一名曾将数字资产描述为“虚假互联网货币”的加密货币黑客目前已被美国警方拘留,他被指控实施了一起价值 5300 万美元的攻击,导致一家去中心化交易所倒闭。一位专家表示,此案表明法院正在更加严格地审查智能合约漏洞是否可以被视为合法行为。
美国当局周一公布了一份起诉书,指控乔纳森·斯帕莱塔(Jonathan Spalletta,又名“Cthulhon”和“Jspalletta”)犯有计算机欺诈和洗钱罪,罪名与 2021 年对去中心化交易所 Uranium Finance 的两起攻击有关。
斯帕莱塔在周一被指控后向当局自首,他目前面临计算机欺诈罪最高 10 年监禁和洗钱罪最高 20 年监禁。
“从加密货币交易所盗窃就是盗窃——‘加密货币有所不同’的说法并不能改变这一点。”美国检察官杰伊·克莱顿在一份声明中表示。
该案例属于更广泛的打击 DeFi 漏洞的行动的一部分,这些漏洞利用了技术漏洞和资金滥用问题。
TRM Labs亚太区政策与战略合作负责人Angela Ang告诉Decrypt : “‘代码即法律’的理念正越来越多地在法庭上受到考验。”
她补充说:“利用智能合约漏洞在技术上可能是可行的,但这并不意味着法院会认为这是合法的——尤其是在与洗钱和隐瞒相结合的情况下。”
起诉书指控 Spalletta 于 2021 年 4 月 8 日发动了第一次攻击,利用 Uranium 智能合约中的奖励跟踪漏洞,反复抽取了约 140 万美元的流动性池。
大约两周后,他写信给另一个人说:“我抢劫了价值 150 万美元的加密货币……智能合约中存在漏洞,我利用了它……反正加密货币都是虚假的互联网货币。”
当局称,他后来与平台协商后归还了大部分被盗资金,但根据检察官所称的虚假“漏洞赏金”安排,他保留了约 38.6 万美元。
4 月 28 日,他据称利用 26 个流动性池的另一个漏洞,获取了价值约 5330 万美元的加密货币,导致 Uranium Finance 无法继续运营。
据称,在 2021 年 4 月至 2023 年 11 月期间,斯帕莱塔通过Tornado Cash转移了约 2600 万美元,将资金转移到多个区块链和钱包中,以掩盖其来源。
链上侦探 ZachXBT 此前在 2023 年 12 月的一份报告中追踪了洗钱路线,指出被盗的ETH如何从混币器中取出,并通过经纪人购买高价值收藏品。
根据起诉书,这些收藏品包括稀有的万智牌和宝可梦卡牌、一枚凯撒时代的硬币,以及一件莱特兄弟的文物,后来被尼尔·阿姆斯特朗带到To the moon。
去年二月,执法部门还查获了价值约 3100 万美元的加密货币,当局称这些加密货币与该涉嫌的犯罪活动有关。
当被问及更严格的审计或保险是否可以防止该平台崩溃时,Ang 表示:“更严格的审计和保险机制可以降低漏洞利用的可能性和影响,但它们并非万能灵药。”
她补充说,组织需要“多层防御”,包括“定期安全审计、安全编码实践、多重签名控制和强大的安全文化,而不是依赖任何单一的安全保障措施”。
