作者：TaxDAO

吳說區塊鏈在 7 月 28 ⽇報道了《離奇案件全文: Bybit 發薪負責人大量盜取 USDT 新加坡法院詳解加密貨幣財產屬性》這⼀事件，引起業內不少討論。本文將從財管角度進行分析與總結。

事件概要

加密交易所 Bybit 起訴負責公司內支付⼯資的 Ho 女士濫用職權，將大量  USDT 轉移到她祕密擁有和控制的地址。新加坡⾼等法院普通庭 7 月 25 ⽇維持判決 Ho女士立即向 Bybit 支付所有轉移的款項與利息。

事件細節分析

1、ByBit Fintech Limited  (“ByBit”)  尋求對第⼀被告， 名爲 Ho Kai Xin  (“Ho 女士”)的判決。對她的指控是 ， 她違反了她的僱傭合同， 濫⽤了她的職務， 將⼀些 USDT   轉移到了她祕密擁有和控制的“地址”， 以及⼀些法幣轉移到了她自己的銀行账戶。尋求的主要救濟是聲明 Ho 女士爲 ByBit 托管 USDT 和法定貨幣。因此， ByBit 要求退還相同的或可追溯的收益， 或⽀付等價值的金額。

從上述細節可得出：

1、Ho 一人完全控制薪酬有關加密貨幣账戶和法幣账戶，無多級授權；                     

2、資金控制流程存在較⼤漏洞(與账戶有關的內控缺失即使只損失 1 美⾦也是較大漏洞)。

3、作爲她的職責的⼀部分， Ho 女士維護了⼀份微軟 Excel  表格， 該表格記錄了每個月應支付給 ByBit 員⼯的現⾦和加密貨幣支付  (  分別爲“法幣 Excel 文件”和“加密貨幣 Excel 文件”)。ByBit 的員工可以並且確實經常通過向 Ho 女士傳達新的地址 來更改他們指定的地址， 然後 Ho 女士會更新加密貨幣 Excel 文件。只有 Ho 女士能 夠更新加密貨幣  Excel 文件，並且只有她能訪問這些文件，除了每個⽉需要將加密 貨幣 Excel 文件提交給她的直接上級 Casandra Teo 審批。 

從上述細節可得出：

1、發薪地址的收集流程較爲隨意，可以隨意修改，沒有留痕；                                 

2、發薪地址的審核不僅是形式上的，而且審核資料是單⼀來源，沒有辦法確認接收地址是否真實或者被造假。

3、2022 年 9 ⽉  7 ⽇ ， ByBit 發現在 2022 年 5 ⽉  31 ⽇⾄ 8 ⽉  31 ⽇之間發生了八筆不尋常的加密貨幣⽀付(“異常交易”)  ， 涉及向四個地址(我將其簡單地稱爲 地址 1 、2 、3 和 4)  轉⼊大量的 USDT 。總共轉移了 4,209,720 個 USDT  (  “加密資產”)。USDT 之所以得名， 是因爲它的價值與美元掛鉤， 每個 USDT 都賦予其持有者(即發行人 Tether  Limited  的“驗證客戶”)以合同權利， 可以⽤美元兌換他們的 USDT 。這些異常交易被編⼊⼀個 Excel 電子表格  ( “對账 Excel 文件” )  ， Ho 女士被指派負責解釋這些差異。Ho 女士最初將異常交易歸咎於無意的錯誤或技術錯誤， 並提出計算需要從 ByBit 的員⼯那⾥收回的金額。

從上述細節可得出：

1、Bybit 內部應該有對账過程，但時間相對滯後，可能與業務量較多中後台⽀持無法跟上的原因有關；

2、事後補坑的成本遠遠大於事前規劃的成本。

3、ByBit 還發現 Ho 女士在 2022 年 5 月導致 117,238.46 美元  (  “法幣資產” )  被支付入她的個⼈銀⾏账戶。無可爭議的是， Ho 女士無權得到法幣。

從上述細節可得出：     

1、法幣账戶也淪陷，百思不得其解，法幣發薪這樣傳統的⼯作，不管是流程還是工具案例應該數不勝數；

2、即使出於薪資保密的原因需要交由 HR 進行支付和授權(部分⼯作脫離財務控制)，但是基本的工資表制作、銀行支付動作和授權三者也需要分離。 

適用於 Web3 的財管理念

Web3 經過多年發展除了湧現不少商業巨頭，也在吸引越來越多 Web2 的⼈⼠進⼊， 結合最近兩年監管和合規環境的演變，必要的財管思路和⼿段需要引起越來越多的 Web3 公司重視。

1、保護加密&法幣账戶的安全：隔離風險，分離基礎信息收集節點、操作節點和授權節點，並且在每⼀個節點驗證不同來源的同⼀信息，避免信息源只有⼀處並無法對比溯源。

2、財務核驗機制：如定期對账、記账，同樣的驗證不同來源的同⼀信息，避免信息源只有⼀處並無法對比溯源，頻率不應超過⼀個月。核驗機制保證了“業務閉環”(沒想到更好的詞替代“閉環”)，即事項的發生和是否發生的正確和在軌相互驗證。

3、會計記錄-包括加密貨幣：完整有效的會計記錄以及可回溯的證據鏈將⼤⼤降低內控失效的風險，並且利用會計記錄進行經營管理和應對外部合規義務( FTX 的崩潰與其混亂的會計記錄也存在⼀定關系)。

4、內控的必要性：重要的是要有經營管理和內控的 Sense ，如果能配合內化了內控、會計、稅務大量實操經驗的優秀自動化管理軟件，可以最大化保證你的加密事業行穩致遠。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。