科罪警政顧問小組 研保障Web3安全發展

第三代互聯網（「Web3」）科技發展迅速，提供更高效、快捷、便宜且穩妥的商業交易模式，而政府亦訂下目標，將香港發展成Web3樞紐；不過，Web3技術亦可能潛藏安全隱患，例如智能合約漏洞、基礎設施漏洞等，甚或被罪犯利用並進行各種欺詐活動和洗黑錢等行為。由警務處和12位來自科技界專家及領袖組成的「科技罪案警政顧問小組」早前舉行第6次會議，認為政府及監管機構需要為整個Web3生態圈制訂強而有力的監管制度，以防範及打擊任何非法活動。

區塊鏈技術安全公司CertiK首席安全官李康博士指，審計人員除了要留意Web3項目原始碼的程式漏洞外，亦要防範騙徒刻意在項目中加入隱蔽的惡意代碼而引致的網絡安全風險，例如透過在電腦系統植入後門程式（backdoor），以竊取受害者的重要資料，甚至將資金轉走。李康指出，其安全團隊研究上千個的Web3項目，在追蹤資金鏈中，發現有犯罪團夥利用惡意代碼或程式漏洞騙取近3,300萬美元。
着重追查虛擬資產動向

對於舉證騙徒在Web3項目中加入惡意代碼的情況，李康表示，由於開發Web3項目有如開發其他電腦程式，過程中難以避免出現程式錯誤，因此審計人員及執法人員就處理惡意程式亦會帶來新的挑戰，人員需要考慮其他因素及環境證據以協助作出評估。相比利用程式上的漏洞作舉證，監管機構及執法人員更應該着力追查項目資金鏈中虛擬資產的動向，例如虛擬資產有否經過混幣器（「Mixer） 以掩飾流向，令人難以追溯源頭。

持牌虛擬資產交易平台HashKey Group首席合規官駱振昇表示，虛擬資產交易平台的發牌條件及平台營運者需要遵守的法例及指引，為確保虛擬資產交易平台產品的質素，平台需要成立「代幣納入及檢討委員會」以訂立、實施及執行虛擬資產納入以供買賣的準則，讓投資者能夠放心買入經審核的虛擬資產。

駱振昇亦提及《打擊洗錢及恐怖分子資金籌集指引》中，有關持牌交易平台及針對反洗黑錢的標準和規則，當中包括風險識別及評估、虛擬資產轉帳及持續監察等。
平台營運者應全面評估客戶

平台營運者在建立業務關係前，應進行認識客戶（「Know Your Customer， 「KYC」）程序，就每位投資者的背景、對虛擬資產的性質及風險的知識和理解進行全面評估。

小組成員認為，許多虛擬資產本身沒有實際價值，價格亦十分波動，在參與相關投資前必須詳細了解當中細節，並考慮箇中風險。如要進行虛擬資產交易，應只透過持牌的交易平台進行。

而其他無牌或未有申請牌照的平台，其營運可能不符合法定監管要求，部分無牌平台甚至曾涉及詐騙或被騙徒濫用為洗黑錢的工具，令投資者遭受損失，甚至誤墮法網。