「Web 3」安全发展 「科技罪案警政顾问小组」开会应对
2024-09-07 08:00
第三代互联网(「Web3」)科技发展迅速,政府亦订下目标,让香港发展成Web3枢纽,Web 3技术一方面能提供更高效、快捷、便宜而稳妥的商业交易模式,但同时亦可能潜藏安全隐患,例如智能合约漏洞、基础设施漏洞等,甚或被罪犯利用并进行各种欺诈活动和洗黑钱等行为,由警务处和12位来自科技界的专家及领袖组成的「科技罪案警政顾问小组」(下称「小组」)早前举行了小组第6次会议,讨论Web3所带来的危与机。
小组认为,香港近年积极推动Web 3及区块链技术的应用,但甚少关注技术背后所带来的网络安全风险及诈骗的陷阱。为了令市民能够安心地享受Web3技术为生活所带来便利,政府及监管机构需要为整个Web3生态圈制定强而有力的监管制度,以防范及打击任何非法活动。
洞悉Web3领域新型犯罪 及早识别防微杜渐
李康指,Web3项目审计工作的难度非常高,审计人员除了要留意Web3项目原始码的程式漏洞外,亦要防范骗徒刻意在项目中加入隐蔽的恶意代码而引致的网络安全风险,例如透过在电脑系统植入后门程式(「backdoor)以窃取受害者的重要资料,甚至将资金转走。李康指出,其安全团队研究上千个的Web3项目,在追踪资金链中发现有犯罪团伙利用恶意代码或程式漏洞骗取近3,300万美元。
对于举证骗徒在Web3 项目中加入恶意代码的情况,李康表示由于开发Web3项目有如开发其他电脑程式,过程中难以避免出现程式错误,因此审计人员及执法人员就处理恶意程式亦会带来新的挑战,人员需要考虑其他因素及环境证据以协助作出评估。相比利用程式上的漏洞作举证,监管机构及执法人员更应该著力追查项目资金链中虚拟资产的动向,例如虚拟资产有否经过混币器(「Mixer) 以掩饰流向,令人难以追溯源头。小组成员同意,相关骗案的举证难度甚高,并不能单凭程式原始码就能判断该项目的真确性,反而要跟传统罪案调查一样,追查虚拟资产的流向、项目的规模、开发人员的背景等等证据。
引进崭新区块链审计技术 巩固Web3监管制度
Web3项目通常指基于区块链技术的应用,这些项目通过使用智能合约(「Smart Contract)及去中心化(「Decentralization)应用等技术,旨在创建一个无需中心机构认证即可安全、具透明度地进行互动的可信网络系统。Web3项目有各种应用场景,例如交易、投资、游戏、艺术、社交媒体等等。当中,Web3被广泛应用在金融及投资产品,其中包括利用首次代币发行 (「Initial Coin Offering “ICO”) 的网上集资活动为项目筹集资金。因此,投资者需要在投放资金前首先对项目进行尽职调查和广泛研究,以确认相关项目是否值得被投资或潜藏风险,慎防误堕洗黑钱及融资活动有关罪行的法网。
小组成员在会议中深入讨论Web3项目的种类及区块链审计工作的重要性。Web3安全审计公司除了对项目原始码进行审计,亦会对整个开发项目的工程人员、管理者等作出评估。评估标准包括他们过去曾参与的开发项目的规模和成果。
合规平台引领行业发展 尽职保障Web3参与者
虚拟资产交易属于高风险投资项目,市民须时刻保持警觉,只选择经过严格审核的项目作投资。同时,市民亦应使用本港持牌虚拟资产交易平台(「Licensed Virtual Asset Trading Platform, “VATP”),确保资金受到保障。
骆振升向小组成员简述虚拟资产交易平台的发牌条件及平台营运者需要遵守的法例及指引。相关要求包括平台营运者应把不少于98%的客户虚拟资产以线下储存方式持有,并50%线下虚拟资产提供保险保障。以线上及其他储存方式持有的客户虚拟资产亦需要有保险作全面保障。为确保虚拟资产交易平台产品的质素,平台需要成立「代币纳入及检讨委员会」以订立、实施及执行虚拟资产纳入以供买卖的准则,让投资者能够放心买入经审核的虚拟资产。
骆振升亦提及《打击洗钱及恐怖分子资金筹集指引》中有关持牌交易平台及针对反洗黑钱的标准和规则,当中包括风险识别及评估、虚拟资产转帐及持续监察等。平台营运者在建立业务关系前,应进行认识客户(「Know Your Customer, “KYC”)程序,就每位投资者的背景、对虚拟资产的性质及风险的知识和理解进行全面评估。
小组成员认为,许多虚拟资产本身没有实际价值,价格亦十分波动,在参与相关投资前必须详细了解当中细节,并考虑个中风险。如要进行虚拟资产交易,应只透过持牌的交易平台进行。其他无牌或未有申请牌照的平台,其营运可能不符合法定监管要求,部分无牌平台甚至曾涉及诈骗或被骗徒滥用为洗黑钱的工具,令投资者遭受损失,甚至误堕法网。
审视制度内外环境 促进Web3 生态圈发展
Web3生态圈除了虚拟资产交易平台,亦包括去中心化自治组织(「Decentralized Autonomous Organization, “DAO”)、稳定币发行者(「Stablecoin Issuer
)、场外交易所(「Over-the-counter, “OTC”)等。当中以场外交易所为例,多数以实体店铺、自动提款机或网上平台形式营运,容易接触普罗大众。
绝大部分场外交易所商家的线下店铺和自动提款机,一般都不需要任何登记或身份认证过程,交易只需要几分钟完成,这为虚拟资产用户提供了便捷、灵活、隐私的交易方式,但由于其操作便利,亦带来了潜在风险。
大部分场外交易所商家既没有对用户进行身份验证和风险评估,也没有建立完善的投诉处理和纠纷解决机制,因而存在极大风险被用作诈骗、洗钱、恐怖融资等犯罪活动。用户在遭遇诈骗、交易延迟、甚至交易失败的情况时难以追究责任或索赔。事实上,去年JPEX诈骗案,亦怀疑有场外交易所合谋,误导投资者将资金转至诈骗平台。小组成员认为,有需要把场外交易所纳入监管,以杜绝场外交易所洗黑钱的情况。
要有效防范及打击Web3相关的骗案及网络攻击,除了要积极展开订立相关法例的工作并建立完善的监管制度外,亦需要凝聚业界力量,互相分享有用资讯。因此,小组成员鼓励Web3业界主动组织资讯交换平台,积极参与公私营合作,从而促进Web3行业蓬勃发展。小组亦寄望,政府会坚定推动本港Web3可持续发展,为新兴行业创造稳妥且鼓励创新的环境。
本报记者
最新回应