Cư dân bang Maryland Jonathan Spalletta (乔纳森·斯帕萊塔) đã ra đầu thú với các nhà chức trách vào ngày 31 tháng 3, đối mặt với cáo buộc của Văn phòng Công tố viên Liên bang Khu vực phía Nam New York (SDNY) liên quan đến hai vụ tấn công mạng nhắm vào giao thức DeFi Uranium Finance của BNB Chain do ông thực hiện vào năm 2021. Các cuộc tấn công đã gây ra thiệt hại hơn 54 triệu đô la Mỹ tiền mã hóa, dẫn đến việc nền tảng đóng cửa.

Dòng thời gian của hai lần tấn công: trong vòng một tháng, hai lần “thành công”, nền tảng tuyên bố phá sản

Uranium Finance là một giao thức fork của nhà tạo lập thị trường tự động (AMM) dựa trên kiến trúc Uniswap trên BNB Chain, ra mắt trong đợt bull market vào tháng 4 năm 2021. Bản cáo trạng cho thấy, trong vòng chưa đầy một tháng, Spalletta đã thực hiện hai cuộc tấn công tinh vi:

Lần tấn công thứ nhất (ngày 8 tháng 4): Nền tảng mới chỉ hoạt động được vài ngày, Spalletta đã sử dụng lỗ hổng trong hợp đồng thông minh để rút các phần thưởng tiền mã hóa vượt xa ủy quyền, đánh cắp khoảng 1,4 triệu đô la Mỹ. Sau đó, Uranium Finance đã đạt thỏa thuận riêng với tin tặc để thu hồi lại toàn bộ số tiền bị đánh cắp, ngoại trừ 386.000 đô la Mỹ.

Lần tấn công thứ hai (ngày 28 tháng 4): Quy mô được nâng cấp đáng kể. Spalletta đã lợi dụng lỗ hổng then chốt trong hợp đồng ảnh hưởng đến hạn mức rút tiền của 26 bể thanh khoản độc lập để trộm khoảng 53,3 triệu đô la Mỹ tài sản mã hóa, bao gồm Bitcoin (BTC), Ethereum (ETH) và token gốc của nền tảng. Sau lần tấn công thứ hai, trang web của Uranium Finance đã đóng cửa, đến nay các nạn nhân vẫn chưa nhận được bất kỳ khoản bồi thường nào.

Điểm đến kỳ lạ của tiền bị đánh cắp: tiền mã hóa được đổi thành hiện vật lịch sử và thẻ sưu tầm

Bản cáo trạng tiết lộ cách sử dụng gây bất ngờ nhất của số tiền bị đánh cắp. Cơ quan thực thi pháp luật khi khám xét nơi ở của Spalletta đã thu giữ các vật phẩm sau:

Thẻ Pokémon (Pokémon Cards): Bộ sưu tập các thẻ hiếm được mua bằng tiền bị đánh cắp

Đồng xu cổ La Mã: Hiện vật tiền xu cổ từ thời Đế quốc La Mã

Mảnh vải máy bay của anh em nhà Wright: Các mảnh hiện vật lịch sử hiếm có lấy từ máy bay nguyên bản của anh em nhà Wright

Tháng 2 năm 2025, các nhà chức trách đã thu giữ trước khoảng 31 triệu đô la Mỹ tiền mã hóa liên quan đến vụ án này, nhưng thời điểm đó chưa công khai bất kỳ chi tiết nào. Việc công bố bản cáo trạng lần này mới tiết lộ đầy đủ kết quả điều tra về dòng tiền.

Các cáo buộc pháp lý: lừa đảo bằng máy tính và rửa tiền, tối đa 30 năm tù

Spalletta phải đối mặt với hai cáo buộc hình sự liên bang: tội lừa đảo bằng máy tính, mức án tối đa 10 năm; tội rửa tiền, mức án tối đa 20 năm; tổng hợp hai tội, mức hình phạt tối đa lên đến 30 năm. Ông đã có mặt trước thẩm phán tòa án quận liên bang Ona Wang (Judge Ona Wang) để nghe cáo trạng một cách chính thức.

Trong một tuyên bố, công tố viên Mỹ Jay Clayton (傑伊·克萊頓) nhấn mạnh: “Trộm cắp từ sàn giao dịch tiền mã hóa cũng là trộm cắp, không thể thay đổi thực tế bằng cách nói ‘tiền mã hóa thì khác’. Spalletta đã gây thiệt hại hàng chục triệu đô la Mỹ cho những nạn nhân có thật, và giờ ông ấy đã bị bắt.”

Năm 2021 là năm các vụ tấn công hacker vào DeFi diễn ra dày đặc, với tổng thiệt hại vượt quá 2,6 tỷ đô la Mỹ, vụ việc lớn nhất là sự cố 610 triệu đô la Mỹ nhắm vào giao thức liên chuỗi Poly Network (sau đó kẻ tấn công đã tự nguyện hoàn trả tiền). Điểm đặc biệt của vụ Uranium Finance là các nạn nhân đến nay vẫn chưa nhận được bất kỳ khoản bồi thường nào.

Câu hỏi thường gặp

Vì sao lần tấn công hacker thứ hai của Uranium Finance lại có thể gây ra thiệt hại lớn đến vậy?

Lần tấn công thứ hai đã tận dụng lỗ hổng logic trong hợp đồng thông minh Uranium kiểm soát hạn mức rút tiền của 26 bể thanh khoản độc lập. Thông qua một thao tác chính xác duy nhất, kẻ tấn công đã vượt qua giới hạn rút tiền của tất cả các bể, đồng thời xóa sạch phần lớn tài sản của giao thức trong một lần. Quy mô đạt 53,3 triệu đô la Mỹ, khiến nền tảng mất toàn bộ thanh khoản và buộc phải đóng cửa vĩnh viễn.

Vì sao việc mua thẻ Pokémon và đồng xu cổ La Mã có thể bị xem là hành vi rửa tiền?

Các yếu tố cấu thành về mặt pháp lý của rửa tiền bao gồm việc xử trí trái phép thu nhập dưới bất kỳ hình thức nào để khiến chúng trông như có nguồn gốc hợp pháp hoặc khó truy vết. Việc chuyển đổi tiền mã hóa bị đánh cắp thành đồ sưu tầm vật chất là một phương thức rửa tiền điển hình theo kiểu “tầng hóa” — chuyển tài sản số thành dạng vật thể, vừa che giấu nguồn gốc tiền, vừa giữ lại giá trị của tài sản, phù hợp với định nghĩa pháp lý về tội rửa tiền.

Nạn nhân của Uranium Finance có thể nhận được bồi thường từ vụ kiện cáo buộc này không?

Các nhà chức trách đã thu giữ khoảng 31 triệu đô la Mỹ tiền mã hóa liên quan đến vụ án này vào tháng 2 năm 2025. Nếu có kết tội, tòa án có thể ra lệnh tịch thu tài sản và yêu cầu bồi thường cho các nạn nhân, nhưng việc có thể thu hồi được hay thu hồi được bao nhiêu rốt cuộc phụ thuộc vào tiến triển của các thủ tục tố tụng tiếp theo. Hiện tại, các nạn nhân vẫn phải đối mặt với mức độ bất định cao.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo Tuyên bố miễn trừ trách nhiệm.