【安全资讯】黑客因窃取Uranium加密货币交易所5300万美元被起诉

概要：

在加密货币领域，智能合约的安全漏洞正成为黑客觊觎的目标，导致巨额资金损失。近日，美国检方指控一名黑客通过两次攻击去中心化交易所Uranium Finance，窃取了价值超过5300万美元的加密货币，并利用混币器清洗赃款，最终导致该交易所因资金枯竭而关闭。此案凸显了DeFi（去中心化金融）协议在代码安全方面的严峻挑战。

主要内容：

美国马里兰州36岁的Jonathan Spalletta被指控在2021年4月两次入侵Uranium Finance交易所。检方称，他首次攻击利用了交易所智能合约中“AmountWithBonus”变量的缺陷，通过发出零代币提款命令，非法获取了约140万美元的流动性资金。随后，他竟勒索交易所，以归还部分资金为条件，索要了近38.6万美元的所谓“漏洞赏金”。

三周后，Spalletta发动了第二次攻击。他利用了一个单字符编码错误，导致交易验证逻辑中的除数从10,000变成了1,000。这一漏洞使他能够从26个独立的流动性池中提取近90%的资产，而仅存入几乎为零的代币，从而窃取了约5330万美元，这几乎是Uranium的全部持有资产，直接导致该交易所立即关闭。

得手后，Spalletta通过Tornado Cash加密货币混币器清洗赃款，并将所得用于购买高价收藏品，包括一张价值约50万美元的“黑莲花”万智牌、价值约150万美元的18包Alpha Booster万智牌、一套价值约75万美元的初版完整宝可梦卡组以及一枚价值超过60.1万美元的纪念凯撒遇刺的古罗马硬币。

2025年2月，执法部门根据法院授权的搜查令从其住所扣押了这些收藏品，并从与其相关的钱包中追回了约3100万美元的加密货币。Spalletta目前面临一项计算机欺诈指控，最高可判处10年监禁，若洗钱罪名成立，最高刑期可达20年。此案揭示了智能合约代码审计的极端重要性及DeFi领域面临的高风险。