律師觀點 | Lendf.Me遭攻擊引發的反洗錢與刑事防御思考_區塊鏈

作者：羅滔

繼北京時間4月18日上午8:58Uniswap平臺遭受重入攻擊后，Lendf.Me于北京時間4月19日上午8點45分再次遭受攻擊。據悉，兩次攻擊手法極為類似，推斷為同一團體或個人所為。

黑客均利用ERC-777標準與其他平臺的兼容性問題，在進行ETH-imBTC交易時連續利用智能合約提取資金，執行重入攻擊，反復覆蓋自己的資金余額，實現可提現資金的不斷翻倍，進而循環套利。Uniswap預計損失了30萬美元至110萬美元的資金，Lendf.me借貸平臺預計損失約2500萬美元的資金。

Lendf.Me于去年9月推出，是由dForce主導開發的去中心化借貸市場協議。

ERC-777是以太坊區塊鏈的基礎技術之一，旨在支持智能合約。

imBTC在以太坊平臺上運行的以1:1錨定比特幣的ERC-777代幣，采用ERC-777代幣標準規范，由Tokenlon負責發行和監管。

此次dForce遭受黑客攻擊事件，是自今年2月份bZx攻擊事件后，又一起利用DeFi的系統安全性漏洞進行的攻擊。

律師事務所代表投資者對Coinbase Global提起證券欺詐集體訴訟:律師事務所Kessler Topaz Meltzer & Check, LLP提醒投資者，已代表根據注冊聲明和招股說明書購買或獲得了Coinbase A類普通股的投資者對Coinbase Global Inc.提起證券欺詐集體訴訟。投訴稱，Coinbase的發行材料是虛假和誤導性的，并沒有說明在發行時：(1)Coinbase需要大量現金注入；(2)Coinbase的平臺容易受到服務水平中斷的影響。隨著Coinbase將其服務擴展到更大的用戶群，這種情況越來越有可能發生；(3)由于上述原因，被告關于Coinbase的業務、運營和前景的正面陳述具有重大誤導性和/或缺乏合理依據。Coinbase投資者可以在不遲于2021年9月20日之前通過該律師事務所或其他律師尋求被任命為該集體訴訟的首席原告代表，或者可以選擇什么都不做并保持作為缺席的集體成員。（prnewswire）[2021/9/16 23:28:16]

a16z聘請瑞生國際律師事務所合伙人擔任加密投資總法律顧問:9月3日消息，風險投資巨頭a16z已聘請瑞生國際律師事務所（Latham & Watkins）合伙人Miles Jennings擔任加密投資總法律顧問，他將幫助a16z投資的公司應對法律和監管挑戰，并努力推進和改進適用于加密公司的監管。Jennings將與前聯邦檢察官Kathryn Haun合作，后者是a16z價值22億美元的加密投資基金的負責人之一。Jennings在瑞生期間曾與ConsenSys合作推出一種自動可轉換票據，為加密初創公司提供融資等幫助。他還曾擔任Uniswap和Avalanche等去中心化金融協議的外部顧問。針對行業面臨的監管壓力，Jennings表示，確保企業家有足夠的自由去投資和開發有望改變世界的技術，同時保護投資者，并非易事。他贊揚美國監管機構試圖找到適當的平衡點，但也指出持續的模糊性給去中心化平臺造成了挑戰。他說：“仍然存在大量抑制創新的不確定性。但該行業無疑將從監管機構和業內專家攜手制定的明確框架中受益。”（彭博社）[2021/9/3 22:56:50]

慢霧安全團隊提醒交易所、錢包注意加強地址監控，避免相關惡意資金流入平臺。去中心化交易平臺Tokenlon已宣布暫停imBTC合約的轉賬功能。dForce創始人楊民道寫給公眾的信中也表示“…與主流交易所、OTC交易商、機構積極配合展開相關調查，竭盡全力追索被盜款項，追蹤黑客動態…”

動態 | 瀛和律師機構、達瓴智庫發布《法律行業區塊鏈2020年度報告》:12月28日，瀛和律師機構聯合達瓴智庫發布《法律行業區塊鏈2020年度報告》。報告指出，互聯網革命剛剛進入第40年，而區塊鏈革命也邁入第11個年頭，互聯網帶來的技術奇點理論逐漸失效，未來將是區塊鏈帶來的范式改變。按法學界通說，法律是調整一定社會關系的行為規范體系；也可以說，法律的調整對象就是人的行為。區塊鏈作為一門信息技術，當然是人類智力成果，是人類行為的結果。因此，關于區塊鏈的法律是指調整人類創造、運用區塊鏈技術的一套行為規則體系。因此跨入區塊鏈好比使用互聯網一般，初入紅利極大，尤其是在多專業結合的領域里尤為可見。無論是區塊鏈+法律、區塊鏈+AI或是區塊鏈+任何產業，如何將區塊鏈結合原有產業已成大家最關心的問題，今年，不論放眼全球還是著眼我國，區塊鏈及數字貨幣領域都進入了高速發展期，在技術基礎和商業模式不斷創新的同時，法律政策和監管趨勢也日漸明朗，也期望能夠看到區塊鏈深入我們生活的一天。（瀛和律師）[2019/12/30]

Lendf.Me黑客攻擊事件引發的反洗錢思考

聲音 | 律師Preston Byrne：以太坊生態系統中存在集中化問題:近期，在以太坊推遲君士坦丁堡硬分叉的情況下，Byrne＆Storm律師事務所合伙人Preston Byrne談及他對ETH的看法。Byrne首先指出，雖然他不能得出以ETH是集中化的最終結論，但有一些危險信號指向該生態系統中存在的集中化問題。Byrne列出了四點以表明“ETH是集中的”，分別是：1.ETH創始人十分可疑，他引起人們對財富集中化的關注，而持幣者們甚至有能力使ETH崩潰；2.以太坊節點強調集中化，集中式服務提供商，特別是ConsenSys支持的Infura，對節點基礎設施造成了巨大影響；3.由于Geth和Parity目前在生態系統中占主導地位，因此缺乏以太坊客戶；4.在君士坦丁堡硬分叉推遲一事上，以太坊核心開發者有權在片刻的時間內做出如此重大的決策變化，這一事實值得懷疑。[2019/1/20]

黑客通過非法手段獲得的加密貨幣，俗稱“黑錢”，難以“安全”地使用。為了避免機關的追蹤，勢必要對非法來源的資金進行掩飾，使其看起來“合法”、“清白”，而通常采取的掩飾手段便是借助交易所和OTC交易商的力量，通過復雜的交易使資金來源難以追溯。正如此次攻擊中，黑客不斷通過1inch.exchange、ParaSwap、Tokenlon等DEX平臺將盜取的幣兌換成ETH及其他代幣，完成代幣的轉移。

聲音 | 律師：Bakkt推出實物比特幣期貨無需CFTC直接批準:據bitcoinnews消息，加密貨幣律師Jake Chervinsky稱，Bakkt推出實物比特幣期貨，無需美國商品期貨交易委員會（CFTC）直接批準，所以似乎推出日期將按計劃進行。據此前消息，Bakkt將在2018年12月12日推出實物比特幣期貨。[2018/11/9]

洗錢過程并非難以察覺，如果交易所和OTC交易商能夠做好客戶信息搜集、盡職調查和信息保存工作，并能將動態及時上報，那么非法資金的流動是可以被及時發現并引起注意的。并在最大程度上切斷資金外流通道，追回贓款，挽回加密貨幣持有人的損失。監管機構或調查金融犯罪等機構也得以通過搜集到的各方面信息進行梳理、比對，逐步還原資金流向。

實踐中，黑客洗錢的步驟會更加繁瑣，將資金進行拆分并轉入不同的地址，大額的資金會沿著前進方向進一步小額拆分，進而構建出更為復雜、繁密的資金網絡，加大追蹤、偵測的難度。如果交易所和OTC交易商在客戶信息搜集、盡職調查、信息保存及上報方面的工作不到位，非法資金將難以被及時發現、上報并實現有效的追繳，損失將無法挽回。

北京時間4月19日晚10點左右，Lendf.Me攻擊者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)剛向Lendf.Me平臺admin賬戶(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)歸還126,014枚PAX，并附言「Betterfuture」。

看起來著實有些諷刺，但這次攻擊也提醒加密貨幣交易平臺應當更注重對交易參與者信息的收集工作，保證交易信息的透明度，從而構建真正的「Betterfuture」。

Lendf.Me黑客攻擊事件引發的刑事思考

黑客入侵，加密貨幣被盜事件已不是第一次發生，黑客對加密貨幣的強烈渴望隨著加密貨幣的價值攀升愈發強烈，他們通過利用合約漏洞、入侵”技術支持“網站、攻擊加密錢包等多種方法非法盜竊加密貨幣，給加密貨幣持有者帶來了不小的損失。

有少數觀點認為，黑客的行為利用了合約漏洞，某種意義上是被合約所允許的。但是代碼漏洞不等于同意，無論鏈上鏈下，盜竊行為的本質并沒有發生改變，黑客理應為他們的行為承擔刑事責任。

2019年3月，日本一名18歲的黑客因盜竊加密貨幣被日本宇都宮的檢察官起訴。他通過入侵智能手機上的數字錢包Monappy，盜竊了價值1500萬日元(約合13.42萬美元)的加密貨幣。

2019年4月,美國21歲的喬爾·奧爾蒂斯因利用SIM卡對受害者的智能手機進行黑客入侵，共竊取了40余名用戶約750萬美元的加密貨幣，面臨身份盜用和計算機犯罪等41項罪名的指控，最終被判入獄10年，這也是美國有史以來第一個因“SIM卡交換詐騙”而定罪的案子。其他參與人員也分別因竊取不同數量的加密貨幣而被批捕。

2019年5月，20歲的愛爾蘭男子康納·弗里曼因涉嫌在網上盜取價值超200萬美元的比特幣等加密貨幣，面臨網絡詐騙、教唆詐騙等多重指控，或將在美面臨超100年的監禁。

2020年2月，前微軟員工VolodymyrKvashuk因從微軟盜竊1000萬美元的數字貨幣，被判犯有18項聯邦重罪，將面臨20年的監禁。

可以看到，包括盜竊行為在內，黑客針對加密貨幣所進行的的犯罪行為都會受到刑事法律的規制，從判決結果來看，黑客也將面臨較為嚴厲的刑罰。

本案中，黑客的攻擊行為造成了Lendf.Me約2500萬美元的資產損失，刑事制裁在所難免。

犯罪行為本身的應罰性毋庸置疑，但加密貨幣定性的不同可能指向不同的罪名，這點在我國表現的尤為突出。在加密貨幣的性質歸屬上，我國并沒有形成一致的觀點，加密貨幣被盜面臨著盜竊罪和非法獲取計算機信息系統數據罪兩個不同的保護路徑，前者肯定了加密貨幣的財產屬性，后者則將加密貨幣視為信息。需要注意的是，兩者在量刑上存在較大差距，盜竊罪量刑要遠遠高于非法獲取計算機信息系統數據罪，這給司法實務留下了很大的不確定性。

不止我國，包括美國在內的一些國家在加密貨幣的定性上也未能達成一致：

美國商品期貨交易委員會將加密貨幣視為商品；

美國證券交易委員會將符合HOWY測試的加密貨幣視為證券；

美國金融犯罪執法網絡將加密貨幣視為在一種特定情況下扮演貨幣功能的交換媒介，可以適用貨幣規則；

美國國稅局將加密貨幣視為一種財產，具有合法的財產屬性，需繳納稅收。

賦予加密貨幣明確的定性是各國都在努力的方向，對于更好的引導、管理加密貨幣活動具有重要的意義。

從執行角度看，區塊鏈的不可篡改性的確為追蹤資金去向提供了可能，但去中心化的特征也為黑客隱匿身份創造了空間，他們往往通過復雜的手段將加密貨幣分散，再進行洗錢、提幣、洗幣等操作，加大警察溯源的難度。

當然這并不意味著黑客的行為將毫無漏洞，黑客盜竊的目的最終是為了變現，而變現的途徑無非是場外交易或交易所交易。黑客一旦向一個已知身份的用戶進行轉賬，將很有可能暴露自己的身份，從而露出馬腳。實務中，由于加密貨幣的走向往往跨越國界，追蹤過程不是靠一己之力能夠完成的，還需要借助國內外等多方力量的協助，執行起來要復雜得多。

然而，即便能夠準確定位黑客的身份和位置所在，將丟失的加密貨幣全部追回的可能性也并不大。加密貨幣安全公司CipherTraceCEO大衛·埃文斯(DavidJevans)曾表示，當交易平臺或交易所遭到黑客攻擊，由于加密貨幣可以輕易地跨越不同的國界，只有20%的被盜加密貨幣能夠找回。

接連兩次的攻擊都在警示我們，保障加密貨幣的安全不能僅依靠區塊鏈技術本身的優勢，可以看到黑客已經掌握了DeFi系統性風控漏洞的要害，無論是加密平臺還是加密貨幣持有者，都應當提高風險防范意識。

對加密平臺而言，盡可能的彌補技術短板，提升交易信息的透明度，并完善相應的反洗錢預警機制，在第一時間對加密貨幣風險作出反應。

對加密貨幣持有者而言，無論是反洗錢機制還是刑事法律制裁，都只能起到事后救濟的作用，而目前制度框架還處在搭建和完善中，未必能提供強有力的保護。因此，提高警惕心理，妥善保管交易密鑰，強化賬戶認證端口才能盡到最大程度的事前防范。

Tags：加密貨幣區塊鏈COINOIN加密貨幣市場分析圖區塊鏈技術通俗講解小區Whale Big Cointx-coin

萊特幣最新價格