SharkTeam:2024年上半年度Web3安全報告

2024-07-08 16:21 SharkTeam


免責聲明: 內容不構成买賣依據,投資有風險,入市需謹慎!

SharkTeam:2024年上半年度Web3安全報告

SharkTeam 項目認證 剛剛 關注

一、 概述

2024年上半年因黑客攻擊、釣魚攻擊、Rugpull詐騙造成的損失約爲14.92億美元,相較於2023年上半年(約6.90億美元)同比增長116.23%。本報告旨在對全球2024年上半年Web3行業安全狀況、熱門事件以及加密行業關鍵監管政策進行整理分析。我們期望這份報告爲讀者提供有益的信息和思路,爲促進Web3的安全、健康發展貢獻力量。

二、 趨勢分析

根據SharkTeam鏈上智能風險識別平台ChainAegis數據,2024年上半年Web3領域共發生了551起安全事件(如圖1),損失金額累計超過14.92億美元(如圖2),與去年同期相比,安全事件數量增加25.51%,損失金額增幅達到了116.23%。

Figure 1 Total Count of Security Incidents in 2024H1

Figure 2 Total Loss of Security Incidents in 2024H1

2024年上半年黑客攻擊類型的安全事件總計發生134起,同比2023年H1增加103.03%,損失金額達到10.80億美元,佔比達到73%(如圖3),相對2023年H1(4.36億)同比上升147.71%。

Rug Pull在上半年總共發生243起,同比2023年H1共61起激增331.15%,損失金額增加258.82%,共計1.22億美元,佔整個H1損失金額的8%。

釣魚攻擊在H1總共發生174起,同比增漲40.32%,損失金額高達2.90億美元,佔比19%。

Figure 3 Amount of Loss by Attack Type in 2024H1

Figure 4 Amount of Count by Attack Type in 2024H1

H1分月來看(如圖5,圖6),5月的損失最爲嚴重,約6.43億美元,安全事件92起,其中包含31起黑客攻擊事件、34起Rugpull事件、27起釣魚攻擊事件。

Figure 5 Web3 Security Incidents Loss Overview in 2024H1

Figure 6 Web3 Security Incidents Count Overview in 2024H1

2.1 黑客攻擊

上半年共發生黑客攻擊134起,共計損失金額達10.80億美元。(具體數據見圖7)

2024年5月21日,以太坊上的Gala Games協議遭到黑客攻擊,損失2180萬美元,攻擊發生後項目方立即採取行動,並將黑客的地址拉進黑名單,凍結關於更多代幣出售的權限。

2024年5月31日日本證券公司 DMM.com 旗下子公司 DMM Bitcoin 交易所發生未經授權的巨額比特幣流出,外流金額約爲 480 億日元(約 3億美元),是史上第七大損失的加密貨幣攻擊事件,也是自2022年12月以來損失最大的一次攻擊。

Figure 7 Overview of Hacking by Month in 2024H1

2.2 Rugpull & Scams

如下圖(圖8)所示,Rugpull & Scam事件3月發生頻率高達63起,6月發生頻率最低,共24起;4月損失金額最高,約爲4745萬美元,其中,ZKasino項目方跑路事件爲造成4月損失最高的主要原因。

Figure 8 Overview of Rugpull&Scam by Month in 2024H1

2.3 釣魚攻擊

如下圖(圖9)所示,釣魚攻擊在1月發生頻率最高共39起,造成損失金額約4415萬美元;2月發生頻率最低共21起,造成損失金額約2834萬美元。5月雖然釣魚事件僅發生27起,但造成損失金額爲上半年歷月最高,達到1.08億美元。其中,2024年5月3日,有用戶因地址污染釣魚手法被釣魚1155WBTC,價值超過7千萬美元。

Figure 9 Overview of Phishing by Month in 2024H1

三、 典型案例分析

3.1 Sonne Finance攻擊事件分析

2024年5月15日,Sonne Finance遭受攻擊,項目方損失超過2千萬美元。

攻擊者:0xae4a7cde7c99fb98b0d5fa414aa40f0300531f43

攻擊交易:

0x9312ae377d7ebdf3c7c3a86f80514878deb5df51aad38b6191d55db53e42b7f0

攻擊過程如下:

1.閃電貸 35,569,150 VELO,並將這些VELO Token轉移(transfer)至soVELO合約中

因爲是直接轉账(捐贈),沒有鑄造soVELO Token。因此,soVELO合約中,totalCash增加了35,569,150 VELO, soVELO的totalSupply不變。

2. 攻擊者新建合約0xa16388a6210545b27f669d5189648c1722300b8b,在新合約中對目標合約發起攻擊,攻擊過程如下:

(1)向新合約中轉入2 soVELO

(2)將soWETH和soVELO聲明爲抵押物

(3)從soWETH借貸265,842,857,910,985,546,929 WETH

從以上borrow函數的執行過程中,根據getAccountSnapshot函數的返回值,發現:

對於soWETH合約,新合約余額爲0,借貸額爲0,兌換率(exchangeRate)爲208,504,036,856,714,856,032,085,073

對於soVELO合約,新合約余額爲2,即抵押了2wei的 soVELO,借貸額爲0,兌換率(exchangeRate)爲17,735,851,964,756,377,265,143,988,000,000,000,000,000,000

exchangeRate計算如下:

抵押1wei的soVELO,可以借貸不超過17,735,851,964,756,377,265,143,988 VELO,而借貸265,842,857,910,985,546,929 WETH,至少需要抵押265,842,857,910,985,546,929 soWETH,

soWETH的價格:soWETHPrice = 2,892,868,789,980,000,000,000,

soVELO的價格:soVELOPrice = 124,601,260,000,000,000

抵押1wei的soVELO可借貸的WETH數量如下:

1 * exchangeRate * soVELOPrice / soWETHPrice = 763,916,258,364,900,996,923

約763 WETH。僅需1wei的soVELO抵押就足以支持本次借貸。

借貸265,842,857,910,985,546,929 WETH(約265 WETH)換算成抵押物soVELO,至少需要抵押的soVELO數量爲:

265,842,857,910,985,546,929 * soWETHPrice / soVELOPrice / exchangeRate = 0.348

即1wei的soVELO抵押物即可。

實際上2wei的soVELO抵押物,在借貸時只用到了1wei

(4)贖回標的資產,即35,471,603,929,512,754,530,287,976 VELO

exchangeRate = 17,735,851,964,756,377,265,143,988,000,000,000,000,000,000

贖回35,471,603,929,512,754,530,287,976 VELO需要的抵押物soVELO的數量爲

35,471,603,929,512,754,530,287,976 * 1e18 / exchangeRate = 1.99999436

在計算時,因爲計算採用了截斷取整而不是四舍五入,實際計算的所需抵押物爲1wei的soVELO。

實際抵押物爲2wei的soVELO,其中1wei用於上面的借貸265WETH,剩下的1wei用於贖回35M VELO

(5)將借貸的265 WETH以及贖回的35M VELO 轉账給攻擊合約

3. 反復3次(共4次)創建新合約,重復攻擊。

4. 最後,償還閃電貸。

5.漏洞分析

以上攻擊過程中利用了2個漏洞:

(1)捐贈攻擊:向soVELO合約直接轉账(捐贈)VELO Token,改變了exchangeRate,使得攻擊者可以在只有1wei soVELO的抵押物的情況下,借貸出約265 WETH

(2)計算精度問題:利用計算過程中的精度損失以及被修改的exchangeRate,在只抵押了1wei soVELO的情況下,可以贖回35M VELO

6.安全建議

針對本次攻擊事件,我們在开發過程中應遵循以下注意事項:

(1)項目在設計和开發過程中,要保持邏輯的完整性和嚴謹性,尤其存款、質押、更新狀態變量以及計算過程中乘除法計算結果的取舍問題,要盡可能多考慮一些情況,使得邏輯完整,沒有漏洞。

(2)項目上线前,需要由第三方專業的審計公司進行智能合約審計。

3.2 Web3常見釣魚方式分析及安全建議

Web3釣魚是一種針對Web3用戶的常見攻擊手段,通過各種方式竊取用戶的授權、籤名,或誘導用戶進行誤操作,目的是盜竊用戶錢包中的加密資產。

近年來,Web3釣魚事件不斷出現,且發展出釣魚即服務的黑色產業鏈(Drainer as a Service, DaaS),安全形勢嚴峻。

本文中,SharkTeam將對常見的Web3釣魚方式進行系統分析並給出安全防範建議,供大家參考,希望能幫助用戶更好的識別釣魚騙局,保護自身的加密資產安全。

  • Permit鏈下籤名釣魚

Permit是針對ERC-20標准下授權的一個擴展功能,簡單來說就是你可以籤名批准其他地址來挪動你的Token。其原理是你通過籤名的方式表示被授權的地址可以通過這個籤名來使用你的代幣,然後被授權的地址拿着你的籤名進行鏈上permit交互後就獲取了調用授權並可以轉走你的資產。Permit鏈下籤名釣魚通常分爲三步:

(1)攻擊者僞造釣魚鏈接或釣魚網站,誘導用戶通過錢包進行籤名(無合約交互,不上鏈)。

(2)攻擊者調用permit函數,完成授權。

(3)攻擊者調用transferFrom函數,將受害者資產轉出,完成攻擊。

在這裏先說明一下transfer和transferFrom的區別,當我們直接進行ERC20轉账的時候,通常是調用ERC20合約中的transfer函數,而transferFrom通常是在授權第三方將我們錢包內的ERC20轉移給其他地址時使用。

這種籤名是一個無Gas的鏈下籤名,攻擊者拿到後會執行permit和transferFrom鏈上交互,所以在受害人地址的鏈上記錄中看不到授權記錄,在攻擊者地址中可以看到。一般來說這種籤名是一次性的,不會重復或持續產生釣魚風險。

  • Permit2鏈下籤名釣魚

Permit2是Uniswap爲了方便用戶使用,在2022年底推出的一個智能合約,它是一個代幣審批合約,允許代幣授權在不同的DApp中共享和管理,未來隨着越來越多的項目與Permit2 集成,Permit2合約可以在DApp生態系統中實現更加統一的授權管理體驗,並且節約用戶交易成本。

Permit2出現之前,在Uniswap上進行代幣兌換需要先授權(Approve)再兌換(Swap),需要操作兩次,也需要花費兩筆交易的Gas費。在Permit2推出後,用戶一次性把額度全部授權給Uniswap的Permit2合約,之後的每次兌換只需要進行鏈下籤名即可。

Permit2雖然提高了用戶的體驗,但隨之而來是針對Permit2籤名的釣魚攻擊。和Permit鏈下籤名釣魚類似,Permit2也是鏈下籤名釣魚,此種攻擊主要分爲四步:

(1)前提條件是用戶的錢包在被釣魚之前已使用過Uniswap並將代幣額度授權給了Uniswap的Permit2合約(Permit2默認會讓用戶授權該代幣的全部余額的額度)。

(2)攻擊者僞造釣魚鏈接或釣魚頁面,誘導用戶進行籤名,釣魚攻擊者獲取所需的籤名信息,和Permit鏈下籤名釣魚類似。

(3)攻擊者調用Permit2合約的permit函數,完成授權。

(4)攻擊者調用Permit2合約的transferFrom函數,將受害者資產轉出,完成攻擊。

這裏攻擊者接收資產的地址通常有多個,通常其中一個金額最大的接收者是實施釣魚的攻擊者,另外的則是提供釣魚即服務的黑產地址(釣魚即服務DaaS的供應商地址,例如PinkDrainer、InfernoDrainer、AngelDrainer等)。

  • eth_sign 鏈上盲籤釣魚

eth_sign是一種开放式籤名方法,可以對任意哈希進行籤名,攻擊者只需構造出任意惡意需籤名數據(如:代幣轉账,合約調用、獲取授權等)並誘導用戶通過 eth_sign 進行籤名即可完成攻擊。

MetaMask在進行eth_sign籤名時會有風險提示,imToken、OneKey等Web3錢包均已禁用此函數或提供風險提示,建議所有錢包廠商禁用此方法,防止用戶因缺乏安全意識或必要的技術積累被攻擊。

  • personal_sign/signTypedData 鏈上籤名釣魚

personal_sign、signTypedData是常用的籤名方式,通常用戶需要仔細核對發起者、域名、籤名內容等是否安全,如果是有風險的,要格外警惕。

此外,如果像上面這種情況personal_sign、signTypedData被用成“盲籤”,用戶看不到明文,容易被釣魚團夥利用,也會增加釣魚風險。

  • 授權釣魚

攻擊者通過僞造惡意網站,或者在項目官網上掛馬,誘導用戶對setApprovalForAll、Approve、Increase Approval、Increase Allowance等操作進行確認,獲取用戶的資產操作授權並實施盜竊。

  • 地址污染釣魚

地址污染釣魚也是近期猖獗的釣魚手段之一,攻擊者監控鏈上交易,之後根據目標用戶歷史交易中的對手地址進行惡意地址僞造,通常前4~6位和後4~6位與正確的對手方地址方相同,然後用這些惡意僞造地址向目標用戶地址進行小額轉账或無價值代幣轉账。

如果目標用戶在後續交易中,因個人習慣從歷史交易訂單中復制對手地址進行轉账,則極有可能因爲大意將資產誤轉到惡意地址上。

2024年5月3日就因爲此地址污染釣魚手法被釣魚1155WBTC,價值超過7千萬美元。

正確地址:0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91

惡意地址:0xd9A1C3788D81257612E2581A6ea0aDa244853a91

正常交易:

https://etherscan.io/tx/0xb18ab131d251f7429c56a2ae2b1b75ce104fe9e83315a0c71ccf2b20267683ac

地址污染:

https://etherscan.io/tx/0x87c6e5d56fea35315ba283de8b6422ad390b6b9d8d399d9b93a9051a3e11bf73

誤轉交易:

https://etherscan.io/tx/0x3374abc5a9c766ba709651399b6e6162de97ca986abc23f423a9d893c8f5f570

  • 更隱蔽的釣魚,利用CREATE2繞過安全檢測

目前,各錢包和安全插件已逐步實現對釣魚黑名單和常見釣魚方式的可視化風險提醒,對籤名信息也展示的愈發完整,提高了普通用戶識別釣魚攻擊的能力。但攻防技術總是在相互對抗又不斷發展的,更隱蔽的釣魚方式也在不斷出現,需要提高警惕。利用CREATE2繞過錢包和安全插件的黑名單檢測就是近期比較常見的方式。

Create2是以太坊'Constantinople'升級時引入的操作碼,允許用戶在以太坊上創建智能合約。原來的Create操作碼是根據創建者的地址和nonce來生成新地址的,Create2允許用戶在合約部署前計算地址。Create2對以太坊开發者來說是一個非常強大的工具,可以實現先進和靈活的合約交互、基於參數的合約地址預計算、鏈下交易和特定分布式應用的靈活部署和適配。

Create2在帶來好處的同時也帶來了新的安全風險。Create2可以被濫用來生成沒有惡意交易歷史的新地址,繞過錢包的黑名單檢測和安全告警。當受害者籤署惡意交易時,攻擊者就可以在預先計算的地址上部署合約,並將受害者的資產轉账到該地址,且這是一個不可逆的過程。

該攻擊特點:

允許預測性創建合約地址,使攻擊者能夠在部署合約之前欺騙用戶授予權限。

由於授權時合約尚未部署,因此攻擊地址是一個新地址,檢測工具無法基於歷史黑名單來進行預警,具有更高的隱蔽性。

以下是一個利用CREATE2進行釣魚的示例:

https://etherscan.io/tx/0x83f6bfde97f2fe60d2a4a1f55f9c4ea476c9d87fa0fcd0c1c3592ad6a539ed14

在這筆交易中,受害者把地址中的sfrxETH轉給了惡意地址(0x4D9f77),該地址是一個新的合約地址,沒有任何交易記錄。

但是打开這個合約的創建交易可以發現,該合約在創建的同時完成了釣魚攻擊,將資產從受害者地址轉出。

https://etherscan.io/tx/0x77c79f9c865c64f76dc7f9dff978a0b8081dce72cab7c256ac52a764376f8e52

查看該交易的執行情況,可以看到0x4d9f7773deb9cc44b34066f5e36a5ec98ac92d40是在調用CREATE2之後創建的。

另外,通過分析PinkDrainer的相關地址可以發現,該地址每天都在通過CREATE2創建新的合約地址進行釣魚。

https://etherscan.io/address/0x5d775caa7a0a56cd2d56a480b0f92e3900fe9722#internaltx

  • 釣魚即服務

釣魚攻擊日益猖獗,也因不法獲利頗豐,已逐步發展出以釣魚即服務(Drainer as a Service, DaaS)的黑色產業鏈,比較活躍的如:

Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa 等,釣魚攻擊者購买這些DaaS服務,快速且低門檻的構建出成千上萬釣魚網站、欺詐账號等,如洪水猛獸衝進這個行業,威脅着用戶的資產安全。

以Inferno Drainer 爲例,這是一個臭名昭著的網絡釣魚團夥,他們通過在不同網站上嵌入惡意腳本來實現釣魚。例如,他們通過傳播seaport.js、coinbase.js、wallet-connect.js僞裝成流行的 Web3 協議功能(Seaport、WalletConnect 和 Coinbase)誘導用戶集成或點擊,在得到用戶確認後,會自動將用戶資產轉到攻擊者地址中。目前已發現超過 14,000 個包含惡意 Seaport腳本的網站,超過 5,500 個包含惡意 WalletConnect 腳本的網站,超過 550 個包含惡意 Coinbase腳本的網站,以及超過 16,000 個與Inferno Drainer有關的惡意域名,超過 100 個加密品牌的品牌名稱受到影響。

在釣魚即服務框架下,通常20% 的被盜資產被自動轉移給 Inferno Drainer 的組織者地址,釣魚實施者保留剩余的 80%。除此之外,Inferno Drainer 定期提供創建和托管網絡釣魚網站的免費服務,有時釣魚服務也會要求收取被騙資金的 30% 的費用,這些網絡釣魚網站是爲那些能夠吸引受害者訪問但缺乏創建和托管網站的技術能力或根本不想自己執行此任務的釣魚攻擊者設計的。

那么,這種DaaS騙局是如何運行的,下圖是Inferno Drainer 的加密詐騙方案的分步描述:

1) Inferno Drainer通過名爲 Inferno Multichain Drainer 的 Telegram 頻道推廣他們的服務,有時攻擊者也通過Inferno Drainer的網站訪問該服務。

2) 攻擊者通過DaaS服務功能,設置並生成屬於自己的釣魚網站,並通過 X(Twitter)、Discord 和其他社交媒體進行傳播。

3) 受害者被誘導並掃描這些釣魚網站上包含的二維碼或其他方式來連接他們的錢包。

4) Drainer 檢查受害者最有價值、最容易轉移的資產,並初始化惡意交易。

5) 受害者確認了這筆交易。

6) 資產被轉移給犯罪分子。 在被盜資產中,20% 轉移給 Inferno Drainer 开發商,80% 轉移給釣魚攻擊者。

  • 安全建議

(1)首先,用戶一定不要點擊僞裝成獎勵、空投等利好消息的不明鏈接;

(2)官方社媒账戶被盜事件也越來越多,官方發布的消息也可能是釣魚信息,官方消息也不等於絕對安全;

(3)在使用錢包、DApp等應用時,一定要注意甄別,謹防僞造站點、僞造App;

(4)任何需要確認的交易或籤名的消息都需要謹慎,盡量從目標、內容等信息上進行交叉確認。拒絕盲籤,保持警惕,懷疑一切,確保每一步操作都是明確和安全的。

(5)另外,用戶需要對本文提到的常見釣魚攻擊方式有所了解,要學會主動識別釣魚特徵。掌握常見籤名、授權函數及其風險,掌握Interactive(交互網址)、Owner(授權方地址)、Spender(被授權方地址)、Value(授權數量)、Nonce(隨機數)、Deadline(過期時間)、transfer/transferFrom(轉账)等字段內容。

四、 FIT21法案解析

2024年5月23日,美國衆議院以 279 票贊成 、136 票反對的結果正式通過 FIT21 加密法案(Financial Innovation and Technology for the 21st Century Act)。美國總統拜登宣布,他不會否決該法案,並呼籲國會就“數字資產全面、平衡的監管框架”進行合作。

FIT21旨在爲區塊鏈項目在美國的安全有效啓動提供途徑,明確美國證券交易委員會(SEC)與商品期貨交易委員會(CFTC)之間的職責界限,區分數字資產是證券還是商品,加強對加密貨幣交易所的監管,以更好地保護美國消費者。

4.1 FIT21法案包含哪些重要內容

  • 數字資產的定義

法案原文:IN GENERAL.—The term ‘digital asset’ means any fungible digital representation of value that can be exclusively possessed and transferred, person to person, without necessary reliance on an intermediary, and is recorded on a cryptographically secured public distributed ledger.

法案中定義“數字資產”爲一種可交換的數字表徵形式,可以在不依賴中介的情況下由個人到個人轉移,並且在密碼學保護的公共分布式账本上進行記錄。這種定義包含了廣泛的數字形態,從加密貨幣到代幣化的實體資產。

  • 數字資產的分類

法案提出了幾個關鍵要素用於區分數字資產屬於證券還是商品:

(1)投資合同(The Howey Test)

如果一個數字資產的購买被視爲投資,且投資者期待通過企業家或第三方努力獲得利潤,該資產通常被視爲證券。這是根據美國最高法院在 SEC v. W.J. Howey Co.案中制定的標准,通常稱爲 Howey 測試。

(2)使用與消費

如果數字資產主要被用作消費品或服務的媒介,而不是作爲投資來期待資本增值,如代幣可用於購买特定服務或產品,雖然在實際市場中,這些資產也可能被投機性購买和持有,但從設計和主要用途的角度來看,它可能不會被歸類爲證券,而是作爲一種商品或其他非證券資產。

(3)去中心化程度

法案特別強調了區塊鏈網絡的去中心化程度。如果某個數字資產背後的網絡高度去中心化,沒有中心化權威控制網絡或資產,這種資產可能更傾向於被視爲商品。這一點很重要,因爲“商品”與“證券”的定義之間存在關鍵差異,這對它們的監管方式產生了影響。

美國商品期貨交易委員會(CFTC)將把數字資產作爲一種商品進行監管,“如果它運行的區塊鏈或數字账本是功能性的和去中心化的”。

美國證券交易委員會(SEC)將把數字資產作爲一種證券進行監管,“如果其相關的區塊鏈是功能性的,但不是嚴格去中心化的”。

該法案將去中心化定義爲,“除其他要求外,沒有人擁有單方面控制區塊鏈或其使用的權力,並且沒有發行人或關聯人控制數字資產20%或更多的所有權或投票權”。

以去中心化程度界定的具體標准有以下幾點:

控制權和影響力:在過去 12 個月內,沒有任何個人或實體具有單方面的權力,直接或通過合約、安排或其他方式,來控制或實質性改變區塊鏈系統的功能或運作。

所有權分布:在過去 12 個月內,沒有任何與數字資產發行者相關的個人或實體,在合計中擁有超過 20% 的數字資產發行總量。

投票權和治理:在過去 12 個月內,沒有任何與數字資產發行者相關的個人或實體能夠單方面指導或影響超過 20% 的數字資產或相關去中心化治理系統的投票權。

代碼貢獻和修改:在過去 3 個月內,數字資產發行者或相關人員沒有對區塊鏈系統的源代碼進行過實質性的、單方面的修改,除非這些修改是爲了解決安全漏洞、維護常規、防範網絡安全風險或其他技術改進。

市場營銷和推廣:在過去 3 個月內,數字資產發行者及其關聯人沒有將數字資產作爲一種投資來向公衆市場營銷。

在這些界定標准中,比較硬性的標准是,所有權和治理權分布,20% 的邊界线對於數字資產定義爲證券或商品意義重大,同時因爲受益於區塊鏈的公开透明、可追溯、不可篡改的特性,這個界定標准的量化也會變得更加清晰和公平。

(4)功能與技術特性

數字資產與底層區塊鏈技術的聯系也是決定監管方向的重要原因之一,這種聯系通常包括數字資產如何被創建、發行、交易和管理:

資產發行:許多數字資產是通過區塊鏈的程序化機制發行的,這意味着它們的創建和分配基於預設的算法和規則,而不是人工幹預。

交易驗證:數字資產的交易需要通過區塊鏈網絡中的共識機制來驗證和記錄,確保每一筆交易的正確性和不可篡改性。

去中心化治理:部分數字資產項目實現了去中心化治理,持有特定代幣的用戶可以參與到項目的決策過程中,比如對項目未來發展方向的投票。

這些特徵直接影響資產如何被監管。如果數字資產主要是通過區塊鏈的自動化程序提供經濟回報或允許投票參與治理,它們可能被視爲證券,因爲這表明投資者在期待通過管理或企業的努力獲得利益。如果數字資產的功能主要是作爲交換媒介或直接用於商品或服務的獲取,則可能更傾向於被分類爲商品。

  • 數字資產的推廣與銷售

數字資產如何在市場上推廣和銷售也是FIT21中的重要內容,如果數字資產主要通過投資的預期回報進行市場營銷,它可能會被視爲證券。這裏的內容極其重要,因爲它的意義在於規範了數字資產的監管框架,並且會影響到下一個可能通過現貨 ETF 的數字資產是什么。

(1)注冊和監管的責任

數字資產有兩種定義方向,分別是數字商品和證券。法案規定,根據定義方向不同,數字資產的監管由兩個主要機構共同負責:

商品期貨交易委員會(CFTC):負責監管數字商品交易和相關的市場參與者。

證券交易委員會(SEC):負責監管那些被視爲證券的數字資產及其交易平台。

(2)代幣內部人士的鎖定期限

法案原文:"A restricted digital asset owned by a related person or an affiliated person may only be offered or sold after 12 months after the later of— (A) the date on which such restricted digital asset was acquired; or (B) the digital asset maturity date." .

該條款規定了內部人士的代幣持有從獲得日期起至少需要鎖定12個月,或從被定義的“數字資產成熟日期”起鎖定12個月,以較晚的日期爲准。

這種延遲銷售的能力,有助於防止內部人士利用未公开信息獲利,或不公平地影響市場價格。通過使內部人士的利益與項目的長期目標一致,於避免投機和操縱市場的行爲,有助於營造一個更穩定公正的市場環境。

(3)數字資產關聯人銷售限制

法案原文:"Digital assets may be sold by an affiliated person under the following conditions: (1) The total volume of digital assets sold by the person does not exceed 1% of the outstanding volume in any three-month period; (2) the affiliated person must immediately report to the Commodity Futures Trading Commission or the Securities and Exchange Commission any order to sell more than 1% of the outstanding volume."

數字資產可由關聯人士在以下情況下出售:

  • 在任何3個月期間內,所售出的數字資產總量不得超過存量的1%;

  • 關聯人士在出售超過存量1%的訂單後,需立即向商品期貨交易委員會或證券交易委員會報告。

這一措施通過限制關聯人士在短時間內出售的數量,防止市場操縱和過度投機,確保市場的穩定和健康。

(4)項目信息披露要求

法案原文:"Digital asset issuers must disclose the information described in Section 43 on a public website prior to selling digital assets under Section 4(a)(8)."

項目信息披露所要求的具體信息在提供的摘錄中未詳細說明,但通常會包括:

數字資產的性質:數字資產代表什么(例如,公司的股份、未來收益的權利等);

相關風險:投資該數字資產涉及的潛在風險。;

發展狀態:與數字資產相關的項目或平台的當前狀態,如發展裏程碑或市場准備情況;

財務信息:與數字資產相關的任何財務細節或預測;

管理團隊:項目或發行數字資產的公司背後的人員信息。

法案要求數字資產發行人提供詳細的項目信息,包括資產的性質、風險、發展狀態等,以便投資者做出明智的投資決策。此舉增強了市場的透明度,保護了投資者的利益。

(5)客戶資金安全隔離原則

法案原文:"Digital commodity exchanges shall hold customer funds, assets, and property in a manner that minimizes the risk of loss or unreasonable delay in access by customers to their funds, assets, and property."

這一規定要求數字資產服務提供商必須採取措施確保客戶資金的安全,防止因服務提供商的操作問題導致客戶資金損失或訪問延遲。

(6)客戶資金與公司運營資金不得混合

法案原文:"Funds, assets, and property of a customer shall not be commingled with the funds of the digital commodity exchange or be used to secure or guarantee the trades or balances of any other customer or person."

這意味着服務提供商必須將客戶的資金與公司運營資金嚴格分开管理,確保客戶資金的獨立性,避免使用客戶資金進行非授權的活動,增強了資金的安全性和透明度。

在某些操作上,如出於結算便利性考慮,允許在符合規定的情況下將客戶資金與其他機構的資金存放在同一账戶,但必須保證這些資金的分離管理和適當記錄,確保每位客戶的資金和財產安全。

4.2 鼓勵創新、支持創新

在FIT21法案中,也存在諸多鼓勵創新、支持創新的內容。

  • 建立CFTC-SEC聯合咨詢委員會

成立CFTC-SEC數字資產聯合咨詢委員會,其目的是:

  • 就委員會與數字資產相關的規則、法規和政策向委員會提供建議;

  • 進一步促進委員會之間數字資產政策的監管協調;

  • 研究和傳播描述、衡量和量化數字資產的方法;

  • 研究數字資產、區塊鏈系統和分布式账本技術在提高金融市場基礎設施運營效率和更好地保護金融市場參與者方面的潛力;

  • 討論委員會對本法案及其修正案的實施情況。

這個委員會的目標是促進兩大監管機構在數字資產監管方面的合作和信息共享。

  • 加強和擴展SEC的創新和金融科技战略中心(FinHub)

法案提議加強和擴展 SEC 的創新和金融科技战略中心(FinHub),其目的是:

  • 協助制定委員會應對技術進步的方法;

  • 考察市場參與者的金融技術創新;

  • 協調委員會對金融、監管和監督系統中的新興技術的響應。

其職責是:

  • 在委員會內部促進負責任的技術創新和公平競爭,包括圍繞金融技術、監管技術和監督技術;

  • 爲委員會提供有關金融科技的內部教育和培訓;

  • 就服務於委員會職能的金融技術向委員會提供建議;

  • 分析技術進步和監管要求對金融科技公司的影響;

  • 就金融科技的規則制定或其他機構或工作人員的行動向委員會提供建議;

  • 向新興金融科技領域的企業提供有關委員會及其規則和條例的信息;

  • 鼓勵從事新興技術領域的公司與委員會合作並就潛在監管問題獲得委員會的反饋。

FinHub的主要任務是促進與金融科技相關的政策制定,並爲市場參與者提供關於新興技術的指導和資源。需要每年向國會提供一份關於 FinHub 在上一財政年度活動的報告。並且還需要提供確保 FinHub 能夠充分查閱委員會和任何自律組織的文件和信息,以履行 FinHub 的職能。委員會應建立詳細的記錄系統(根據美國法典第 5 篇第 552a 節定義),以協助 FinHub 與相關方溝通。

  • 成立CFTC的實驗室(LabCFTC)

法案提議成立LabCFTC,其目的是:

  • 促進負責任的金融技術創新和公平競爭,造福美國公衆;

  • 充當信息平台,向委員會通報新的金融技術創新;

  • 向金融技術創新者提供宣傳,討論他們的創新以及本法和根據本法頒布的法規建立的監管框架。

其職責是:

  • 就金融技術的規則制定或其他機構或工作人員行動向委員會提供建議;

  • 就金融技術向委員會提供內部教育和培訓;

  • 就金融技術向委員會提供建議,以加強委員會的監督職能;

  • 與學術界、學生和專業人士就與本法活動相關的金融技術問題、想法和技術進行交流;

  • 向新興技術領域的工作人員提供有關委員會、其規則和法規以及注冊期貨協會的作用的信息;

  • 鼓勵新興技術領域的工作人員與委員會接觸並從委員會獲得有關潛在監管問題的反饋。

與FinHub類似,LabCFTC的任務同樣是促進相關政策的制定以及提供技術指導和交流。LabCFTC同樣需要每年向國會提供一份關於其活動的報告。也應確保 LabCFTC 能夠充分查閱委員會和任何自律組織或注冊期貨協會的文件和信息,以履行 LabCFTC 的職能,並建立詳細的記錄系統。

  • 重視並加強去中心化金融、非同質化數字資產、衍生產品等的相關研究

商品期貨交易委員會(CFCA)和證券交易委員會(SEC)應聯合开展去中心化金融(DeFi)、非同質化數字資產(NFT)、衍生品等創新內容的研究,研究其發展趨勢,並評估其對傳統金融市場的影響及潛在的監管策略。

在這部分內容中,基本奠定了將Crypto合規化的態度,比較明確的方向就是DeFi和 NFT的研究,意味着DeFi和NFT在未來也可能迎來逐步明確的監管策略。

4.3 FIT21法案的重要意義

盡管加密行業已存在十多年,但全球尚無一套全面的數字資產監管框架。現有的監管框架零碎、不完整且缺乏清晰性。這種監管不確定性不僅阻礙了創新業務的發展,還爲不良行爲者提供了可乘之機。

因此,FIT21的通過具有重要意義。

它的通過對建立一個支持區塊鏈技術發展的監管環境具有重要的積極作用,同時對保護加密市場和消費者安全提出了較爲明確的要求。具體包括:爲不同的數字資產類型明確由CFTC或SEC監管;設置消費者保護措施,如客戶資金隔離、代幣內部人士的鎖定期限、限制年度銷售量和披露要求等。

區塊鏈技術和數字資產作爲人類文明繼互聯網後的又一具有劃時代意義的重大發明,具有巨大的發展潛力和前景,擁抱監管,創新發展,我們都是新時代的弄潮兒。

五、 總結

與2023年上半年相比,2024年上半年因黑客攻擊、項目方Rugpull、釣魚詐騙等造成的總損失有大幅上升,達到了14.92億美元。總體而言,Web3 安全領域形勢十分嚴峻。

但市場形勢總體向上,項目方與Web3用戶的安全意識也在逐步增強,相關合規政策也在穩步完善中。

Web3是新大陸,充滿了想象和機遇,相信在這片土地上,安全和合規將發揮越來越重要的作用,保護用戶加密資產安全。

0 好文章,需要你的鼓勵
了解更多區塊鏈一线報道,與作者、讀者更深入探討、交流,歡迎添加小助手QQ: 3150128700, 進入[金色財經讀者交流群]。
聲明:本文由入駐金色財經的作者撰寫,觀點僅代表作者本人,絕不代表金色財經贊同其觀點或證實其描述。
本文作者: SharkTeam
打开金色財經App 閱讀全文 打开金色財經,閱讀體驗更佳 金色財經 > SharkTeam > SharkTeam:2024年上半年度Web3安全報告 免責聲明: 金色財經作爲开放的資訊分享平台,所提供的所有資訊僅代表作者個人觀點,與金色財經平台立場無關,且不構成任何投資理財建議。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

標題:SharkTeam:2024年上半年度Web3安全報告

地址:https://www.sgitmedia.com/article/34485.html

相關閱讀: