril de 2021. Según el escrito de acusación, Spalletta ejecutó dos ataques de precisión en menos de un mes:

Primer ataque (8 de abril): la plataforma solo llevaba funcionando unos días cuando Spalletta utilizó una vulnerabilidad en contratos inteligentes para extraer recompensas en criptomonedas muy superiores a las autorizadas, robando aproximadamente 1,4 millones de dólares. Posteriormente, Uranium Finance y el hacker llegaron a un acuerdo privado para recuperar todos los fondos robados, excepto 386 mil dólares.

Segundo ataque (28 de abril): la escala aumentó de forma considerable. Spalletta aprovechó una vulnerabilidad crítica en un contrato que afectaba los límites de retiro de 26 grupos independientes de liquidez, y robó alrededor de 53,3 millones de dólares en criptoactivos, incluidos Bitcoin (BTC), Ethereum (ETH) y el token nativo de la plataforma. Después del segundo ataque, el sitio web de Uranium Finance cerró y las víctimas, hasta la fecha, no han recibido ninguna compensación.

El extraño destino de los fondos robados: criptomonedas convertidas en reliquias históricas y colecciones de cartas

El escrito de acusación revela el uso más inesperado de los fondos robados. Las autoridades, al registrar la residencia de Spalletta, encontraron los siguientes artículos:

Cartas Pokémon (Pokémon Cards): una colección de cartas raras compradas con las criptomonedas robadas

Monedas de la antigua Roma: monedas antiguas reales de la época del Imperio romano

Tela de los aviones de los hermanos Wright: fragmentos raros de reliquias históricas procedentes de los aviones originales de los hermanos Wright

En febrero de 2025, las autoridades ya habían incautado aproximadamente 31 millones de dólares en criptomonedas relacionadas con este caso, pero en ese momento no se hizo público ningún detalle. El lanzamiento de este escrito de acusación es lo que ahora divulga por completo los resultados de la investigación sobre el flujo de fondos.

Acusaciones legales: fraude informático y lavado de dinero, hasta 30 años de prisión

Spalletta enfrenta dos cargos penales federales: el delito de fraude informático, con una pena máxima de hasta 10 años, y el delito de lavado de dinero, con una pena máxima de hasta 20 años; sumadas, ambas penas alcanzan un máximo de 30 años. Ya compareció ante el juez de distrito federal Ona Wang (Judge Ona Wang) y escuchó formalmente la acusación.

El fiscal estadounidense Jay Clayton (Jay Clayton) subrayó en una declaración: «Robar desde un exchange de criptomonedas es robar, y la afirmación de que ‘las criptomonedas son diferentes’ no cambia esa realidad. Spalletta causó decenas de millones de dólares en pérdidas a víctimas reales, y ahora ha sido arrestado».

2021 fue un año especialmente intenso para los ataques de hackers DeFi: las pérdidas superaron los 2.600 millones de dólares durante todo el año, y el mayor caso en una sola operación fue el evento de 610 millones de dólares contra el protocolo entre cadenas Poly Network (el atacante luego devolvió voluntariamente los fondos). La particularidad del caso Uranium Finance es que, hasta ahora, las víctimas aún no han recibido ninguna compensación.

Preguntas frecuentes

¿Por qué el segundo ataque de Uranium Finance pudo causar pérdidas tan grandes?

El segundo ataque aprovechó una brecha lógica en los contratos inteligentes de Uranium que controlaban los límites de retiro de 26 pools independientes de liquidez. El atacante, mediante una sola operación precisa, eludió los límites de retiro de todos los pools, vaciando de una vez la gran mayoría de los activos del protocolo. La escala alcanzó 53,3 millones de dólares, lo que hizo que la plataforma perdiera toda su liquidez y se viera obligada a cerrar de forma permanente.

¿Por qué comprar cartas Pokémon y monedas de la antigua Roma puede considerarse lavado de dinero?

Los elementos legales del lavado de dinero incluyen disponer de ingresos ilícitos de cualquier manera, de modo que parezcan tener un origen legítimo o sean difíciles de rastrear. Convertir criptomonedas robadas en coleccionables físicos es un método típico y de «estratificación» para lavar dinero: transformar activos digitales en forma física, ocultar el origen de los fondos y, al mismo tiempo, conservar el valor de los activos, lo que cumple la definición legal del delito de lavado de dinero.

¿Las víctimas de Uranium Finance pueden recibir compensación a partir de esta acusación?

Las autoridades ya incautaron aproximadamente 31 millones de dólares en criptomonedas relacionadas con este caso en febrero de 2025. Si hay condena, el tribunal podría emitir una orden de decomiso de activos y exigir una compensación a las víctimas, pero si se podrán recuperar fondos y cuánto se recuperará, dependerá en última instancia del avance de los procedimientos judiciales posteriores; las víctimas, por el momento, todavía se enfrentan a una incertidumbre elevada.