Các cơ quan chức năng của Mỹ đã công bố bản cáo trạng đối với một người đàn ông ở Maryland bị cáo buộc thực hiện hai vụ hack riêng biệt nhắm vào Uranium Finance, một nền tảng DeFi đã ngừng hoạt động hiện nay, đã mất hơn $54 triệu vào tháng 4/2021. Vụ việc, do Văn phòng Luật sư Hoa Kỳ của Quận Nam New York (U.S. Attorney’s Office for the Southern District of New York) đưa ra, cho rằng Jonathan Spalletta đã khai thác các hợp đồng thông minh để chuyển tiền từ Uranium Finance, khiến dự án phải đóng cửa sau khi họ cạn kiệt thanh khoản.
Spalletta đã ra trình diện cơ quan chức năng vào hôm thứ Hai và phải đối mặt với các cáo buộc hình sự mà phía công tố cho rằng phản ánh hậu quả trong thế giới thực đối với tội phạm liên quan đến crypto. Trong một tuyên bố, U.S. Attorney Jay Clayton nhấn mạnh rằng crypto không che chắn cho tội phạm khỏi trách nhiệm giải trình, nói rằng “Đánh cắp từ một sàn giao dịch crypto là trộm cắp—khẳng định rằng crypto là khác biệt không làm thay đổi điều đó.” Ông cũng cho biết các nạn nhân đã chịu thiệt hại lên tới hàng chục triệu đô la và rằng vụ việc cho thấy pháp luật được áp dụng đối với tài sản kỹ thuật số giống như cách nó áp dụng cho tội phạm tài chính truyền thống.
Uranium Finance là một bản fork của Uniswap trên BNB Chain, ra mắt vào tháng 4/2021 trong đợt tăng trưởng của thị trường. Sau vụ tấn công thứ hai, trang web của nền tảng bị đưa ngoại tuyến, khiến các nhà đầu tư không có câu trả lời rõ ràng về tình trạng của quỹ. Vụ việc này bổ sung vào một câu chuyện rộng hơn về các hành động thực thi trong không gian DeFi, nơi các vụ khai thác hợp đồng thông minh đã trở thành một mối đe dọa lặp lại.
Theo cơ quan chức năng, các hành động của Spalletta đã khai thác các điểm yếu trong các hợp đồng thông minh của Uranium Finance. Vụ xâm nhập ban đầu đã dẫn đến một thỏa thuận dàn xếp riêng, qua đó gần như toàn bộ số tiền bị đánh cắp từ vụ tấn công đầu tiên được hoàn trả, với khoảng $386,000 còn lại chưa được thu hồi.
Hai vụ vi phạm trong cùng một tháng đã khiến Uranium Finance ngừng hoạt động. Vụ thứ nhất diễn ra vào ngày 8/4/2021, khi một hacker rút lượng phần thưởng bằng tiền mã hóa nhiều hơn đáng kể so với số tiền họ được ủy quyền nhận. Vụ hack thứ hai, xảy ra vào cuối tháng 4, đã khai thác một lỗi trong logic giới hạn rút tiền của Uranium, logic này điều hành 26 bể thanh khoản riêng biệt, cho phép kẻ tấn công chuyển siphon khoảng $53.3 triệu bằng crypto, bao gồm BTC, ETH và token U92 gốc của nền tảng.
Văn phòng Luật sư Hoa Kỳ ghi nhận rằng các công tố viên đã thu hồi và xem xét các tài liệu bị tịch thu trong quá trình điều tra, bao gồm các vật dụng liên quan đến nơi ở của nghi phạm. Công tố viên cáo buộc rằng số tiền bị đánh cắp sau đó được sử dụng để mua các bộ sưu tập, như thẻ Pokémon, đồng xu La Mã cổ, và thậm chí là một mảnh vải gắn với chiếc máy bay nguyên gốc của anh em nhà Wright. Những món đồ này đã được xác định trong một cuộc tìm kiếm được tiến hành liên quan đến vụ án.
Các thông tin đưa trước đó cho biết cơ quan chức năng đã tịch thu $31 triệu bằng tiền mã hóa gắn với vụ hack Uranium Finance vào tháng 2/2022, mặc dù thời điểm đó phía cơ quan chức năng không công bố thêm chi tiết. Spalletta đã bị buộc một tội danh gian lận máy tính và một tội danh rửa tiền, cả hai đều có mức hình phạt tiềm ẩn đáng kể. Anh dự kiến sẽ xuất hiện trước một thẩm phán tòa án liên bang của Mỹ để làm thủ tục buộc tội (arraignment) và nhận các cáo buộc chính thức.
Vụ án nằm trong một bối cảnh rộng hơn, trong đó các tổ chức giám sát tội phạm mạng ước tính rằng năm 2021 đã chứng kiến hơn $2.6 tỷ tổn thất từ các vụ hack và khai thác trên nhiều mạng crypto. Quy mô theo kiểu Solar Network của một số vụ vi phạm—chẳng hạn như sự cố Poly Network nổi tiếng vào năm 2020—đã làm gia tăng các lời kêu gọi về rào chắn quản lý rõ ràng hơn và các tiêu chuẩn bảo mật vững chắc hơn trong hệ sinh thái DeFi. Khi các hành động thực thi diễn ra, cả nhà đầu tư lẫn nhà phát triển đều đang theo dõi cách các công tố viên xử lý bằng chứng, truy vết tài sản và các nỗ lực thu hồi trong những vụ án có câu chuyện tội phạm kết hợp giữa kỹ thuật số và vật lý.
Đối với ngành công nghiệp, vụ án Spalletta nhấn mạnh rủi ro tiếp diễn vốn có trong các giao thức DeFi dựa vào các hợp đồng thông minh phức tạp. Nó cũng là một lời nhắc rằng hoạt động phi pháp liên quan đến crypto có thể để lại những hậu quả hữu hình và kéo dài cho nạn nhân và cộng đồng, ngay cả khi cuối cùng các khoản tiền đã được xác định hoặc được thu hồi một phần. Các cơ quan quản lý và công tố viên nhiều khả năng sẽ giám sát chặt chẽ hơn các vectơ khai thác, việc truy vết ví và các chiến lược thu hồi tài sản khi các vụ án như thế này tiếp tục được tiến hành.
Các ý chính rút ra
Bản cáo trạng và các cáo buộc: Jonathan Spalletta bị buộc tội gian lận máy tính và rửa tiền liên quan đến hai vụ hack của Uranium Finance, với khả năng bị phạt nhiều thập kỷ tù nếu bị kết án. Anh đã ra trình diện cơ quan chức năng và dự kiến sẽ xuất hiện trước một thẩm phán của Mỹ.
Phạm vi các vụ vi phạm: Uranium Finance chịu hai vụ hack trong tháng 4/2021, tổng cộng làm cạn kiệt hơn $54 triệu. Chỉ riêng cuộc tấn công thứ hai nhắm vào $53.3 triệu trên 26 bể thanh khoản, bao gồm các tài sản lớn như BTC và ETH, cũng như token U92 của nền tảng.
Vụ vi phạm đầu tiên và thỏa thuận dàn xếp: Sự cố ngày 8/4 chứng kiến một hacker chuyển siphon các phần thưởng vượt xa ủy quyền, và một thỏa thuận dàn xếp riêng sau đó đã hoàn trả gần như toàn bộ số tiền bị đánh cắp, trừ khoảng $386,000.
Các lần thu giữ sau hack và số tiền thu được: Trước đó, cơ quan chức năng đã tịch thu khoảng $31 triệu gắn với vụ hack Uranium Finance vào năm 2022, với ít chi tiết công khai trong thời điểm đó. Công tố viên cho biết các tài sản bị đánh cắp đã xuất hiện trong nhiều giao dịch mua sắm khác nhau, bao gồm các bộ sưu tập và các hiện vật lịch sử.
Bản cáo trạng và các cáo buộc
Hồ sơ của SDNY nêu ra hai cáo buộc đối với Spalletta: gian lận máy tính và rửa tiền. Nếu bị kết án, hai cáo buộc này có thể kéo theo thời gian ngồi tù đáng kể bên cạnh các khoản tiền phạt tiềm năng. Phiên buộc tội sắp tới sẽ xác định các cáo buộc chính thức và các bước tiếp theo trong lộ trình truy tố. Vụ án cho thấy một xu hướng rộng hơn, theo đó các cơ quan chức năng xử lý các vụ gian lận có hỗ trợ từ crypto với sự nghiêm ngặt trong truy tố truyền thống, nhấn mạnh rằng tội ác trong lĩnh vực tài sản kỹ thuật số có hậu quả pháp lý ngoài đời thực.
Các vụ hack của Uranium Finance trong bối cảnh
Uranium Finance nổi lên như một bản fork của Uniswap trên BNB Chain, gia nhập thị trường trong bối cảnh một làn sóng mở rộng DeFi rộng hơn vào năm 2021. Sự vươn lên nhanh chóng của nó bị lu mờ bởi một cặp sự cố nổi bật thu hút sự chú ý, làm dấy lên những câu hỏi về sức bền và cơ chế quản trị của các dự án DeFi giai đoạn đầu. Riêng cuộc khai thác thứ hai đã làm nổi bật cách các lỗ hổng trong logic giới hạn rút tiền có thể ảnh hưởng đến nhiều bể và chuyển các khoản tiền lớn của người dùng qua những hợp đồng bị xâm nhập. Khi các sự việc này diễn ra, cuối cùng Uranium Finance đã đóng cửa, để lại cho nhà đầu tư mức độ hiểu biết khá hạn chế về việc thu hồi và đền bù tài sản.
Xét từ góc độ quản lý và thực thi, vụ án tạo thêm động lực cho các nỗ lực thiết lập trách nhiệm giải trình rõ ràng trong DeFi, nơi các giao thức tự động vận hành ở giao điểm của tài chính và mã lệnh. Các nhà phê bình từ lâu đã lập luận rằng việc thiếu các thực hành bảo mật tiêu chuẩn và các cơ chế kiểm soát lưu ký trong DeFi tạo ra một “khoảng trống” quản lý. Các truy tố như vụ này có thể thúc đẩy các dự án hướng tới việc kiểm toán bảo mật mạnh hơn, lập kế hoạch ứng phó sự cố nghiêm ngặt hơn và các thực hành công bố minh bạch hơn để giảm rủi ro cho người dùng và nhà đầu tư.
Nhìn về phía trước, các bên tham gia thị trường sẽ theo dõi cách các công tố viên theo đuổi việc thu hồi tài sản, cách phía bào chữa định hình các chi tiết kỹ thuật của việc khai thác hợp đồng thông minh, và cách các vụ án này ảnh hưởng đến thiết kế giao thức cũng như mô hình quản trị. Bản cáo trạng của Spalletta là một tín hiệu hữu hình cho thấy ranh giới giữa tội phạm kỹ thuật số và tội phạm truyền thống đang được kiểm soát bằng các công cụ pháp lý ngày càng mang tính thông thường—những công cụ mang hậu quả trong thế giới thực đối với những ai thu lợi từ việc khai thác các hệ thống tài chính phi tập trung.
Khi cuộc điều tra tiến triển, người đọc nên theo dõi các hồ sơ tòa án sắp tới và bất kỳ tuyên bố bổ sung nào từ SDNY. Kết quả có thể cung cấp thông tin cho các ưu tiên thực thi trong tương lai, định hướng đánh giá rủi ro đối với các giao thức DeFi và định hình cách nhà đầu tư đánh giá mức độ an toàn trong một bối cảnh crypto đang thay đổi nhanh chóng.
Bài viết này ban đầu được đăng với tiêu đề Uranium Finance Hack: Alleged Hacker Faces 30-Year Prison Term, $54M on Crypto Breaking News – your trusted source for crypto news, Bitcoin news, and blockchain updates.
