2021年4月,去中心化交易所Uranium Finance的代码里藏着一个漏洞。有人发现了它,先拿走140万美元,又退回大部分,最后揣着38.6万美元"赏金"离开——这是常规剧本。
但20天后,同一个人回来了。这次他卷走5330万美元(约3.8亿人民币),平台直接倒闭。
「假互联网钱」与真刑期
美国司法部本周正式起诉Jonathan Spalletta,网名Cthulhon。起诉书披露了一段对话:Spalletta向同伙描述这次行动时,用了"heist(抢劫)"这个词,还说「加密货币不过是假互联网钱而已」。
纽约南区联邦检察官Jay Clayton的回应很直接:「偷加密货币就是偷钱,'加密不一样'这套说辞改变不了性质。对受害者来说,钱被拿走没什么不同。」
Spalletta现在面临计算机欺诈和洗钱两项指控,最高30年监禁。
检方没说的是:这5330万美元里,有200万美元变成了《万智牌》卡牌,100万美元换成了宝可梦卡牌。传统赃款的洗白路径是赌场、房产、离岸账户;Web3时代的答案是:限量印刷的纸片。
两次攻击,同一套逻辑
Spalletta的手法并不复杂。第一次攻击在2021年4月8日,他通过一系列交易操纵奖励机制,套出140万美元。Uranium Finance当时选择了谈判——退还大部分,保留38.6万美元作为"漏洞赏金"。
这套机制在DeFi(去中心化金融)领域很常见:白帽黑客发现漏洞,平台付钱封口,双方各取所需。但Spalletta显然把这次交易当成了侦察。
4月28日,他针对Uranium的智能合约错误发起第二次攻击。漏洞影响了26个流动性池,5330万美元被抽干。平台没有第三次谈判的机会,直接 shutdown。
这里有个细节:第一次攻击后,Uranium的团队为什么没有彻底审计代码?DeFi项目的开发节奏以周计算,安全审计的成本可能超过项目本身的市值。Spalletta赌的就是这个。
卡牌收藏:新世纪的洗钱工具?
300万美元买卡牌,占赃款总额的5.6%。这个比例不算高,但选择本身很有意思。
限量卡牌的市场有几个特征:流动性高(热门卡牌几天内就能脱手)、价格不透明(同一张卡在不同平台价差可达30%)、跨境无摩擦(一张PSA 10分的宝可梦卡比比特币更容易塞进登机箱)。
更关键的是文化掩护。一个30岁男性花百万美元买卡牌,在收藏圈不算新闻;但如果他同期购入等值的奢侈品手表,反洗钱系统会立刻标记。
Spalletta不是第一个想到这招的人。2022年,美国财政部曾警告NFT市场可能被用于洗钱;2023年,英国警方破获一起用球星卡洗白加密货币的案件。但把《万智牌》和宝可梦同时纳入组合,Spalletta的品味确实……复古。
追赃与追诉的时差
从2021年4月到2025年4月被起诉,间隔整整四年。这个速度在加密货币犯罪案件中不算慢——链上追踪需要解析混币器、跨链桥、多层钱包,而Spalletta的卡牌采购留下了实体交易记录。
美国司法部的起诉策略也在变化。Jay Clayton的声明特别强调「真实受害者、真实损失」:Uranium Finance倒闭后,流动性提供者的资金被锁死或归零。DeFi协议没有FDIC保险,没有「太大而不能倒」。
Spalletta的辩护空间可能在于:智能合约的漏洞是否构成「授权」?他第一次攻击后获得的38.6万美元,是平台自愿支付的。但第二次攻击的规模、预谋性,以及事后的资金转移,很难用「白帽黑客」解释。
那300万美元卡牌的命运?检方没说是否追回。如果它们还在某个保险柜里,PSA评级标签上的编号或许能成为证据链的最后一环。
你钱包里的DeFi协议,上一次完整审计是什么时候?
热门跟贴