美国联邦检方近日公布起诉书，指控一名美国男子涉嫌在2021年两次入侵去中心化金融（DeFi）平台Uranium Finance，窃取加密资产总额超过5400万美元。

被指两次入侵Uranium Finance

纽约南区美国检察官办公室周一表示，马里兰州居民 Jonathan Spalletta 被控于2021年4月对Uranium Finance实施两次黑客攻击。该平台为基于BNB链、分叉自自动化做市商Uniswap的项目，于2021年4月牛市期间上线，随后在第二次攻击后关闭。

检方称，Spalletta 利用Uranium Finance智能合约中的漏洞，从平台窃取了数千万美元的加密资产，导致该交易所因资金短缺而停止运营。检方表示，Spalletta 已于周一向当局自首。

美国检察官 Jay Clayton 在声明中表示，Spalletta 通过利用智能合约漏洞“从Uranium Finance窃取了数百万美元”，并指出，无论目标是否为加密交易所，“盗窃就是盗窃”，受害者遭受的损失“没有任何不同”。

同月两次攻击致损失逾5400万美元

根据起诉书，Uranium Finance 在上线数日后即遭遇首次攻击。2021年4月8日，攻击者利用智能合约漏洞，从平台中“提取了远超授权的加密货币奖励”，造成约140万美元损失。

纽约南区美国检察官办公室称，在首次事件后，平台方面与攻击者达成私下协议，除约38.6万美元外，其余被盗资金被归还。

几周后的4月28日，Uranium Finance 再次遭遇更大规模攻击。检方指称，攻击者利用该平台智能合约中关于26个流动性池提现限制的漏洞，盗取约5330万美元加密资产，涉及比特币（BTC）、以太坊（ETH）以及平台原生代币“U92”等。

在第二次攻击后，Uranium Finance 网站关闭，相关受害者此后一直鲜有公开说明或答复。

检方：部分赃款疑流入收藏品市场

起诉书显示，检方认为部分被盗资金被用于购买各类收藏品，包括宝可梦卡牌、古罗马硬币以及据称来自莱特兄弟原始飞机的一块布料。

检方表示，这些物品在对 Spalletta 住所进行搜查时被查获。此前在去年2月，执法机构曾查扣与该黑客事件相关的约3100万美元加密货币，但当时未披露具体案情细节。

或面临最高30年监禁

Spalletta 目前被控一项计算机欺诈罪和一项洗钱罪。根据检方说明，前者最高可判处10年监禁，后者最高可判处20年监禁。案件原定于周一在美国地方法官 Ona Wang 面前进行提审。

检方在起诉书中提到，2021年间，黑客攻击和利用漏洞导致的加密资产盗窃金额估计超过26亿美元。其中金额最大的一起为跨链DeFi协议 Poly Network 遭遇的6.1亿美元攻击。该案中，攻击者随后归还了相关资金，项目团队当时将其行为描述为“白帽”行动。