美國當局已解除密封(unsealed)一份對馬里蘭州男子的起訴書,指控他針對現已停運的 DeFi 平台 Uranium Finance 進行兩起分別的入侵(hack)。該平台在 2021 年 4 月損失超過 5400 萬美元。此案由美國紐約南區(Southern District of New York)的美國律師事務所提起,指稱 Jonathan Spalletta 利用智慧合約(smart contracts)從 Uranium Finance 竊取資金,導致該計畫在耗盡其流動性後被迫關閉。
Spalletta 於週一向當局自首,面臨檢方指稱反映「加密貨幣犯罪的現實後果」的刑事指控。在一份聲明中,美國律師 Jay Clayton 強調加密貨幣並不能讓罪犯免於問責,他說:「從加密貨幣交易所偷竊就是偷竊——聲稱加密貨幣不同,並不會改變這一點。」他並補充,受害者損失達數千萬美元,且此案顯示法律同樣適用於數位資產,就像適用於傳統金融犯罪一樣。
Uranium Finance 是 Uniswap 的 BNB Chain 分叉(fork),於 2021 年 4 月在市場反彈期間推出。第二次攻擊之後,該平台網站被下線,讓投資者無法得到關於資金狀態的明確答案。此案也延伸了更廣泛的敘事:在 DeFi 領域,智慧合約遭到濫用(exploits)已成為反覆出現的威脅。
依照當局說法,Spalletta 的行動利用了 Uranium Finance 智慧合約中的漏洞。早期的入侵促成了一項私下和解,使幾乎所有第一起攻擊被盜資金得以歸還;但約 386,000 美元的資金仍未追回。
同一個月內的兩次漏洞(breaches)使 Uranium Finance 停擺。第一次發生在 2021 年 4 月 8 日,一名駭客提領了遠超其獲授權可獲得的加密貨幣獎勵。第二次駭擊發生在 4 月後期,利用了 Uranium 的提領上限(withdrawal-limit)邏輯中的錯誤;該邏輯管轄 26 個獨立的流動性池(liquidity pools),使攻擊者能夠從中攫取約 5330 萬美元的加密貨幣,其中包括 BTC、ETH,以及平台的原生 U92 代幣。
美國律師事務所指出,檢方在調查期間回收並審查了扣押物質(material),包括與嫌疑人住所相關的物品。檢方指控,被盜資金其後被用於購買蒐藏品(collectibles),例如寶可夢卡(Pokémon cards)、古羅馬硬幣(antique Roman coins),甚至還包含一塊與萊特兄弟(Wright brothers)最初飛機相關的布料。這些物品是在與本案相關的搜索中被辨識出來的。
先前的報導提到,當局曾在 2022 年 2 月扣押了與 Uranium Finance 入侵事件相關的 3100 萬美元加密貨幣,儘管當時當局未披露額外細節。Spalletta 目前遭到一項電腦詐欺(computer fraud)以及一項洗錢(money laundering)的起訴,兩項指控都可能面臨相當可觀的潛在刑罰。他預定將出庭接受美國治安官(U.S. magistrate)的傳訊(arraignment)程序,並取得正式的指控內容。
此案處於一個更廣泛的局勢:網路犯罪監督機構估計,2021 年因橫跨加密貨幣網路的駭擊與漏洞濫用,損失超過 26 億美元。部分入侵事件達到類似 Solar Network 的規模——例如 2020 年著名的 Poly Network 事件——也使得人們呼籲在 DeFi 生態系中建立更清晰的監管界線與更強的安全標準。隨著執法行動持續展開,投資者與開發者都在觀察檢方將如何處理證據、資產追蹤,以及在涉及混合「數位—實體」犯罪敘事的案件中進行的追繳與回收努力。
對產業而言,Spalletta 案凸顯了依賴複雜智慧合約的 DeFi 協議所固有的持續風險。它同時也提醒:與加密貨幣相關的不法行為,即便資金最終被識別或在部分情況下被追回,仍可能對受害者與社群造成有形且持續的後果。隨著類似案件推進,監管機關與檢方很可能會更密切審查濫用途徑(exploitation vectors)、錢包追蹤(wallet tracing)以及資產回收策略。
重點整理
起訴與指控:Jonathan Spalletta 因與兩起 Uranium Finance 入侵事件相關的電腦詐欺與洗錢而被起訴;若遭定罪,可能面臨數十年之久的刑期。Spalletta 已向當局自首,並將出庭接受美國治安官的傳訊。
入侵範圍:Uranium Finance 在 2021 年 4 月遭遇兩次駭擊,合計耗盡超過 5400 萬美元。第二次攻擊單獨就鎖定 26 個流動性池,目標價值 5330 萬美元,其中包含 BTC 與 ETH 等主要資產,以及平台的 U92 代幣。
首次入侵與和解:4 月 8 日事件中,駭客攫取了超出授權範圍的獎勵,隨後的私下和解使被盜資金除了約 386,000 美元之外,其餘幾乎全部得以歸還。
入侵後的扣押與處置所得:當局先前在 2022 年扣押了約 3100 萬美元與 Uranium Finance 入侵事件相關的資產,但當時對外公布的細節有限。檢方表示,被盜資產出現在各種購買中,包括蒐藏品與歷史文物。
起訴與指控
SDNY(美國紐約南區)提起的文件列出兩項針對 Spalletta 的指控:電腦詐欺與洗錢。若被定罪,這些指控可能帶來相當可觀的監禁時間,另外還可能面臨潛在的罰金。即將到來的傳訊程序將決定正式指控內容與起訴程序路徑的下一步。本案展現出一種更廣泛的趨勢:當局以傳統且嚴謹的檢察手段來處理由加密貨幣促成的詐欺,並堅持數位資產領域的犯罪具有現實世界的法律後果。
Uranium Finance 入侵事件的背景脈絡
Uranium Finance 作為 Uniswap 的 BNB Chain 分叉(fork)而出現,於 2021 年在更廣泛的 DeFi 擴張背景下進入市場。它的迅速崛起被一對備受矚目的事件所遮蔽,這些事件引發了人們對早期 DeFi 計畫的韌性(resilience)與治理(governance)的疑問。特別是第二次漏洞(exploit)凸顯了提領上限邏輯中的漏洞如何影響眾多池子,並透過遭受入侵的合約將大量使用者資金導流。隨著這些事件展開,Uranium Finance 最終停運,留下投資者對資產回收與補償(redress)的理解相對有限。
從監管與執法的角度來看,此案為在 DeFi 中建立清晰問責機制的努力增添了動能;在 DeFi 裡,自動化協議(automated protocols)運作於金融與程式碼(code)的交叉點。長期以來,批評者一直主張:DeFi 缺乏標準化的安全實務與託管控制(custodial controls),使其形成監管盲點。像這樣的起訴可能促使計畫採取更強的安全性審計(security auditing)、更嚴謹的事件應對規劃(incident response planning),以及更透明的揭露(disclosure)做法,以降低使用者與投資者的風險。
展望未來,市場參與者將持續觀察檢方如何追求資產回收、辯方如何包裝智慧合約遭利用(smart-contract exploitation)的技術細節,以及這些案件如何影響協議設計與治理模型。Spalletta 的起訴書提供了一個具體訊號:數位犯罪與傳統犯罪之間的界線,正在被以愈發傳統的法律工具進行管控——而這些工具會對從分散式金融(decentralized finance)系統的漏洞獲利的人造成現實後果。
隨著調查進展,讀者應留意即將提交的法院文件,以及來自 SDNY 的任何其他聲明。結果可能會影響未來的執法優先順序、指引對 DeFi 協議的風險評估,並塑造投資者如何在快速演變的加密貨幣環境中評估安全態勢(security postures)。
本文最初發布於:Uranium Finance Hack: Alleged Hacker Faces 30-Year Prison Term, $54M on Crypto Breaking News – your trusted source for crypto news, Bitcoin news, and blockchain updates.
