미국 연방 검찰이 5,400만 달러 규모의 암호화폐 탈취 사건의 전모를 상세히 공개했다. 이번 사건의 범인 조나단 스팔레타는 훔친 자금의 대부분을 포켓몬 카드와 고대 유물 구매에 활용한 것으로 밝혀졌다. 뉴욕 남부지검은 스팔레타를 컴퓨터 사기 및 자금세탁 혐의로 기소하며, 그는 3월 30일(현지 시간)에 자진 출석했다. 만약 유죄가 인정될 경우 최대 30년형에 처해질 수 있다. 스팔레타의 자택에서 포켓몬 카드, 고대 로마 동전, 라이트 형제의 비행기 잔해 등 여러 고가 수집품이 압수됐다.
사건은 2021년 4월 4일에 발생한 ‘우라늄 파이낸스’ 해킹에서 비롯되며, 이는 BNB 체인 기반의 탈중앙화 거래소(DEX)에서 일어난 것이다. 해당 플랫폼은 디파이(DeFi) 열풍 속에 등장했으나, 한 달도 채 지나지 않아 붕괴됐다. 첫 번째 해킹은 4월 8일에 발생해 스마트컨트랙트의 취약점을 이용, 약 140만 달러가 탈취됐으며, 이후 일부 자금은 반환되는 합의가 이루어졌다. 그러나 20일 뒤에 발생한 두 번째 해킹은 더욱 치명적이었다.
4월 28일에 발생한 두 번째 공격에서 스팔레타는 출금 시스템의 코드 오류를 악용하여 동시에 26개 유동성 풀을 공격, 총 5,330만 달러에 해당하는 비트코인(BTC), 이더리움(ETH), U92 토큰 등을 빼돌렸다. 이 사건 이후 우라늄 파이낸스는 즉시 운영을 중단하였고, 투자자들은 별다른 보상이나 설명을 받지 못한 채 손실을 입게 되었다.
수사당국은 수년간 비공식적인 조사를 진행하였고, 2025년 초에는 약 3,100만 달러 규모의 암호화폐를 회수하는 성과를 올렸다. 당시에는 사건의 세부 사항이 공개되지 않았으나, 이번 기소를 통해 사건의 전말이 드러나게 되었다. 제이 클레이튼 뉴욕 남부지검장은 “암호화폐 거래소에서의 절도는 일반 금융 범죄와 다르지 않으며, 피혜자에게는 동일한 금전적 피해가 발생했다”고 강조했다.
2021년의 크립토 범죄는 암호화폐 시장이 얼마나 해킹과 범죄에 취약했는지를 드러내는 사례로 남았다. 당시 해킹으로 탈취된 금액은 약 26억 달러에 달하였고, 가장 큰 사건은 6억1,000만 달러가 넘는 폴리네트워크 해킹이었다. 우라늄 파이낸스의 피해자들은 약 5년 만에 사건의 진상을 확인하게 되었으며, 이번 기소는 장기 미해결 사건에 대해 수사가 지속되고 있음을 보여주는 사례로 평가받고 있다. 그러나 피해 금액의 회수 여부는 아직까지 불확실하다.
이번 사건은 디파이 초기 단계에서 나타난 구조적 취약성과 보안의 미성숙함을 드러내는 사례이다. 특히 스마트컨트랙트의 오류가 대규모 자산 유출로 이어질 수 있음을 재확인하며, 동시에 장기적인 범죄 추적을 통해 범인을 검거할 수 있다는 신뢰 개선에 기여할 것으로 보인다. 디파이 투자자들은 코드 감사 및 보안 기록을 철저히 확인해야 하며, 초기 프로젝트나 출시 직후 플랫폼을 이용하는 경우 높은 리스크가 따르기 때문에 주의가 필요하다.
