Mỹ truy tố nghi phạm vụ trộm tiền mã hóa Uranium Finance 54 triệu USD, chi hàng triệu mua thẻ Pokemon và cổ vật hiếm

Mỹ vừa hé lộ chi tiết một vụ **“trộm tiền mã hóa”** quy mô lớn trị giá khoảng 54 triệu USD, trong đó phần đáng kể số tiền bị đánh cắp đã được sử dụng để mua *thẻ Pokemon* và *các cổ vật, hiện vật hiếm*.

Theo thông tin từ Văn phòng Công tố quận Nam New York đưa tin ngày 30 (giờ địa phương), nhà chức trách đã truy tố công dân bang Maryland, Jonathan Spalletta, với các tội danh *gian lận máy tính* và *rửa tiền*. Spalletta đã tự ra trình diện cùng ngày và nếu bị kết tội, anh ta có thể đối mặt mức án lên tới 30 năm tù. Khi khám xét nhà riêng, lực lượng chức năng thu giữ hàng loạt bộ sưu tập giá trị cao, bao gồm thẻ Pokemon, tiền xu La Mã cổ và mảnh vỡ máy bay của anh em nhà Wright.

từ **tiền mã hóa**, **trộm tiền mã hóa**, **DeFi**, **Uranium Finance**, **Bitcoin(BTC)**, **Ethereum(ETH)** sẽ được nhắc lại xuyên suốt bài viết.

Trong suốt quá trình điều tra, công tố viên Jay Clayton (Jay Clayton), đại diện quận Nam New York, nhấn mạnh rằng các hành vi đánh cắp trên sàn giao dịch tiền mã hóa không khác gì tội phạm tài chính truyền thống, và thiệt hại mà nạn nhân phải gánh chịu đều là mất mát tiền bạc thực sự, bất chấp việc chúng diễn ra trong không gian số.

Vụ việc bắt nguồn từ cuộc tấn công vào nền tảng Uranium Finance, một sàn giao dịch phi tập trung (DEX) vận hành trên BNB Chain, giữa bối cảnh làn sóng *DeFi* bùng nổ vào năm 2021. Uranium Finance được tung ra với nhiều kỳ vọng trong cộng đồng, nhưng chỉ tồn tại chưa đầy một tháng trước khi sụp đổ hoàn toàn vì hai cuộc tấn công liên tiếp.

Theo tài liệu buộc tội, cuộc tấn công đầu tiên diễn ra ngày 8 tháng 4 năm 2021, khi tin tặc khai thác lỗ hổng trong *hợp đồng thông minh* của Uranium Finance để chiếm đoạt khoảng 1,4 triệu USD. Sau đó, đã có một thỏa thuận để hoàn trả một phần số tiền, khiến nhiều người tin rằng sự cố đã tạm khép lại.

Tuy nhiên, chỉ 20 ngày sau, vào ngày 28 tháng 4, một cuộc tấn công thứ hai đã xảy ra với quy mô lớn hơn rất nhiều. Công tố Mỹ cáo buộc Jonathan Spalletta đã tận dụng lỗi trong đoạn mã xử lý rút tiền của nền tảng để tấn công cùng lúc 26 pool thanh khoản. Bằng cách thao túng cơ chế tính toán và rút tài sản trong các pool, anh ta đã rút sạch lượng lớn tài sản, trong đó có **Bitcoin(BTC)**, **Ethereum(ETH)**, token U92 và nhiều loại token khác, với tổng giá trị lên tới khoảng 53,3 triệu USD.

Sau vụ hack thứ hai, Uranium Finance nhanh chóng tuyên bố dừng hoạt động hoàn toàn. Nền tảng ngừng giao dịch, các kênh liên lạc không còn cập nhật, và nhà đầu tư hầu như không nhận được bất kỳ kế hoạch bồi thường hay báo cáo điều tra chi tiết nào. Hệ quả là hàng loạt người dùng DeFi phải tự gánh khoản lỗ lớn, còn vụ việc dần trôi vào danh sách các “vụ hack DeFi không lời giải” kéo dài suốt nhiều năm.

Trong khi đó, phía cơ quan chức năng Mỹ lại âm thầm tiến hành điều tra. Các chuyên gia phân tích blockchain của chính phủ cùng lực lượng điều tra liên bang đã lần theo dấu vết dòng tiền trên chuỗi, từ các địa chỉ ví được cho là liên quan đến vụ hack cho đến các bước trung gian như hoán đổi token, chuyển qua nhiều mạng khác nhau và sử dụng các dịch vụ pha trộn (mixing).

Theo thông báo mới nhất, sau nhiều năm truy vết, nhà chức trách đã thu hồi được khoảng 31 triệu USD tiền mã hóa vào đầu năm 2025. Thời điểm đó, giới chức chưa tiết lộ chi tiết vụ án, chỉ cho biết đây là một phần tài sản thu hồi trong một cuộc điều tra tội phạm mạng liên quan đến DeFi. Đến nay, thông qua bản cáo trạng nhằm vào Spalletta, bức tranh đầy đủ hơn mới dần được công bố.

Một điểm gây chú ý trong hồ sơ vụ án là cách mà số tiền bị đánh cắp được sử dụng. Thay vì chỉ cố gắng ẩn danh hoặc rút tiền mặt thông thường, Spalletta bị cáo buộc đã dùng khoản tiền mã hóa khổng lồ chuyển đổi sang tiền pháp định để mua sắm hàng loạt bộ sưu tập giá trị cao – từ *thẻ Pokemon hiếm*, *đồng xu La Mã cổ*, cho đến các mảnh vỡ lịch sử như phần còn lại của máy bay anh em nhà Wright. Theo cơ quan công tố, đây vừa là hình thức rửa tiền, vừa là cách chuyển hóa tài sản số thành hiện vật khó bị truy vết hơn nếu chỉ nhìn vào các giao dịch trên chuỗi.

bình luận Việc tội phạm tiền mã hóa chuyển sang đầu tư vào các tài sản sưu tầm như thẻ bài, cổ vật, nghệ thuật… đang trở thành một xu hướng phổ biến hơn, vì chúng vừa có tính thanh khoản nhất định, vừa ít bị giám sát như hệ thống ngân hàng. Tuy nhiên, khi các nhà sưu tầm cao cấp thường làm việc qua các nhà đấu giá hoặc đại lý uy tín, những giao dịch lớn vẫn để lại dấu vết, giúp cơ quan chức năng lần ngược được hành vi rửa tiền.

Vụ Uranium Finance và cáo buộc nhắm vào Spalletta cũng phản ánh bối cảnh chung của năm 2021 – thời điểm thị trường **tiền mã hóa** và **DeFi** bùng nổ nhưng cũng là năm đỉnh cao của các vụ hack. Theo thống kê của nhiều đơn vị phân tích blockchain, riêng năm 2021, tổng thiệt hại từ các vụ tấn công và đánh cắp tiền mã hóa đã lên tới khoảng 2,6 tỷ USD. Nổi bật nhất trong số đó là vụ tấn công vào giao thức Poly Network, nơi tin tặc đã chiếm đoạt khoảng 610 triệu USD trước khi phần lớn số tiền bị buộc phải hoàn trả.

Trong bức tranh đó, Uranium Finance tuy không phải vụ việc lớn nhất xét về con số, nhưng trở thành ví dụ điển hình về rủi ro hợp đồng thông minh, kiểm toán bảo mật sơ sài và áp lực “ra mắt sản phẩm thật nhanh” trong giai đoạn bong bóng DeFi. Những lỗ hổng kỹ thuật tưởng như nhỏ đã tạo cơ hội để các đối tượng như Spalletta – theo cáo buộc của công tố – có thể rút cạn thanh khoản chỉ trong vài phút.

bình luận Vụ truy tố mới là lời nhắc nhở rằng dù thị trường đã bước sang chu kỳ khác, hậu quả của các “mùa hack” trước vẫn còn đó. Với nhà đầu tư, bài học không chỉ là rủi ro biến động giá, mà còn là rủi ro nền tảng: hợp đồng thông minh lỗi, đội ngũ ẩn danh, thiếu bảo hiểm và thiếu cơ chế đền bù rõ ràng khi sự cố xảy ra.

Đối với nạn nhân của Uranium Finance, bản cáo trạng lần này là lần đầu tiên sau gần 5 năm họ được biết một cách chính thức về danh tính nghi phạm và quá trình điều tra phía sau hậu trường. Tuy nhiên, khả năng **thu hồi tài sản** và **bồi thường thiệt hại** vẫn còn là dấu hỏi lớn. Dù khoảng 31 triệu USD đã được thu giữ, con số này vẫn thấp hơn nhiều so với tổng mức thiệt hại ước tính hơn 53 triệu USD.

Trong bối cảnh đó, vụ việc Spalletta cho thấy các cơ quan chức năng Hoa Kỳ đang ngày càng tăng cường năng lực điều tra và truy tố các tội phạm liên quan đến **tiền mã hóa**. Nó đồng thời gửi thông điệp rằng những vụ *“trộm tiền mã hóa”* trong lĩnh vực **DeFi** sẽ không đơn giản “chìm xuồng” theo thời gian, mà có thể được khôi phục điều tra, truy vết và đưa ra ánh sáng sau nhiều năm.

Kết lại, vụ Uranium Finance và cáo buộc đối với Jonathan Spalletta là một lát cắt rõ nét về rủi ro trong kỷ nguyên **tiền mã hóa**: những lỗ hổng **DeFi** có thể biến mất trong vài ngày, nhưng hậu quả pháp lý và tài chính thì kéo dài nhiều năm. Với nhà đầu tư, việc chọn nền tảng an toàn, chú ý tới kiểm toán hợp đồng thông minh và hiểu rõ cơ chế bảo vệ người dùng đang trở nên quan trọng không kém câu hỏi “mua **Bitcoin(BTC)** hay **Ethereum(ETH)** lúc nào”.