Jonathan Spalletta 是一名马里兰州居民，因涉嫌与 2021 年 Uranium Finance 漏洞利用事件有关，于 2026 年 3 月被起诉。Uranium Finance 是一家去中心化加密货币交易所。他被指控通过利用该平台智能合约中的漏洞，在两次独立的黑客攻击中窃取了超过 5400 万美元。据联邦检察官称，Spalletta 随后对被盗资金进行了洗钱，并用这些资金购买了价值数百万美元的稀有收藏品，包括高价值的交易卡和历史纪念品。此案由美国纽约南区检察官办公室负责处理。^{[1] [2]}​

背景与起诉

Jonathan Spalletta 出生于 1990 年左右，在被起诉时居住在马里兰州罗克维尔。^[1] 他在网上使用多个别名，包括 “Cthulhon”、“Jspalletta”、“Jonny Boy”、“Nass” 和 “SirJonathan”。^{[1] [3]}

2026 年 3 月 30 日，纽约南区的一份起诉书被解封，指控 Spalletta 在 Uranium Finance 漏洞利用事件中扮演的角色。他于同一天向当局自首。^{[1] [2]} 该案被分配给美国地方法院法官 Jed S. Rakoff。^[1]

Spalletta 面临两项联邦指控：

• 一项计算机欺诈罪，最高可判处 10 年监禁。
• 一项洗钱罪，最高可判处 20 年监禁。

如果两项罪名均成立，他将面临最高 30 年的潜在总刑期。^{[1] [2]}

Uranium Finance 漏洞利用事件

Uranium Finance 是一个去中心化金融 (DeFi) 项目，在 BNB Chain（原币安智能链）上作为自动做市商运行，允许用户通过流动性池交易加密货币。^{[4] [3]} 检察官指控 Spalletta 在 2021 年 4 月对该平台进行了两次独立的黑客攻击。

第一次漏洞利用（2021 年 4 月）

根据起诉书，第一次黑客攻击发生在 2021 年 4 月 8 日左右。Spalletta 涉嫌利用 Uranium Finance 其中一个智能合约中的漏洞，从流动性池中欺诈性地提取了“奖励”代币，窃取了价值约 140 万美元的加密货币。^[1]​

欺骗活动

在黑客攻击前后的这段时间里，Spalletta 及其涉嫌的共谋者被指控策划了一场欺骗活动，以误导投资者并隐瞒他们的参与。他们在即时通讯平台 Telegram 上创建了一个公开的“作战室”（War Room），伪装成一个致力于调查该事件并追回被盗资金的团队。^[4]​

作为这一诡计的一部分，他们散布了一个虚假叙事，称一名“白帽黑客”已介入以保护部分资产。为了增加这一说法的情信度，他们将被盗资金中的约 200 万美元归还到了一个由他们控制的钱包中，但向社区展示为官方开发者的钱包。此举旨在建立受害者的信任，并营造出一种合法的追回工作正在进行的假象。^[4]​

第二次漏洞利用（2021 年 4 月）

2021 年 4 月 28 日左右，Spalletta 涉嫌执行了第二次规模大得多的黑客攻击。他利用了 Uranium Finance 负责管理加密货币提取的主智能合约中的另一个关键错误。该漏洞允许攻击者在交换过程中操纵输入代币的价值，使他们能够抽干该平台流动性池中持有的几乎所有其他资产。^{[1] [4]}​

此次攻击针对 26 个独立的流动性池，导致价值约 5330 万美元的各种加密货币被盗，包括 BNB 和 BUSD。巨额资金的失窃造成了灾难性的损失，迫使 Uranium Finance 交易所永久停止运营。^{[1] [2]}​

洗钱与资产购买

黑客攻击发生后，Spalletta 被指控参与了一项复杂的计划，对被盗的加密货币进行洗钱，据称他个人至少收到了 1100 万美元。^[3]​

据称，洗钱过程涉及使用 Tornado Cash，这是一种旨在掩盖链上交易轨迹的加密货币混币服务。被盗的 BNB 和 BUSD 代币被兑换成以太坊 (ETH)，随后又被转换为 Monero (XMR)（一种增强隐私的加密货币），以进一步隐瞒资金来源。^{[1] [3]}​

据称，洗钱所得随后被用于购买一系列高价值且稀有的物品：

• 万智牌（Magic: The Gathering）卡牌： 以约 1,512,500 美元购买的一张“黑莲花”（Black Lotus）卡牌。
• 宝可梦（Pokémon）卡牌： 以约 750,000 美元购买的一盒密封的第一版“Booster”卡牌。
• 古董与纪念品： 以 137,500 美元购买的一枚“Eid Mar Denarius”，这是一种纪念刺杀朱利叶斯·凯撒的古罗马硬币。

这些具体的购买行为及其价值在司法部的起诉材料中得到了详细说明。^{[1] [2]}​

调查与资产扣押

针对 Uranium Finance 黑客攻击的调查由联邦调查局 (FBI) 和国税局刑事调查局 (IRS-CI) 进行。^[3] 2025 年 2 月 24 日，美国执法部门扣押了与黑客攻击有关的加密货币，扣押时价值约 3100 万美元。^{[1] [2]}​

除了加密货币外，当局还对 Spalletta 的住所执行了搜查令，并扣押了大量据信是用被盗资金购买的实物资产。这些扣押物品包括“黑莲花”交易卡、古钱币和其他收藏品。^[1]​

官方声明

在起诉书解封后，美国纽约南区检察官 Damian Williams 表示：“据指控，Jonathan Spalletta 反复攻击智能合约，为自己窃取价值数百万美元的他人的钱财，并在此过程中摧毁了一家加密货币交易所。据称，Spalletta 能够通过利用交易所计算机代码中的漏洞做到这一点。但他无法隐藏其欺诈行为的果实。我们将继续揭开复杂的网络犯罪，并追究诈骗者的责任，无论其计划多么复杂。” ^[1]

FBI 助理局长 James Smith 在评论 FBI 致力于追踪此类案件时表示：“加密货币领域的坏人应该注意，FBI 致力于识别并逮捕他们，无论他们是否使用了复杂的交易技术。” ^[3]

IRS-CI 纽约外勤办事处特别负责人 Thomas M. Fattorusso 补充道：“Spalletta 涉嫌利用 Uranium Finance 代码的行为是欺诈行为在现代高科技领域的演变……国税局刑事调查局将继续向此类案件提供我们的网络和金融调查专业知识，以确保那些寻求从数字世界获取非法利润的人被绳之以法。” ^[4]