Uranium Finance 駭客被捕！盜取 5400 萬加密貨幣，最高判刑 30 年

馬里蘭州居民喬納森·斯帕萊塔（Jonathan Spalletta）於 3 月 31 日向當局自首，面對美國紐約南區聯邦檢察官辦公室（SDNY）就其 2021 年對 BNB Chain DeFi 協議 Uranium Finance 實施兩起駭客攻擊的起訴。攻擊造成逾 5,400 萬美元的加密貨幣損失，導致平台關閉。

兩次攻擊時間軸：一個月內兩度得手，平台宣告倒閉

Uranium Finance 是 BNB Chain 上基於 Uniswap 架構的自動做市商（AMM）分叉協議，於 2021 年 4 月牛市期間上線。起訴書顯示，斯帕萊塔在不到一個月內完成了兩次精密攻擊：

第一次攻擊（4 月 8 日）：平台上線僅數日，斯帕萊塔利用智慧合約漏洞提取遠超授權的加密貨幣獎勵，盜取約 140 萬美元。事後 Uranium Finance 與駭客達成私下協議，追回了除 38.6 萬美元以外的所有被盜資金。

第二次攻擊（4 月 28 日）：規模大幅升級。斯帕萊塔利用影響 26 個獨立流動性池提款限額的合約關鍵漏洞，竊取了約 5,330 萬美元的加密資產，涵蓋比特幣（BTC）、以太坊（ETH）及平台原生代幣。第二次攻擊後，Uranium Finance 網站關閉，受害者至今未獲任何補償。

被盜資金的奇異去向：加密貨幣換成歷史文物與卡牌收藏

起訴書揭露了被盜資金最令人意外的使用方式。執法部門在搜查斯帕萊塔住所時查獲以下物品：

寶可夢卡牌（Pokémon Cards）：以被盜幣購置的稀有卡牌收藏

古羅馬硬幣：羅馬帝國時期的古代錢幣實物

萊特兄弟飛機布料：取自萊特兄弟原版飛機的珍稀歷史文物碎片

2025 年 2 月，當局已事先查獲與此案相關的約 3,100 萬美元加密貨幣，但當時並未公開任何細節。此次起訴書的發布，才完整披露了資金流向的調查結果。

法律指控：電腦詐欺加洗錢，最高 30 年監禁

斯帕萊塔面臨兩項聯邦刑事指控：電腦詐欺罪最高可判 10 年，洗錢罪最高可判 20 年，兩項合計最高刑期達 30 年。他已在聯邦地方法官王奧娜（Judge Ona Wang）面前出庭，正式聽取起訴。

美國檢察官傑伊·克萊頓（Jay Clayton）在聲明中強調：「從加密貨幣交易所盜竊就是盜竊，『加密貨幣有所不同』的說法無法改變這一事實。斯帕萊塔給真實的受害者造成了數千萬美元的損失，現在他已被逮捕。」

2021 年是 DeFi 駭客攻擊密集年，全年損失超過 26 億美元，最大單筆為針對跨鏈協議 Poly Network 的 6.1 億美元事件（攻擊者後來自願歸還資金）。Uranium Finance 案的特殊性在於，受害者至今仍未收到任何賠償。

常見問題

Uranium Finance 的第二次駭客攻擊為何能造成如此大的損失？

第二次攻擊利用了 Uranium 智慧合約中控制 26 個獨立流動性池提款限額的邏輯漏洞，攻擊者通過一次精確操作繞過了所有池子的提款限制，一次性清空了協議的絕大部分資產，規模達到 5,330 萬美元，使平台失去所有流動性而被迫永久關閉。

為何購買寶可夢卡和古羅馬硬幣可被認定為洗錢行為？

洗錢的法律構成要件包括以任何方式處置非法所得，使其看起來具有合法來源或難以追蹤。將被盜加密貨幣轉換為實體收藏品，是典型的「分層化」洗錢手法——將數位資產轉為實體形式，既隱匿資金來源，又保留資產價值，符合洗錢罪的法律定義。

Uranium Finance 受害者能否從此次起訴中獲得補償？

當局已於 2025 年 2 月查獲與此案相關的約 3,100 萬美元加密貨幣。若定罪成立，法院可能發出資產沒收令並要求賠償受害者，但能否追回、追回多少，最終取決於後續司法程序的進展，受害者目前仍面臨高度不確定性。