Nach den am Montag entsiegelten Gerichtsdokumenten führte Spalletta seinen ersten Angriff am 8. April 2021 durch. Er nutzte Fehler im Code der Plattform aus und entwendete Kryptowährungen im Wert von rund 1,4 Millionen Dollar.

Uranium Finance trat daraufhin an Spalletta heran und bat ihn, das Geld im Austausch gegen eine Belohnung aus einem Bug-Bounty-Programm zurückzugeben. Beide Seiten einigten sich schließlich darauf, dass Spalletta 386.000 Dollar behalten und den Rest zurückgeben durfte, im Gegenzug für einen Verzicht auf Strafverfolgung.

Zwei Wochen nach dem Angriff räumte Spalletta seine Beteiligung gegenüber einem Freund ein. Er habe „vor ein paar Wochen einen Krypto-Raub über 1,5 Millionen durchgezogen", es habe „einen Fehler in einem Smart Contract gegeben", den er ausgenutzt habe. „Krypto ist ohnehin alles falsches Internet-Geld", soll er gesagt haben.

Am 28. April nutzte Spalletta einen weiteren Programmierfehler in der Plattform aus und zog Kryptowährungen im Wert von 53,3 Millionen Dollar ab. Nach diesem Angriff, der nahezu alle Mittel abschöpfte, musste Uranium Finance den Betrieb einstellen. Zur Verschleierung der Gelder setzte Spalletta laut Anklage den Kryptowährungs-Mixer Tornado Cash und weitere Werkzeuge ein, bevor er sich mit dem gestohlenen Geld teure Anschaffungen leistete.

Das US-Justizministerium beschlagnahmte mehrere hochpreisige Antiquitäten, die er mit dem Geld erworben hatte. Bereits im vergangenen Februar hatte das Ministerium mitgeteilt, Kryptowährungen im Wert von rund 31 Millionen Dollar sichergestellt zu haben, die Spalletta gestohlen hatte. Bei der Rückverfolgung der gewaschenen Gelder arbeiteten die Strafverfolgungsbehörden mit TRM Labs zusammen.

In seiner Stellungnahme zitierte Staatsanwalt Clayton eine Äußerung Spallettas gegenüber einer weiteren Person, wonach „Krypto ohnehin nur falsches Internet-Geld" sei. Clayton entgegnete: „Diebstahl von einer Kryptobörse ist Diebstahl – die Behauptung, ‚Krypto sei anders‘, ändert daran nichts." Für die Opfer mache es keinen Unterschied, dass ihnen das Geld genommen worden sei.

Das Justizministerium rief Geschädigte des Diebstahls dazu auf, sich zu melden. In den vergangenen Jahren hat das DOJ mehrere Verantwortliche für große Kryptodiebstähle angeklagt, da die Strafverfolgung Ermittlungen gegen Angriffe auf Kryptoplattformen besser in den Griff bekommen hat. So wurde 2024 der Täter hinter einem Diebstahl von 110 Millionen Dollar bei der Plattform Mango Markets verurteilt, während ein Amazon-Mitarbeiter 2023 zugab, etwa 12 Millionen Dollar von zwei Plattformen gestohlen zu haben. Ein kanadischer Staatsbürger wurde im vergangenen Jahr wegen seiner Rolle beim Diebstahl von 65 Millionen Dollar von zwei Plattformen zwischen 2021 und 2023 angeklagt.