作者:鄧建鵬,中央財經大學法學院教授,金融科技法治研究中心聯席主任
本文由作者授權巴比特資訊網絡首發,轉載需注明出處。
在2019年11月,中央局第十四次集體學習中,對區塊鏈技術的集成應用在新的技術革新和產業變革中的重要作用予以肯定,區塊鏈技術被提高到國家戰略層面,這為區塊鏈產業的發展指明了方向。區塊鏈帶來諸多便利的同時亦有許多風險。為此,正如習近平總書記在此次集體學習時所強調的:“要加強對區塊鏈技術的引導和規范,加強對區塊鏈安全風險的研究和分析,密切跟蹤發展動態,積極探索發展規則。要探索建立適應區塊鏈技術機制的安全保障體系。”
區塊鏈技術的應用未來將非常廣泛,除了加密數字貨幣及金融領域的集中應用外,目前正在發展以智能合約為代表的其它金融領域的運用,如跨境支付、期權憑證或數字資產通證化等。在未來,區塊鏈應用將逐步拓展到非金融領域,諸如區塊鏈+教育、養老、精準扶貧、醫療健康、社會保障等。目前,區塊鏈技術的應用正處于第二階段與第三階段的過渡時期,特別是在金融領域。但是,區塊鏈+金融亦存在著諸多巨大的風險隱患,不容忽視。為此,本文主要探討區塊鏈在金融領域應用層及技術層面存在的安全風險,提出應對的新思路,以供投資者及中國監管者參考。
一、區塊鏈金融立法與監管概況
區塊鏈技術基于密碼學原理,最初運用在數字貨幣的發行上。目前已經得到了諸多國家的重視,瑞士制定了區塊鏈國家戰略計劃,計劃將數字貨幣監管納入到金融監管體系之內。美國議會提出要求Facebook發布基于區塊鏈為底層技術的穩定幣Libra必須到達最高的金融監管要求,并計劃出臺《2020年加密貨幣法案》。受制于監管壓力,Facebook不得不在2020年上半年發布了Libra2.0白皮書,大幅度調整了原初設想,準備發行合規的穩定幣。我國在2017年全面禁止ICO融資,嚴格防范區塊鏈金融的風險,注重將區塊鏈技術提高到國家戰略層面,使區塊鏈技術賦能監管科技,引導區塊鏈技術與實體經濟相結合。2019年11月,工信部表示將推動成立全國區塊鏈和分布式記賬技術標準化委員會,體系化推進標準制定工作。2020年2月,央行發布《金融分布式賬本技術安全規范》,促進形成區塊鏈技術金融合規的統一標準。在2020年上半年,中國工商銀行也發布了可信的、受監管的區塊鏈金融指引,深受業界關注。可見,一些主要國家在監管或立法層面對區塊鏈金融領域高度重視。
Meta據悉計劃進一步裁員,元宇宙部門或被波及:金色財經報道,知情人士透露,Meta計劃在未來幾個月分多輪宣布進一步裁員,裁員規模將與去年裁員13%的規模大致相當。知情人士說,新一輪裁員的第一波預計將于下周宣布,非工程類職位可能受到的沖擊尤其嚴重。與此同時,預計Meta還將關閉一些項目和團隊。知情人士稱,將被削減的項目包括Meta的硬件和元宇宙部門RealityLabs中的可穿戴設備項目,這表明短期內Meta將放棄推廣虛擬現實和增強現實產品,而將其作為長期的研究工作。[2023/3/11 12:56:03]
二、區塊鏈金融在應用層的風險類型
首先是智能合約的風險。區塊鏈的應用目前主要聚焦于金融領域,存在著巨大的安全風險隱患。區塊鏈技術具有不可篡改性,與區塊鏈金融密切相關的智能合約可以高效支付與發送加密資產,不需要第三方監督即可自動執行。但是,智能合約雖然具有圖靈完備的特性,但其中仍不可避免地存在安全漏洞。
某些黑客熱衷于尋找智能合約的漏洞并進行攻擊,竊取交易者代幣。有的“莊家”則在短時期內實施數額巨大的交易,以操縱數字資產價格,對區塊鏈數字資產交易所和交易者帶來巨大損失。例如在2016年6月,黑客利用智能合約的缺陷,對擁有1億美元的TheDAO攻擊,導致三百多萬個以太幣被非法提取。當前,智能合約已經成為區塊鏈金融應用領域中的“重災區”。特別是在所謂的“去中心金融”領域,黑客利用智能合約代碼漏洞近年來甚至時有發生。
其次是區塊鏈數字資產交易平臺的風險。大量境外虛交易平臺存在不同程度的系統漏洞,被盜走大量數字資產。數字資產交易的互聯網服務器、后端數據庫構成了信息系統,交易者通過PC端、移動端App或者API等方式訪問交易所的服務器。當交易者訪問交易所服務器時,交易所服務器可能因配置不當或軟件存在漏洞,亦或受到DDoS拒絕服務攻擊,致使交易服務中斷,給投資人帶來巨大損失。多數交易所的一部分數字資產資產往往在在線錢包中存儲,便利客戶及時提現。這些在線數字資產往往為許多黑客所覬覦。這就對在線錢包技術的準入和安全技術標準提出了很高的要求。一旦客戶端的設備發生異常,如黑客攻破網絡安全系統,盜竊數字資產,其財產將面臨丟失的風險。比如,在2017年4月,韓國比特幣交易平臺yapizon發布消息稱,價值五百萬美元的比特幣被盜。2018年4月,黑客利用智能合約代碼中存在的bug,成功攻擊漏洞,導致數億的BECtoken被盜。據統計,2011年-2019年因區塊鏈網絡安全漏洞的損失達到84億美元,其中交易所占50%。僅在2019年,據不完全統計,涉及數字資產的損失高達50億美元以上。
塞浦路斯監管機構將暫停FTX在歐盟的運營許可證:11月11日消息,塞浦路斯監管機構將暫停FTX在歐盟的運營許可證。此前3月份,加密貨幣交易所FTX宣布成立“FTX Europe”,將其業務擴展至歐洲和中東。FTXEurope已獲塞浦路斯證券交易委員會(CySEC)的監管許可,通過在歐洲經濟區持有執照的投資機構,向歐洲用戶提供FTX加密資產交易服務。[2022/11/11 12:51:39]
再次是區塊鏈數字資產的錢包風險。涉及轉移和存儲數字資產的第三方數字錢包,實質上與銀行的ATM機類似。但是銀行的硬件設施有著很高的統一的安全標準,而這種錢包當前缺乏全球統一的安全技術標準,錢包公私鑰的控制權沒有統一規范,有的私鑰管理機制不良,容易成為黑客攻擊的目標,有的軟件錢包項目方可能掌控了合法持有人的數字資產私鑰,存在盜取或轉移的潛在安全風險。
最后,區塊鏈金融作為近年的新事物,在應用層方面還存在諸多法律風險與監管政策方面的風險。
目前,區塊鏈金融領域的法律規制尚遠不完善,對于區塊鏈應用現存的法律問題爭論不休。例如,對于數字資產被盜事件,引發了相應的法律問題。數字資產被竊取或者拒付后,原持有人是否可以獲得司法救濟?法律是否保護數字資產的財產屬性?或者比特幣是否是法律上所保護的虛擬財產?近年中國金融監管機構發文禁止國內開展數字資產交易,禁止代幣發行融資,因此,國內學術界、監管機構與司法機構對對代幣的保護問題存在很大爭議,尚無統一的答案。與此同時,在實踐中,數字資產交易具有匿名性,可不斷拆分、多重轉賬等方式將資產轉移,在運用司法手段進行救濟時,這些復雜的技術對機構追蹤被盜竊資產往往造成很大困難。尤其是進入2020年8月以來,“去中心金融”引起眾多匿名開發者與跟風投資者的狂熱。這種去中心化金融具有典型的抗審查特征,比方項目發起人與技術開發者多為匿名人士。項目對應的代幣上交易所后,一旦發現代碼漏洞,代幣價格馬上歸零,卻無人為之承擔任何法律責任。有的項目發起人以事先的匿名作為掩護手段,肆意轉移幕集的主流幣,致使項目發行的代幣價格大降,一些投資者血本無歸。對此類問題,當前均無明確的法律答案。再比如,有的不法分子通過區塊鏈這一技術手段洗錢,或者向境外轉移資產,可能負面沖擊國內金融市場的安全。
Flashbots 發布 MEV-Boost v1.0.0:9月13日消息,MEV解決方案 Flashbots 發布 MEV-Boost v1.0.0。MEV-Boost 旨在與標準 Ethereum Builder API 兼容,這意味著它與所有共識和執行客戶端兼容。[2022/9/13 13:26:20]
區塊鏈技術的一大優點在于去中心化,對于傳統的以中心化為主的金融監管帶來了巨大的挑戰。目前,我國的金融監管是圍繞著“一行兩會”開展,與區塊鏈去中心化的特點矛盾,如果以現在的監管思想與模式去規制區塊鏈的應用,會產生事倍功半的效果。此外,區塊鏈應用的監管存在跨行業跨領域的問題,區塊鏈本身作為一種加密技術,具有很強的獨特性與專業性。這就意味著,區塊鏈金融的監管不僅僅要有相應的法律規范,也要有配套的專業技術規范。2020年2月,中國人民銀行發布《金融分布式賬本技術安全規范》,為區塊鏈金融合規提供了技術標準和監管的技術指南,其中也明確指出,“金融分布式賬本系統具有結構去中心、數據多副本、交易點對點、記錄不可篡改的特點,與中心化系統有很大差異。”
此外,區塊鏈技術在非金融領域的應用還突出存在隱私和數據風險。在區塊鏈應用的公私機構的數據開發中,比如區塊鏈在醫療數據中的確權和交易等應用,將涉及患者的個人信息保護等關鍵問題。在技術上設置不完善,比如未將上鏈的信息及時加密,設定授權訪問機制,可能導致患者醫療隱私信息泄漏的風險。區塊鏈上的信息難以刪改,因此有較高可信度,區塊鏈+產權確權或防偽溯源等方面的運用有很大價值。但是,區塊鏈并不能保證鏈外信息上鏈前天然具有真實性。將區塊鏈應用到諸如防偽溯源系統中時,將遇到上鏈前信息真實性的驗證等復雜問題。個人則可能通過公有鏈傳播一些違法信息或國家依法管控的信息,侵害他人信譽甚至危及國家機密安全。
Compound啟動116號提案,將在以太坊上初始化USDC市場:8月19日消息,DeFi借貸協議Compound發推稱,116號提案開始啟動,將在以太坊上初始化USDC市場,具體投票將在2天內開始。此前報道,Compound 即將推出過渡至多鏈的新版本,將首先在以太坊上部署USDC市場。[2022/8/19 12:36:00]
同時,隱私泄露問題也越發嚴重。與傳統的中心化儲存相比,區塊鏈不依賴于中心節點存儲數據,從而有效地防止了中心節點癱瘓導致數據泄露的風險。但在公有區塊鏈系統中,所有的記錄公開透明,任何參與方都可以查詢鏈上的數據,這就意味著加大了數據泄露的風險。換句話講,鏈上任何參與方的數據可以完整的備份,即便是采用匿名手段,攻擊者也可以通過對網絡層、交易層、應用層多次攻擊從而準確地找到信息的發出者和接受者。
三、區塊鏈金融技術層的風險類型
區塊鏈應用于金融領域時,其在技術層的安全風險主要是區塊鏈底層技術的風險,其風險主要表現為算法安全風險、網絡安全風險、協議安全風險。
從算法安全的角度來看,區塊鏈不對稱加密算法目前是相對安全的,但隨著量子計算機等科技大發展,現有的加密方式在量子技術面前可能失效。在未來,若加密算法被破譯,區塊鏈的數據安全與數字資產安全問題不容小覷。例如,區塊鏈上保護個人信息的加密算法被破譯,會造成個人信息泄露等問題,更嚴重的情況,破譯者利用個人信息進行犯罪活動,諸如網絡詐騙、敲詐勒索、盜竊等,帶來嚴重的負面影響。這需要區塊鏈項目研發人員在抗量子計算方面下功夫,在量子計算機未來十年可能正式加入商用化之前,及時對區塊鏈系統升級換代,提前鞏固算法安全。
此外區塊鏈還存在網絡系統安全風險。區塊鏈技術仍處于初級階段,自身的網絡安全存在許多風險,特別是智能合約代碼的編寫,在實踐中稍有不慎就會出現各種漏洞。另外,區塊鏈初始軟件也容易存在漏洞,可能會使整個網絡系統的運行出現異常或者癱瘓。
Web3社交平臺CyberConnect的Discord疑似遭遇攻擊:5月18日消息,Web3社交平臺CyberConnect的Discord疑似遭遇攻擊,其官方推特提醒用戶,請不要點擊任何鏈接,我們不會在Discord上要求用戶提供私鑰,我們的團隊正在努力解決我們服務器中機器人的安全問題。此前消息,CyberConnect完成1500萬美元A輪融資。[2022/5/18 3:24:02]
再次,區塊鏈協議安全風險可分為分叉與51%算力攻擊。其中,分叉是指將一條區塊鏈分為兩條以上的區塊鏈。共識機制不一致是導致分叉的主要原因,即區塊鏈的節點在運行中產生了不同的底層協議,部分節點贊同協議,進入區塊鏈,不贊同的部分產生分叉進入另一條區塊鏈。整個系統的統一性會因分叉受到影響,原有算力因為分叉的原因,每條區塊鏈的算力因此可能大大降低,其穩定性亦不如此前,存在易被攻擊的可能。51%算力攻擊是指,攻擊者利用自己算力的相對優勢來篡改區塊鏈上當下及之后的數據。算力攻擊一旦完成將會個區塊鏈系統帶來毀滅性的打擊,影響大眾對該區塊鏈的共識與“信仰”。攻擊者控制整個區塊鏈系統,對多數人的合法權利肆意踐踏。因此,只有防范區塊鏈信息保護風險、數據泄露風險,運用密碼學等底層技術不斷完善多層次的風險防護機制,才能使區塊鏈技術賦能實體行業,發揮其最大的優勢。
四、區塊鏈金融風險監管及建議
第一,要推動中國區塊鏈金融行業的快速發展,需要區塊鏈金融在良好的生態中運行,從業人員要大大提升安全風險意識。因此,一方面要求行業主體共同制定統一的安全標準,設定區塊鏈安全技術標準指引,如上文所述,央行已發布《金融分布式賬本技術安全規范》,明確了區塊鏈技術金融合規的標準。另一方面推動監管科技與區塊鏈的融合,將部分監管規則代碼化,區塊鏈的監管可以采用“以鏈治鏈”的思路,在區塊鏈開發的過程中,監管機構可要求將監管規則編入區塊鏈當中,實現監管規則代碼化。監管規則代碼化本質上是科技治理/代碼治理。參考美國法學家勞倫斯·萊斯格“代碼即法律”的理論,將部分法律規則轉化為代碼形式,一些商業行為通過代碼、智能合約自動執行,以數據和技術雙輪驅動,可以部分解決當前區塊鏈中存在的問題。例如,降低合規成本和提高執法效率,提升區塊鏈安全水準。部分監管規則的代碼化,減少了監管規則的不確定性,降低監管成本,有助于促進形成統一、科學的監管標準。
第二,完善區塊鏈金融監管的體系。對此,區塊鏈金融監管,既要包括“軟法”應對,也要“硬法”規則。“軟法”是指由區塊鏈市場主體參與的行業組織設定的自律章程,后者主要是指國家立法部門通過的法律法規或監管規則,應加以全面善用。2019年10月,十三屆全國人大常委會第十四次會議表決通過了《中華人民共和國密碼法》。加密技術是區塊鏈底層技術的重要支撐,區塊鏈的底層技術出現問題,可以用《密碼法》規制,將區塊鏈的底層技術納入到法律規范的范圍之內。同時,《密碼法》規定,竊取他人密碼信息,侵入他人密碼系統,或者從事危害國家安全、社會公共利益、他人合法權益等違法活動的,依照《網絡安全法》和相關法律法規追究責任。推動國家信息安全等級保護在區塊鏈行業的應用。
第三,設立第三方專業的區塊鏈安全評估機構,對可信區塊鏈進行客觀公正檢測,并及時發布行業測試報告,提升可信安全區塊鏈的關注度。特別是當前應推動區塊鏈智能合約安全性檢測,探索代碼層面的安全解決方案。當前,中央與地方政府力區塊鏈產業融合,但在區塊鏈安全領域的發展,尚未得到重視。我們認為政府應鼓勵區塊鏈安全產業的發展,出臺相應激勵政策。
第四,監管機構要轉變固有的思維模式,從先前監管部門對區塊鏈的監管態勢看,部分監管機構仍采用“一刀切”的監管方式。區塊鏈的監管與風險防范不能僅僅停留在出現問題,解決問題的層面上,更要做到提前防范于未然,創新監管科技。因此,事前和事中的監管需要落地。區塊鏈技術本身可能存在漏洞,在區塊鏈部署前進行代碼安全審查必不可少。代碼的合規與安全審查往往涉及金融、IT、法律、內控、審計等多個部門。因此,對區塊鏈技術的監管,提升區塊鏈產業的安全水準,有賴于加強多領域復核型人才的培養和儲備,適應區塊鏈發展要求,這需要高等院校加強區塊鏈課程的培訓。此外,我國還可以考慮組建專門的區塊鏈技術安全監管委員會或工作小組,召集政策法規的制定者和信息技術專家,共同商討區塊鏈技術安全監管方案。雖然區塊鏈金融可能帶來諸種風險,但如學者指出,區塊鏈也有“促進監管合規和企業合規的潛力,合規區塊鏈將成為推動金融監管的重要科技資源稟賦,區塊鏈技術和大數據、云計算、人工智能等結合,將全方位轉變傳統金融監管的模式。”傳統金融監管治理一般以行理為主,技術常是監管的手段,是解決監管合規問題、增強監管能力的工具。合規區塊鏈將內化為監管科技本身的組成部分,加上未來智能化監管科技的引入,科技將成為監管的重要資源稟賦。
五、小結
區塊鏈的應用方興未艾,中央高層提出大力推動區塊鏈行業發展的戰略目標。而現階段區塊鏈技術和應用正處于發展的初級階段,無論是在底層技術上,還是在應用層面上依然存在諸多安全風險。我們認為,法治是促進區塊鏈行業良好發展的基礎,經由良法和善治,監管者堅持剛性底線和柔性邊界的融合,將軟法和硬法的迭代貫穿于區塊鏈行業規范發展的始終,無論是區塊鏈底層技術風險,抑或是在應用過程中存在的風險,都應當在監管范圍之內,形成統一的安全標準,堅守法律的底線。同時,在監管機構的鼓勵支持下,制定區塊鏈行業應有行業自律準則,在合規的基礎之上安全有序的發展。
Tags:區塊鏈數字資產FTXMETA區塊鏈技術通俗講解知乎數字資產和數字貨幣的區別GLYPH Vault (NFTX)Metaverse Box Game
如果房地產通證化得到普及,那我們可以想到多種創新,包括結構性融資、混合型房地產通證化和數字基金交易所.
1900/1/1 0:00:00來源:新浪財經,作者:歐科云鏈研究院隨著我國央行數字貨幣試點工作的順利推進,眾人對其都抱有很高的期望.
1900/1/1 0:00:00本文將介紹一下Balancer的流動性引導池。智能池是屬于智能合約的受控、專用池,該智能合約可以構建多種類的任意邏輯.
1900/1/1 0:00:00來源:01區塊鏈 作者:簡荻、照生 8月31日,DeBank數據顯示,DeFi協議總鎖倉量突破100億美元。從10億到100億,DeFi用了3個月。如今,DeFi熱潮仍在繼續.
1900/1/1 0:00:00作者|哈希派分析團隊 金色財經合約行情分析 | BTC再次向上突破將測試近三月高點:據火幣BTC永續合約行情顯示,截至今日18:00(GMT+8),BTC價格暫報10265美元(+4.17%).
1900/1/1 0:00:00這次不用搏,單車也能變摩托! 鏈作夏日超值福袋 9月3日-9月9日限時出售! 這是在夏日結束之前.
1900/1/1 0:00:00