**조나단 스팔레타(Jonathan Spalletta)**는 2021년 유라늄 파이낸스(Uranium Finance) 익스플로잇 사건과 관련하여 2026년 3월에 기소된 메릴랜드주 거주자입니다. 유라늄 파이낸스는 탈중앙화 암호화폐 거래소입니다. 그는 플랫폼의 스마트 컨트랙트 취약점을 악용하여 두 차례의 별개 해킹을 통해 5,400만 달러 이상의 자금을 훔친 혐의를 받고 있습니다. 연방 검찰에 따르면, 스팔레타는 훔친 자금을 세탁한 후 이를 사용하여 고가의 트레이딩 카드와 역사적 기념품을 포함한 수백만 달러 상당의 희귀 수집품을 구매했습니다. 이 사건은 뉴욕 남부지검에서 담당하고 있습니다. ^{[1] [2]}​

배경 및 기소

조나단 스팔레타는 1990년경 출생했으며, 기소 당시 메릴랜드주 록빌에 거주하고 있었습니다. ^[1] 그는 온라인에서 "Cthulhon", "Jspalletta", "Jonny Boy", "Nass", "SirJonathan" 등 여러 가명을 사용하여 활동했습니다. ^{[1] [3]}

2026년 3월 30일, 유라늄 파이낸스 익스플로잇에 가담한 혐의로 스팔레타를 기소하는 뉴욕 남부지검의 공소장이 공개되었습니다. 그는 같은 날 당국에 자수했습니다. ^{[1] [2]} 이 사건은 제드 S. 라코프(Jed S. Rakoff) 연방 지방 판사에게 배정되었습니다. ^[1]

스팔레타는 두 가지 연방 범죄 혐의를 받고 있습니다:

• 컴퓨터 사기 1건: 최대 징역 10년형에 처해질 수 있습니다.
• 돈세탁 1건: 최대 징역 20년형에 처해질 수 있습니다.

두 혐의 모두 유죄 판결을 받을 경우, 그는 최대 30년의 징역형에 처해질 수 있습니다. ^{[1] [2]}

유라늄 파이낸스 익스플로잇

유라늄 파이낸스는 BNB 체인(구 바이낸스 스마트 체인)에서 자동화된 마켓 메이커(AMM)로 운영되던 탈중앙화 금융(DeFi) 프로젝트로, 사용자들이 유동성 풀을 통해 암호화폐를 거래할 수 있게 했습니다. ^{[4] [3]} 검찰은 스팔레타가 2021년 4월에 이 플랫폼을 대상으로 두 차례의 별개 해킹을 수행했다고 주장합니다.

1차 익스플로잇 (2021년 4월)

공소장에 따르면, 첫 번째 해킹은 2021년 4월 8일경 발생했습니다. 스팔레타는 유라늄 파이낸스의 스마트 컨트랙트 중 하나에 있는 버그를 악용하여 유동성 풀에서 "보상" 토큰을 부정하게 인출했으며, 약 140만 달러 상당의 암호화폐를 훔친 혐의를 받고 있습니다. ^[1]​

기만 캠페인

해킹이 발생한 시기를 전후하여, 스팔레타와 공모자들은 투자자들을 오도하고 자신들의 개입을 은폐하기 위해 기만 캠페인을 벌인 혐의를 받고 있습니다. 이들은 메시징 플랫폼 텔레그램(Telegram)에 공개 "워룸(War Room)"을 만들어, 사건을 조사하고 도난당한 자금을 회수하는 데 전념하는 팀인 것처럼 가장했습니다. ^[4]​

이러한 속임수의 일환으로, 그들은 "화이트햇 해커"가 자산 일부를 확보하기 위해 개입했다는 허위 사실을 유포했습니다. 이 주장에 신빙성을 더하기 위해, 그들은 훔친 자금 중 약 200만 달러를 자신들이 통제하는 지갑으로 반환하면서 이를 커뮤니티에는 공식 개발자 지갑이라고 소개했습니다. 이 행위는 피해자들 사이에서 신뢰를 구축하고 적법한 복구 노력이 진행 중인 것처럼 보이게 하려는 의도였습니다. ^[4]​

2차 익스플로잇 (2021년 4월)

2021년 4월 28일경, 스팔레타는 훨씬 더 큰 규모의 두 번째 해킹을 실행한 혐의를 받고 있습니다. 그는 암호화폐 인출을 관리하는 유라늄 파이낸스의 주요 스마트 컨트랙트에서 별개의 치명적인 오류를 악용했습니다. 이 취약점은 공격자가 스왑 중에 입력 토큰의 가치를 조작할 수 있게 하여, 플랫폼의 유동성 풀에 보관된 거의 모든 다른 자산을 탈취할 수 있게 했습니다. ^{[1] [4]}​

이 공격은 26개의 개별 유동성 풀을 대상으로 했으며, 그 결과 BNB 및 BUSD를 포함한 다양한 암호화폐로 약 5,330만 달러가 도난당했습니다. 이 대규모 도난 사건은 치명적인 자금 손실을 초래하여 유라늄 파이낸스 거래소가 영구적으로 운영을 중단하게 만들었습니다. ^{[1] [2]}​

돈세탁 및 자산 구매

해킹 이후, 스팔레타는 훔친 암호화폐를 세탁하기 위한 정교한 계획에 가담한 혐의를 받고 있으며, 그중 최소 1,100만 달러를 개인적으로 수령한 것으로 알려졌습니다. ^[3]​

세탁 과정에는 온체인 거래 경로를 가리기 위해 설계된 암호화폐 믹싱 서비스인 토네이도 캐시가 사용된 것으로 알려졌습니다. 도난당한 BNB 및 BUSD 토큰은 이더리움(ETH)으로 교환되었고, 이후 자금의 출처를 더욱 숨기기 위해 프라이버시 강화 암호화폐인 모네로(XMR)로 전환되었습니다. ^{[1] [3]}​

세탁된 수익금은 다음과 같은 고가의 희귀 품목을 구매하는 데 사용된 것으로 추정됩니다:

• 매직: 더 개더링 카드: 약 1,512,500달러에 구매한 "블랙 로터스(Black Lotus)" 카드.
• 포켓몬 카드: 약 750,000달러에 구매한 1판 "부스터" 카드 미개봉 박스.
• 골동품 및 기념품: 율리우스 카이사르 암살을 기념하는 고대 로마 동전인 "에이드 마르 데나리우스(Eid Mar Denarius)"를 137,500달러에 구매.

이러한 구체적인 구매 내역과 가치는 법무부의 공소 자료에 상세히 기록되어 있습니다. ^{[1] [2]}​

조사 및 자산 압류

유라늄 파이낸스 해킹에 대한 조사는 연방수사국(FBI)과 국세청 형사조사국(IRS-CI)에 의해 수행되었습니다. ^[3] 2025년 2월 24일, 미국 법 집행 기관은 해킹과 연관된 암호화폐를 압류했으며, 압류 당시 가치는 약 3,100만 달러였습니다. ^{[1] [2]}​

암호화폐 외에도 당국은 스팔레타의 거주지에 대한 수색 영장을 집행하여 훔친 자금으로 구매한 것으로 추정되는 수많은 실물 자산을 압류했습니다. 압류된 품목에는 "블랙 로터스" 트레이딩 카드, 고대 동전 및 기타 수집품이 포함되었습니다. ^[1]​

공식 성명

공소장이 공개되자 데미안 윌리엄스(Damian Williams) 뉴욕 남부지검장은 다음과 같이 말했습니다: "혐의에 따르면, 조나단 스팔레타는 스마트 컨트랙트를 반복적으로 해킹하여 타인의 돈 수백만 달러를 자신의 이익을 위해 훔쳤으며, 그 과정에서 암호화폐 거래소를 파괴했습니다. 스팔레타는 거래소의 컴퓨터 코드에 있는 버그를 악용하여 이를 수행한 것으로 보입니다. 하지만 그는 사기의 결실을 숨길 수 없었습니다. 우리는 아무리 정교한 수법이라 할지라도 복잡한 사이버 범죄를 계속해서 파헤치고 사기꾼들에게 책임을 물을 것입니다." ^[1]

제임스 스미스(James Smith) FBI 부국장은 이러한 사건을 추적하려는 FBI의 의지에 대해 다음과 같이 언급했습니다: "암호화폐 공간의 악의적인 행위자들은 FBI가 정교한 거래 기법의 사용 여부와 관계없이 그들을 식별하고 체포하는 데 전념하고 있다는 사실을 명심해야 합니다." ^[3]

IRS-CI 뉴욕 지부의 특별 수사관 토마스 M. 파토루소(Thomas M. Fattorusso)는 다음과 같이 덧붙였습니다: "유라늄 파이낸스의 코드를 악용한 스팔레타의 혐의는 사기의 신시대적, 하이테크적 변형입니다... IRS 형사조사국은 디지털 세계에서 불법적인 이익을 노리는 자들이 법의 심판을 받을 수 있도록 이와 같은 사건에 우리의 사이버 및 금융 조사 전문 지식을 계속해서 제공할 것입니다." ^[4]