「Web 3」安全發展 「科技罪案警政顧問小組」開會應對
2024-09-07 08:00
第三代互聯網(「Web3」)科技發展迅速,政府亦訂下目標,讓香港發展成Web3樞紐,Web 3技術一方面能提供更高效、快捷、便宜而穩妥的商業交易模式,但同時亦可能潛藏安全隱患,例如智能合約漏洞、基礎設施漏洞等,甚或被罪犯利用並進行各種欺詐活動和洗黑錢等行為,由警務處和12位來自科技界的專家及領袖組成的「科技罪案警政顧問小組」(下稱「小組」)早前舉行了小組第6次會議,討論Web3所帶來的危與機。
小組認為,香港近年積極推動Web 3及區塊鏈技術的應用,但甚少關注技術背後所帶來的網絡安全風險及詐騙的陷阱。為了令市民能夠安心地享受Web3技術為生活所帶來便利,政府及監管機構需要為整個Web3生態圈制定強而有力的監管制度,以防範及打擊任何非法活動。
洞悉Web3領域新型犯罪 及早識別防微杜漸
李康指,Web3項目審計工作的難度非常高,審計人員除了要留意Web3項目原始碼的程式漏洞外,亦要防範騙徒刻意在項目中加入隱蔽的惡意代碼而引致的網絡安全風險,例如透過在電腦系統植入後門程式(「backdoor)以竊取受害者的重要資料,甚至將資金轉走。李康指出,其安全團隊研究上千個的Web3項目,在追蹤資金鏈中發現有犯罪團伙利用惡意代碼或程式漏洞騙取近3,300萬美元。
對於舉證騙徒在Web3 項目中加入惡意代碼的情況,李康表示由於開發Web3項目有如開發其他電腦程式,過程中難以避免出現程式錯誤,因此審計人員及執法人員就處理惡意程式亦會帶來新的挑戰,人員需要考慮其他因素及環境證據以協助作出評估。相比利用程式上的漏洞作舉證,監管機構及執法人員更應該著力追查項目資金鏈中虛擬資產的動向,例如虛擬資產有否經過混幣器(「Mixer) 以掩飾流向,令人難以追溯源頭。小組成員同意,相關騙案的舉證難度甚高,並不能單憑程式原始碼就能判斷該項目的真確性,反而要跟傳統罪案調查一樣,追查虛擬資產的流向、項目的規模、開發人員的背景等等證據。
引進嶄新區塊鏈審計技術 鞏固Web3監管制度
Web3項目通常指基於區塊鏈技術的應用,這些項目通過使用智能合約(「Smart Contract)及去中心化(「Decentralization)應用等技術,旨在創建一個無需中心機構認證即可安全、具透明度地進行互動的可信網絡系統。Web3項目有各種應用場景,例如交易、投資、遊戲、藝術、社交媒體等等。當中,Web3被廣泛應用在金融及投資產品,其中包括利用首次代幣發行 (「Initial Coin Offering “ICO”) 的網上集資活動為項目籌集資金。因此,投資者需要在投放資金前首先對項目進行盡職調查和廣泛研究,以確認相關項目是否值得被投資或潛藏風險,慎防誤墮洗黑錢及融資活動有關罪行的法網。
小組成員在會議中深入討論Web3項目的種類及區塊鏈審計工作的重要性。Web3安全審計公司除了對項目原始碼進行審計,亦會對整個開發項目的工程人員、管理者等作出評估。評估標準包括他們過去曾參與的開發項目的規模和成果。
合規平台引領行業發展 盡職保障Web3參與者
虛擬資產交易屬於高風險投資項目,市民須時刻保持警覺,只選擇經過嚴格審核的項目作投資。同時,市民亦應使用本港持牌虛擬資產交易平台(「Licensed Virtual Asset Trading Platform, “VATP”),確保資金受到保障。
駱振昇向小組成員簡述虛擬資產交易平台的發牌條件及平台營運者需要遵守的法例及指引。相關要求包括平台營運者應把不少於98%的客戶虛擬資產以線下儲存方式持有,並50%線下虛擬資產提供保險保障。以線上及其他儲存方式持有的客戶虛擬資產亦需要有保險作全面保障。為確保虛擬資產交易平台產品的質素,平台需要成立「代幣納入及檢討委員會」以訂立、實施及執行虛擬資產納入以供買賣的準則,讓投資者能夠放心買入經審核的虛擬資產。
駱振昇亦提及《打擊洗錢及恐怖分子資金籌集指引》中有關持牌交易平台及針對反洗黑錢的標準和規則,當中包括風險識別及評估、虛擬資產轉帳及持續監察等。平台營運者在建立業務關係前,應進行認識客戶(「Know Your Customer, “KYC”)程序,就每位投資者的背景、對虛擬資產的性質及風險的知識和理解進行全面評估。
小組成員認為,許多虛擬資產本身沒有實際價值,價格亦十分波動,在參與相關投資前必須詳細了解當中細節,並考慮箇中風險。如要進行虛擬資產交易,應只透過持牌的交易平台進行。其他無牌或未有申請牌照的平台,其營運可能不符合法定監管要求,部分無牌平台甚至曾涉及詐騙或被騙徒濫用為洗黑錢的工具,令投資者遭受損失,甚至誤墮法網。
審視制度內外環境 促進Web3 生態圈發展
Web3生態圈除了虛擬資產交易平台,亦包括去中心化自治組織(「Decentralized Autonomous Organization, “DAO”)、穩定幣發行者(「Stablecoin Issuer
)、場外交易所(「Over-the-counter, “OTC”)等。當中以場外交易所為例,多數以實體店鋪、自動提款機或網上平台形式營運,容易接觸普羅大眾。
絕大部分場外交易所商家的線下店鋪和自動提款機,一般都不需要任何登記或身份認證過程,交易只需要幾分鐘完成,這為虛擬資產用戶提供了便捷、靈活、隱私的交易方式,但由於其操作便利,亦帶來了潛在風險。
大部分場外交易所商家既沒有對用戶進行身份驗證和風險評估,也沒有建立完善的投訴處理和糾紛解決機制,因而存在極大風險被用作詐騙、洗錢、恐怖融資等犯罪活動。用戶在遭遇詐騙、交易延遲、甚至交易失敗的情況時難以追究責任或索賠。事實上,去年JPEX詐騙案,亦懷疑有場外交易所合謀,誤導投資者將資金轉至詐騙平台。小組成員認為,有需要把場外交易所納入監管,以杜絕場外交易所洗黑錢的情況。
要有效防範及打擊Web3相關的騙案及網絡攻擊,除了要積極展開訂立相關法例的工作並建立完善的監管制度外,亦需要凝聚業界力量,互相分享有用資訊。因此,小組成員鼓勵Web3業界主動組織資訊交換平台,積極參與公私營合作,從而促進Web3行業蓬勃發展。小組亦寄望,政府會堅定推動本港Web3可持續發展,為新興行業創造穩妥且鼓勵創新的環境。
本報記者
最新回應