Si chiude il cerchio attorno a uno dei furti informatici più significativi nel settore della finanza decentralizzata (DeFi) del 2021. Jonathan Spalletta, 36 anni, residente a Rockville, è stato ufficialmente accusato di frode informatica e riciclaggio di denaro in relazione a due pesanti attacchi ai danni dell'exchange decentralizzato Uranium Finance.
Secondo l'ufficio del procuratore, Spalletta avrebbe orchestrato una sofisticata serie di operazioni ingannevoli che hanno portato al furto di oltre 50 milioni di dollari in criptovalute, segnando la fine definitiva della piattaforma colpita.
I due volti dell'attacco
Le indagini condotte dalla Complex Frauds and Cybercrime Unit hanno delineato un modus operandi preciso, diviso in due fasi distinte avvenute nell'aprile del 2021.
L’8 aprile, Spalletta avrebbe interagito in modo ingannevole con lo smart contract di Uranium, riuscendo a prelevare ricompense in criptovaluta di gran lunga superiori a quelle autorizzate.
Ho fatto un colpo cripto da 1,5 milioni di dollari un paio di settimane fa... C'era un bug in uno smart contract e l'ho sfruttato... Tanto le cripto sono solo finti soldi di internet, ha detto.
Questa prima incursione ha fruttato circa 1,4 milioni di dollari. In un risvolto quasi paradossale, l'accusato avrebbe poi tentato di legittimare parte della refurtiva: attraverso un’estorsione, avrebbe convinto l’exchange a fargli trattenere circa 386.000 dollari sotto forma di una finta "bug bounty" (un premio per la scoperta di falle), con la promessa di evitare ripercussioni legali.
Tuttavia, il colpo di grazia è arrivato il 28 aprile 2021. Sfruttando un errore critico nello smart contract che regolava i limiti di prelievo dalle pool di liquidità, Spalletta ha colpito 26 diverse pool, drenando asset per un valore stimato di 53,3 milioni di dollari. L’entità della perdita è stata talmente catastrofica da costringere Uranium Finance a cessare immediatamente ogni operazione.
Riciclaggio e spese folli
Il denaro sottratto non è rimasto fermo. I procuratori sostengono che Spalletta abbia messo in atto una complessa strategia di riciclaggio per occultare la provenienza illecita dei fondi. Per far perdere le proprie tracce, l’uomo avrebbe utilizzato Tornado Cash, un noto servizio di miscelazione (mixer) di criptovalute spesso al centro di indagini federali.
Come contestato, Jonathan Spalletta ha ripetutamente hackerato smart contract per rubare milioni di dollari di denaro altrui a proprio vantaggio, distruggendo nel processo un exchange di criptovalute", ha dichiarato il Procuratore degli Stati Uniti Jay Clayton
Una volta "puliti", i proventi del crimine sarebbero stati convertiti in beni tangibili. Spalletta si sarebbe concesso una vera e propria frenesia di acquisti, investendo in oggetti da collezione rari e monete antiche. La sua corsa si è però interrotta nel febbraio 2025, quando gli agenti federali hanno sequestrato circa 31 milioni di dollari in asset digitali riconducibili ai suoi wallet.
Un mercato sotto assedio
L’arresto di Spalletta, avvenuto lo scorso lunedì, porta alla luce la persistente vulnerabilità dell'ecosistema DeFi. I numeri del 2025 sono impietosi: secondo i dati di PeckShield, i furti legati al mondo cripto hanno superato i 4 miliardi di dollari, segnando un incremento annuo del 34%. Le falle negli smart contract, proprio come quelle sfruttate dall'imputato, continuano a rappresentare la principale porta d'ingresso per i cybercriminali.
SPALLETTA, 36 anni, di Rockville, Maryland, è accusato di un capo d'imputazione per frode informatica, che prevede una pena massima di 10 anni di reclusione; e di un capo d'imputazione per riciclaggio di denaro, che prevede una pena massima di 20 anni di reclusione", riporta il comunicato stampa
#PeckShieldAlert 2025 has witnessed a record-breaking year for crypto-related theft, driven primarily by systemic vulnerabilities in centralized infrastructure and a strategic shift toward targeted social engineering.
— PeckShieldAlert (@PeckShieldAlert) January 13, 2026
The total loss in 2025 exceeded $4.04B, reflecting a ~34.2%… pic.twitter.com/PRlGDPOLH1
Jonathan Spalletta rischia ora una condanna fino a 30 anni di prigione. Il caso funge da severo monito per l'intero settore: mentre la tecnologia blockchain promette trasparenza, la sua natura immutabile può diventare un’arma a doppio taglio quando il codice presenta vulnerabilità non rilevate. La giustizia americana, attraverso unità specializzate, sta però dimostrando che, nonostante la complessità delle transazioni on-chain, l'anonimato non è più una garanzia per chi commette frodi su larga scala.
