科罪警政顾问小组 研保障Web3安全发展
2024-09-07 00:00第三代互联网(「Web3」)科技发展迅速,提供更高效、快捷、便宜且稳妥的商业交易模式,而政府亦订下目标,将香港发展成Web3枢纽;不过,Web3技术亦可能潜藏安全隐患,例如智能合约漏洞、基础设施漏洞等,甚或被罪犯利用并进行各种欺诈活动和洗黑钱等行为。由警务处和12位来自科技界专家及领袖组成的「科技罪案警政顾问小组」早前举行第6次会议,认为政府及监管机构需要为整个Web3生态圈制订强而有力的监管制度,以防范及打击任何非法活动。
区块链技术安全公司CertiK首席安全官李康博士指,审计人员除了要留意Web3项目原始码的程式漏洞外,亦要防范骗徒刻意在项目中加入隐蔽的恶意代码而引致的网络安全风险,例如透过在电脑系统植入后门程式(backdoor),以窃取受害者的重要资料,甚至将资金转走。李康指出,其安全团队研究上千个的Web3项目,在追踪资金链中,发现有犯罪团夥利用恶意代码或程式漏洞骗取近3,300万美元。
着重追查虚拟资产动向
对于举证骗徒在Web3项目中加入恶意代码的情况,李康表示,由于开发Web3项目有如开发其他电脑程式,过程中难以避免出现程式错误,因此审计人员及执法人员就处理恶意程式亦会带来新的挑战,人员需要考虑其他因素及环境证据以协助作出评估。相比利用程式上的漏洞作举证,监管机构及执法人员更应该着力追查项目资金链中虚拟资产的动向,例如虚拟资产有否经过混币器(「Mixer) 以掩饰流向,令人难以追溯源头。
持牌虚拟资产交易平台HashKey Group首席合规官骆振升表示,虚拟资产交易平台的发牌条件及平台营运者需要遵守的法例及指引,为确保虚拟资产交易平台产品的质素,平台需要成立「代币纳入及检讨委员会」以订立、实施及执行虚拟资产纳入以供买卖的准则,让投资者能够放心买入经审核的虚拟资产。
骆振升亦提及《打击洗钱及恐怖分子资金筹集指引》中,有关持牌交易平台及针对反洗黑钱的标准和规则,当中包括风险识别及评估、虚拟资产转帐及持续监察等。
平台营运者应全面评估客户
平台营运者在建立业务关系前,应进行认识客户(「Know Your Customer, 「KYC」)程序,就每位投资者的背景、对虚拟资产的性质及风险的知识和理解进行全面评估。
小组成员认为,许多虚拟资产本身没有实际价值,价格亦十分波动,在参与相关投资前必须详细了解当中细节,并考虑个中风险。如要进行虚拟资产交易,应只透过持牌的交易平台进行。
而其他无牌或未有申请牌照的平台,其营运可能不符合法定监管要求,部分无牌平台甚至曾涉及诈骗或被骗徒滥用为洗黑钱的工具,令投资者遭受损失,甚至误堕法网。
關鍵字
最新回应