区块链技术的应用未来将非常广泛,其大致可以分为三个阶段:
第一阶段是在加密数字货币及金融领域的集中应用,以比特币和各种通证经济的创生与支付为代表;
第二阶段以智能合约为代表,在其它金融领域的运用,如跨境支付、期权凭证或数字资产通证化等;
第三阶段,区块链应用逐步拓展到非金融领域,即国家当前正大力推广的区块链+产业融合,诸如区块链+教育、养老、精准扶贫、医疗健康、社会保障等。
目前,区块链技术的应用正处于第二阶段与第三阶段的过渡时期,特别是在金融领域,一方面产生了许多运用,比如高效的跨境支付,数字资产及其衍生品交易等等,甚至为少部分投资者提供了暴富的机会,另一方面亦存在着诸多巨大的风险隐患,不容忽视。为此,本文主要探讨区块链在金融领域应用层及技术层面存在的安全风险,并提出监管的新思路,以供相关机构参考。
一、区块链金融立法与监管概况美国议会提出要求脸书发布基于区块链为底层技术的稳定币Libra必须到达最高的金融监管要求,并计划出台《2020年加密货币法案》。我国在2017年全面禁止ICO融资,严格防范区块链金融的风险,注重将区块链技术提高到国家战略层面,使区块链技术赋能监管科技,引导区块链技术与实体经济相结合。
2019年11月,工业和信息化部表示将推动成立全国区块链和分布式记账技术标准化委员会,体系化推进标准制定工作。2020年2月,央行发布《金融分布式账本技术安全规范》,促进形成区块链技术金融合规的统一标准。可见,一些主要国家在监管或立法层面对区块链金融领域高度重视。
二、区块链金融在应用层的风险类型首先是智能合约的风险。区块链的应用目前主要聚焦于金融领域,存在着巨大的安全风险隐患。区块链技术具有不可篡改性,与区块链金融密切相关的智能合约可以高效支付与发送加密资产,不需要第三方监督即可自动执行。但是,智能合约虽然具有图灵完备的特性,但其中仍不可避免地存在安全漏洞。
某些黑客热衷于寻找智能合约的漏洞并进行攻击,窃取交易者代币。有的“庄家”则在短时期内实施数额巨大的交易,以操纵数字资产价格,对区块链数字资产交易所和交易者带来巨大损失。例如在2016年6月,黑客利用智能合约的缺陷,对拥有1亿美元的TheDAO攻击,导致三百多万个以太币被非法提取。当前,智能合约已经成为区块链金融应用领域中的“重灾区”。
其次是区块链数字资产交易平台的风险。大量境外虚拟交易平台存在不同程度的系统漏洞,被盗走大量数字资产。数字资产交易的互联网服务器、后端数据库构成了信息系统,交易者通过PC端、移动端App或者API等方式访问交易所的服务器。当交易者访问交易所服务器时,交易所服务器可能因配置不当或软件存在漏洞,亦或受到DDoS拒绝服务攻击,致使交易服务中断,给投资人带来巨大损失。多数交易所的一部分数字资产往往在在线钱包中存储,便利客户及时提现。这些在线数字资产往往为许多黑客所觊觎。这就对在线钱包技术的准入和安全技术标准提出了很高的要求。一旦客户端的设备发生异常,如黑客攻破系统,盗窃数字资产,其财产将面临丢失的风险。比如,在2017年4月,韩国比特币交易平台yapizon发布消息称,价值五百万美元的比特币被盗。2018年4月,黑客利用智能合约代码中存在的bug,成功攻击漏洞,导致数亿的BEC token被盗。据统计,2011年-2019年因区块链漏洞的损失达到84亿美元,其中交易所占50%。仅在2019年,据不完全统计,涉及数字资产的损失高达50亿美元以上。
再次是区块链数字资产的钱包风险。涉及转移和存储数字资产的第三方数字钱包(包括软件钱包、硬件钱包),当前缺乏全球统一的安全技术标准,钱包公私钥的控制权没有统一规范,有的私钥管理机制不良,容易成为黑客攻击的目标,有的软件钱包项目方可能掌控了合法持有人的数字资产私钥,存在盗取或转移的潜在安全风险。
最后,区块链金融作为近年的新事物,在应用层方面还存在诸多法律风险与监管政策方面的风险。
目前,区块链金融领域的法律规制尚不完善,对于区块链应用现存的法律问题争论不休。例如,对于数字资产被盗事件,引发了相应的法律问题。数字资产被窃取或者拒付后,原持有人是否可以获得司法救济?法律是否保护数字资产的财产属性?或者比特币是否是法律上所保护的虚拟财产?近年来中国金融监管机构发文禁止国内开展数字资产交易,禁止代币发行融资,因此,国内学术界、监管机构与司法机构对代币的保护问题存在很大争议,尚无统一的答案。与此同时,在实践中,数字资产交易具有匿名性,可不断拆分、多重转账等方式将资产转移,在运用司法手段进行救济时,这些复杂的技术对公安机构追踪被盗窃资产往往造成很大困难。再比如,有的不法分子通过区块链这一技术手段洗钱,或者向境外转移资产,可能负面冲击国内金融市场的安全。