Uranium Finance 黑客被捕！盗取 5400 万加密货币，最高判刑 30 年

马里兰州居民乔纳森·斯帕莱塔（Jonathan Spalletta）于 3 月 31 日向当局自首，面对美国纽约南区联邦检察官办公室（SDNY）就其 2021 年对 BNB Chain DeFi 协议 Uranium Finance 实施两起黑客攻击的起诉。攻击造成逾 5,400 万美元的加密货币损失，导致平台关闭。

两次攻击时间轴：一个月内两度得手，平台宣告倒闭

Uranium Finance 是 BNB Chain 上基于 Uniswap 架构的自动做市商（AMM）分叉协议，于 2021 年 4 月牛市期间上线。起诉书显示，斯帕莱塔在不到一个月内完成了两次精密攻击：

第一次攻击（4 月 8 日）：平台上线仅数日，斯帕莱塔利用智能合约漏洞提取远超授权的加密货币奖励，盗取约 140 万美元。事后 Uranium Finance 与黑客达成私下协议，追回了除 38.6 万美元以外的所有被盗资金。

第二次攻击（4 月 28 日）：规模大幅升级。斯帕莱塔利用影响 26 个独立流动性池提款限额的合约关键漏洞，窃取了约 5,330 万美元的加密资产，涵盖比特币（BTC）、以太坊（ETH）及平台原生代币。第二次攻击后，Uranium Finance 网站关闭，受害者至今未获任何补偿。

被盗资金的奇异去向：加密货币换成历史文物与卡牌收藏

起诉书揭露了被盗资金最令人意外的使用方式。执法部门在搜查斯帕莱塔住所时查获以下物品：

宝可梦卡牌（Pokémon Cards）：以被盗币购置的稀有卡牌收藏

古罗马硬币：罗马帝国时期的古代钱币实物

莱特兄弟飞机布料：取自莱特兄弟原版飞机的珍稀历史文物碎片

2025 年 2 月，当局已事先查获与此案相关的约 3,100 万美元加密货币，但当时并未公开任何细节。此次起诉书的发布，才完整披露了资金流向的调查结果。

法律指控：电脑欺诈加洗钱，最高 30 年监禁

斯帕莱塔面临两项联邦刑事指控：电脑欺诈罪最高可判 10 年，洗钱罪最高可判 20 年，两项合计最高刑期达 30 年。他已在联邦地方法官王奥娜（Judge Ona Wang）面前出庭，正式听取起诉。

美国检察官杰伊·克莱顿（Jay Clayton）在声明中强调：“从加密货币交易所盗窃就是盗窃，‘加密货币有所不同’的说法无法改变这一事实。斯帕莱塔给真实的受害者造成了数千百万美元的损失，现在他已被逮捕。”

2021 年是 DeFi 黑客攻击密集年，全年损失超过 26 亿美元，最大单笔为针对跨链协议 Poly Network 的 6.1 亿美元事件（攻击者后来自愿归还资金）。Uranium Finance 案的特殊性在于，受害者至今仍未收到任何赔偿。

常见问题

Uranium Finance 的第二次黑客攻击为何能造成如此大的损失？

第二次攻击利用了 Uranium 智能合约中控制 26 个独立流动性池提款限额的逻辑漏洞，攻击者通过一次精确操作绕过了所有池子的提款限制，一次性清空了协议的绝大部分资产，规模达到 5,330 万美元，使平台失去所有流动性而被迫永久关闭。

为何购买宝可梦卡和古罗马硬币可被认定为洗钱行为？

洗钱的法律构成要件包括以任何方式处置非法所得，使其看起来具有合法来源或难以追踪。将被盗加密货币转换为实体收藏品，是典型的“分层化”洗钱手法——将数字资产转为实体形式，既隐匿资金来源，又保留资产价值，符合洗钱罪的法律定义。

Uranium Finance 受害者能否从此次起诉中获得补偿？

当局已于 2025 年 2 月查获与此案相关的约 3,100 万美元加密货币。若定罪成立，法院可能发出资产没收令并要求赔偿受害者，但能否追回、追回多少，最终取决于后续司法程序的进展，受害者目前仍面临高度不确定性。