2021年去中心化金融(DeFi)史上最具影响力的黑客事件之一终于迎来法律清算。马里兰州罗克维尔居民Jonathan Spalletta(36岁)因对去中心化交易所Uranium Finance发动两次大规模攻击,被正式以计算机欺诈和洗钱罪起诉。
检察官称,Spalletta精心策划了一系列欺骗性操作,从中窃取了超过5000万美元的加密货币,直接导致Uranium Finance永久停止运营。
两阶段攻击手法
Complex Frauds and Cybercrime Unit的调查还原了2021年4月发生的完整犯罪过程,分为两个清晰阶段。
4月8日,Spalletta以欺骗性方式与Uranium的智能合约交互,成功提取了远超授权范围的加密货币奖励。
"几周前我做了一笔150万美元的加密生意……智能合约有个漏洞,我就利用了……反正加密货币只是互联网上的假钱。"
首次攻击获利约140万美元。随后,Spalletta采取了更为大胆的行动——通过威胁手段逼迫交易所将约38.6万美元以虚假 "漏洞赏金" 的名义支付给他,承诺不追究法律责任。这种将非法所得合法化的手法,在香港OSL和HashKey等持牌交易所已建立的合规体系中几乎不可能得逞。
真正的致命一击发生在2021年4月28日。Spalletta利用管理流动性池提款上限的智能合约中的关键漏洞,一举攻破26个流动性池,抽走约5330万美元的资产。如此惨重的损失使Uranium Finance被迫立即停止一切运营。
洗钱与挥霍消费
这笔巨款并未就此搁置。检察官指控Spalletta实施了复杂的洗钱策略以掩盖资金非法来源。为消除追踪痕迹,他使用了加密货币混币服务Tornado Cash——该服务已受到美国OFAC制裁,在全球监管层面引发广泛关注。对于熟悉CRS(共同申报准则)框架的中文读者而言,此类链上混币行为早已进入各国监管机构的重点监控范围。
"正如起诉书所述,Jonathan Spalletta多次入侵智能合约,窃取他人数百万美元资金中饱私囊,并在此过程中摧毁了一家加密货币交易所。" — 美国联邦检察官 Jay Clayton
洗白后的犯罪所得被转化为实物资产。Spalletta大肆购买稀有收藏品和古币。然而,2025年2月,联邦特工查封了与其钱包关联的约3100万美元数字资产,一切戛然而止。
持续承压的DeFi生态
Spalletta的被捕再次暴露了DeFi生态系统的系统性安全风险。与此同时,香港金融管理局(HKMA)正积极推进虚拟资产监管框架,OSL和HashKey作为持牌交易所代表着合规路径的探索,但去中心化协议本身的漏洞风险依然难以根除。PeckShield数据显示,2025年加密货币相关盗窃损失超过40亿美元,同比增长约34%。智能合约漏洞与本案中被利用的如出一辙,仍是网络犯罪分子的主要突破口。
"SPALLETTA(36岁,马里兰州罗克维尔)被控一项计算机欺诈罪(最高10年有期徒刑)及一项洗钱罪(最高20年有期徒刑)。" — 官方新闻稿
#PeckShieldAlert 2025 has witnessed a record-breaking year for crypto-related theft, driven primarily by systemic vulnerabilities in centralized infrastructure and a strategic shift toward targeted social engineering.
— PeckShieldAlert (@PeckShieldAlert) January 13, 2026
The total loss in 2025 exceeded $4.04B, reflecting a ~34.2%… pic.twitter.com/PRlGDPOLH1
Jonathan Spalletta面临最高30年监禁。本案对整个行业发出严厉警示:区块链技术以透明性为标榜,但其不可篡改的特性在代码存在未被发现的漏洞时,可能成为双刃剑。美国司法机构通过专业调查单位正证明,无论链上交易多么复杂,匿名性不再是大规模欺诈的保护伞。对于正在构建合规生态的中国香港及东南亚华语加密市场而言,这一判决亦具有重要参考价值。
