一名曾將數位資產描述為「假的網路貨幣」的加密貨幣駭客，目前已被美國當局拘留，他被指控執行了一起價值 5300 萬美元的漏洞利用攻擊，導致一家去中心化交易所崩潰。一位專家表示，此案顯示法院正更嚴格地審視智能合約漏洞利用是否能被視為合法行為。

美國當局週一公布一份起訴書，指控 Jonathan Spalletta（又名「Cthulhon」和「Jspalletta」）在 2021 年對去中心化交易所 Uranium Finance 發動兩次攻擊，涉及電腦詐欺和洗錢罪。

在被指控後，Spalletta 已於週一向當局投案，他目前面臨最高 10 年的電腦詐欺罪刑和 20 年的洗錢罪刑。

「從加密貨幣交易所竊取資產就是竊盜——聲稱『加密貨幣不同』並不能改變這一點。」美國檢察官 Jay Clayton 在一份聲明中表示。

此案符合更廣泛的努力，旨在解決結合技術漏洞和資金濫用的 DeFi 漏洞利用事件。

TRM Labs 亞太區政策與戰略合作夥伴主管 Angela Ang 告訴 Decrypt：「『程式碼即法律』的觀點正日益在法庭上受到檢驗。」

她補充說：「利用智能合約漏洞在技術上或許可行，但這不代表法院會將其視為法律上允許的行為——尤其當它與洗錢和隱藏行為結合時。」

起訴書指控 Spalletta 於 2021 年 4 月 8 日發動了第一次攻擊，利用 Uranium 智能合約中的獎勵追蹤漏洞，多次從流動性池中抽走約 140 萬美元。

大約兩週後，他向另一個人寫道：「我進行了一次 150 萬美元的加密貨幣搶劫... 智能合約有一個錯誤，我利用了它... 反正加密貨幣都是假的網路錢。」

當局表示，他在與平台談判後歸還了大部分被盜資金，但以檢察官所稱的虛假「漏洞賞金」安排保留了約 386,000 美元。

4 月 28 日，他涉嫌利用另一個漏洞，從 26 個流動性池中獲取約 5330 萬美元的加密貨幣，導致 Uranium Finance 無法繼續營運。

在 2021 年 4 月至 2023 年 11 月期間，Spalletta 涉嫌透過 Tornado Cash 轉移了約 2600 萬美元，並將資金跨多個區塊鏈和錢包轉移，以模糊其來源。

鏈上偵探 ZachXBT 曾在 2023 年 12 月的一份報告中追蹤了洗錢路徑，指出了被盜的 ETH 如何從混幣器中提取，並透過經紀人購買高價值收藏品。

根據起訴書，這些收藏品包括稀有的魔法風雲會和寶可夢卡牌、一枚凱撒大帝時代的硬幣，以及萊特兄弟的一件文物（後來由尼爾·阿姆斯壯帶到月球）。

去年二月，執法部門也扣押了約 3100 萬美元的加密貨幣，當局稱這些資產與該涉嫌的計劃有關。

當被問及更嚴格的審計或保險是否能阻止平台崩潰時，Ang 表示：「更強大的審計和保險機制可以降低漏洞利用的可能性和影響，但它們並非萬靈丹。」

她補充說，組織需要「多層防禦」，包括「定期的安全審計、安全的編碼實踐、多重簽名控制以及強大的安全文化，而不是依賴任何單一的防護措施。」