一名被指控的加密駭客,曾將數位資產描述為「假網路貨幣」,如今被美國羈押,因涉嫌實施一宗價值 5300 萬美元的漏洞攻擊,該攻擊幫助摧毀了一個去中心化交易所。專家表示,此案顯示法院正更嚴格地審視:智慧合約漏洞攻擊是否能被視為合法。
美國當局週一解封一份起訴書,指控 Jonathan Spalletta(亦被稱為「Cthulhon」與「Jspalletta」)在兩起 2021 年對 Uranium Finance 的攻擊中,涉及電腦詐欺與洗錢。
Spalletta 在遭到起訴後於週一投案,現在他在電腦詐欺罪名上面臨最高 10 年刑期,而在洗錢指控上面臨最高 20 年刑期。
「從加密貨幣交易所偷竊就是偷竊——『加密貨幣不一樣』的說法並不會改變這一點。」美國檢察官 Jay Clayton 在一份聲明中表示。
本案符合一項更廣泛的行動,旨在因應結合技術漏洞與資金濫用的 DeFi 漏洞攻擊。
「『程式碼就是法律』這個觀念正越來越多地在法庭上接受考驗,」TRM Labs 亞太區政策與策略合作負責人 Angela Ang 在接受 Decrypt 採訪時表示。
「利用智慧合約漏洞在技術上或許可能,但這並不代表法院會將其視為在法律上可被允許——尤其是在搭配洗錢與掩飾的情況下,」她補充道。
起訴書指稱,Spalletta 在 2021 年 4 月 8 日實施了首次攻擊:利用 Uranium 智慧合約中的獎勵追蹤漏洞,反覆掏空約 140 萬美元的流動性池。
大約兩週後,他寫信給另一名個人:「我做了一起價值 150 萬美元的加密劫案……智慧合約裡有一個漏洞,而我利用了它……反正加密貨幣都是假的網路金錢。」
當局表示,他後來在與該平台協商後歸還了大部分被偷走的資金,但仍保留了約 38.6 萬美元,據檢方所述,這筆款項被包裝成一個名為「假漏洞賞金(bug bounty)」的安排。
在 4 月 28 日,他涉嫌在 26 個流動性池之間利用了另一項漏洞,取得約 5330 萬美元的加密貨幣,並導致 Uranium Finance 無法繼續運作。
在 2021 年 4 月到 2023 年 11 月之間,Spalletta 涉嫌透過 Tornado Cash 將約 2600 萬美元資金導流,並在多條區塊鏈與多個錢包之間移動資金,以掩飾其來源。
鏈上偵查人員 ZachXBT 先前在 2023 年 12 月的一份報告中追查並指出了洗錢路徑,說明被竊取的 ETH 如何從混幣器中被提領,並透過經紀商轉送,以購買高價收藏品。
這些收藏品包括稀有的 Magic 與 Pokémon 卡牌、一枚出自 Julius Caesar 時代的硬幣,以及一件萊特兄弟的文物——之後被 Neil Armstrong 於登月時攜帶。
去年 2 月,執法部門也扣押了價值約 3100 萬美元的加密貨幣;當局表示,這些資金與所指控的計畫有關。
當被問及更嚴格的稽核或保險是否能阻止該平台崩潰時,Ang 表示:「更強的稽核與保險機制可以降低漏洞發生的可能性與影響,但它們不是萬靈丹。」
她補充道:「組織需要『多層防禦』,其中包括『定期的安全稽核、安全的程式碼實作、多簽控管,以及強健的安全文化,而不是依賴任何單一的防護措施』。」
