我们都知道区块链以其去中心化、透明性和安全性引人注目,它在金融、医疗、供应链管理甚至艺术领域都显示出巨大的潜力和影响力。然而,与其创新和应用潜力并行的,是一系列复杂而深远的合规性问题。在公开的区块链网络(公链)中,这些问题尤其显著。公链的开放性和全球性使得合规性问题更加复杂,因为它们可能涉及多个国家和地区的法规、标准和规定。那么,我们如何在保护用户、维护公平、防止滥用和促进创新等方面找到平衡?如何使这些有力的工具能在不同的法规体系下顺利运行?这些都是我们必须面对的问题。
去中心化
区块链的去中心化特性是其最大的创新之处,也是其面临的主要合规挑战的源头。在传统的金融体系中,中心化的机构(如银行、证券交易所、支付平台等)起着关键的角色,他们负责管理交易、验证参与者身份、维护交易记录等。这些中心化的机构也负责遵守各种法规,包括反洗钱(AML)和知客(KYC)规定。
然而,在区块链的公链中,没有这样的中心化机构。所有的交易都在网络的参与者之间直接进行,交易的验证和记录也由网络中的所有节点共同完成。这种去中心化的特性带来了许多优点,如提高效率,降低成本,以及更强的抗审查性。但是,这也导致了一些新的合规问题。
一方面,由于缺乏中心化的机构,公链难以实施传统的KYC和AML程序。这可能使公链成为洗钱和非法交易的平台。同时,由于公链通常是全球运行的,所以它们可能会触犯各国和地区的法规。比如,某个国家可能禁止某种类型的交易,但在公链上却无法阻止这种交易发生。
另一方面,去中心化也使得责任归属变得模糊。在传统的金融体系中,如果发生了违规行为,可以追究中心化机构的责任。但在公链中,由于没有中心化的机构,很难确定应该由谁负责。
因此,去中心化使得公链的合规问题变得更为复杂和棘手。在未来,我们可能需要发展新的法规和技术,以应对这些问题。例如,我们可能需要发展新的KYC和AML程序,这些程序需要适应去中心化的环境,同时也要尊重用户的隐私权。我们也可能需要发展新的法律框架,以明确在去中心化环境中的责任归属。例如,我们可以考虑建立一个去中心化的身份验证系统,既可以满足KYC(Know Your Customer,了解你的客户)要求,又能保护用户隐私,比如使用零知识证明或多方安全计算等加密技术,使得用户可以证明自己满足某些条件(如年龄、国籍等),而无需公开具体的个人信息。还有法规沙盒,这是一种监管机制,允许初创公司在受到一定监管的情况下测试其产品或服务。这种方法也可以应用在区块链公链的合规问题上。监管机构可以设立法规沙盒,让公链在一定的范围内进行实验,找出可能的问题并研究解决方案。
透明性
区块链是极其透明的,对于任意一个地址我们可以通过查询区块链浏览器来查看它的持币价值以及过往交易,但为什么我们仍然说有合规性问题?
最显著的一点就是,我们无法将任意一个地址与现实中的实体挂钩,比如“0x9E3df81A666897837b44942c2ec0d32cB0A3852e”这样的一个16进制地址,如果我只是展示给你这样一个地址,你是否能帮我指出这个地址的所有者,实际上你不能,除非这个地址和CEX(中心化交易所)有任何交易往来,否则我们无法得知这样一个地址所对应的实体。
区块链上的混币器就是一个很好的例子,它能很好地突出区块链透明性与隐私保护之间的矛盾,也突显了合规问题的复杂性。
混币器是一种服务,能够提高区块链交易的隐私性。它通过将多笔交易的输入和输出混合在一起,使得追踪单个交易变得更为困难。虽然混币器可以用于合法的目的,比如保护用户的隐私,但是它也可以被用于非法的目的,比如洗钱和逃税。
这里,透明性与隐私的矛盾就显现出来了。区块链的透明性是其最大的优点之一,它让任何人都可以查看和验证交易。然而,这也意味着用户的交易信息可能被任何人查看,这对用户的隐私性构成了威胁。混币器是试图解决这个问题的一种方法,但是它也带来了新的问题,那就是合规性。
对于合规性来说,透明性是非常重要的。它让监管机构可以追踪资金流动,防止非法活动,如洗钱和恐怖主义融资。然而,混币器的使用使得这种追踪变得更为困难。
因此,我们面临的挑战是如何在保护用户隐私和维护透明性之间找到一个平衡。这可能需要我们开发新的技术和法规,以适应这种新的情况。例如,我们可以考虑开发新的隐私保护技术,如零知识证明,这种技术可以在不公开具体信息的情况下验证某些事实。同时,我们也需要对混币器进行合理的监管,以防止其被用于非法活动。
而目前并没有一个非常高效的且正确率高的追踪混币器资金流动的方案,无论是Slowmist还是Chainanalysis抑或是其他的专注于区块链生态安全的公司,都尚未开发出一个100%正确的工具,而对于普通用户来说,如果你使用了这样的混币器服务,大概率你的地址也会被认为是重大安全事件中的攻击者之一。
安全性
安全性也是区块链技术的一大卖点,但也并不是没有重大安全事件发生过,比如:
公链安全事件
公链是指基于区块链技术构建的开放、去中心化、不需要许可的分布式网络,任何人都可以参与其中。公链通常具有自己的原生代币,用于激励网络中的节点维持共识和安全。公链的优势在于其透明性、开放性和创新性,但也面临着一些安全挑战,如51%攻击、智能合约漏洞、预言机操纵等。
以下是一些公链的重大安全事件,按照时间顺序排列:
| 日期 | 公链 | 事件 | 损失 |
|---|---|---|---|
| 2018-01-28 | Bitcoin Gold | 遭两次51%攻击,两笔对交易所的充值交易均被撤销,涉及约1900个BTG和5267个BTG,接近9万美元。 | 约9万美元 |
| 2018-05-18 | Bitcoin Gold | 再次遭51%攻击,黑客通过双花攻击盗走了价值1800万美元的BTG。 | 约1800万美元 |
| 2018-07-14 | ZenCash | 遭51%攻击,黑客通过双花攻击盗走了价值55万美元的ZEN。 | 约55万美元 |
| 2018-08-10 | Ethereum Classic | 遭51%攻击,黑客通过双花攻击盗走了价值150万美元的ETC。 | 约150万美元 |
| 2019-01-05 | Ethereum Classic | 再次遭51%攻击,黑客通过双花攻击盗走了价值110万美元的ETC。 | 约110万美元 |
| 2019-03-12 | Verge | 遭51%攻击,黑客通过时间戳篡改和双花攻击盗走了价值170万美元的XVG。 | 约170万美元 |
| 2020-08-04 | Ethereum Classic | 遭多次51%攻击,黑客通过双花攻击盗走了价值数百万美元的ETC。 | 数百万美元(具体数额未知) |
| 2020-10-26 | Harvest Finance (基于以太坊) | 遭闪电贷攻击,攻击者利用预言机操纵和套利策略从中获利约2400万美元。 | 约2400万美元 |
| 2021-08-04 | Bitcoin SV | 遭51%攻击,近100个区块发生重组。 | 未知 |
| 2021-09-04 | Ethereum Classic | 遭分叉,因以太坊客户端Geth漏洞导致ETC主网遭遇分叉。 | 未知 |
| 2021-09-14 | Solana | 遭拒绝服务攻击,网络停滞17个小时,没有资金损失。 | 无 |
实际上这还只是公链被攻击的几个案例,没有考虑到公链上基础设施和协议的事件。
我们可以加入DeFi一起考虑:
DeFi(去中心化金融)是指基于区块链技术构建的开放、透明、无需许可的金融服务,包括借贷、交易、衍生品、保险、资产管理等。DeFi协议或者其他基础设施(比如跨链桥)是指为DeFi服务提供技术支持的智能合约、平台或者网络,通常部署在公链上,如以太坊、币安智能链、波卡等。
由于DeFi涉及大量的资金流动和复杂的逻辑,其安全性面临着诸多挑战和威胁,如智能合约漏洞、闪电贷攻击、预言机操纵、跨链桥失效等。以下是一些公链上DeFi协议或者其他基础设施的重大安全事件,按照时间顺序排列:
| 日期 | 公链 | 项目 | 事件 | 损失 |
|---|---|---|---|---|
| 2020-02-15/18 | 以太坊 | bZx Protocol | 遭两次闪电贷攻击,攻击者利用预言机操纵和杠杆套利策略从中获利约35万美元和64万美元。 | 约99万美元 |
| 2020-03-12 | 以太坊 | MakerDAO | 清算机制异常,由于以太坊ETH的价格暴跌,MakerDAO的大量抵押债仓跌破清算门槛,引发了清算程序执行。原本应该参与到清算过程中的清算机器人 (Keeperbot)因为设置了较低的gas值,导致出价受阻,一位清算人 (Keeper)在没有竞争者的情况下,以0DAI的出价赢得了拍卖。 | 约800万美元 |
| 2020-04-18 | 以太坊 | Uniswap | 遭ERC777重入攻击,黑客利用DeFi平台Uniswap和ERC777标准的兼容性问题缺陷,对Uniswap实施了重入攻击。具体而言,黑客在交易ETH-imBTC时,利用ERC777标准中进行转账的tokensToSend回调函数实现了重入攻击,总获利34万美元。 | 约34万美元 |
| 2020-04-19 | 以太坊 | Lendf.Me | 遭重入漏洞攻击,损失约2500万美元。后慢雾安全团队协助追回了被盗资产。 | 约2500万美元(已追回) |
| 2020-04-27 | 以太坊 | Hegic | 代码出现漏洞致用户资产被永久锁定,在该项目上线几小时后,其代码中的一个错误锁定了该平台智能合约价值2.8万美元的用户资金,由于该漏洞将资金锁定在了过期合约中,使其无法被访问。 | 约2.8万美元 |
| 2020-06-18 | 以太坊 | Bancor | 新合约出现安全漏洞,由于新的BancorNetwork合约上未经验证的safeTransferFrom ()函数,用户资金即将被耗尽。Bancor团队表示:1.两天前发布的新BancorNetworkv0.6合约中发现了一个安全漏洞;2.在发现漏洞之后团队进行了白帽攻击,以将资金转移到安全地址;3.智能合约已完成审核。但还有135,229美元的资金被两个未知套利机器人抢先交易了。 | 约13.5万美元 |
| 2020-06-29/30 | 以太坊 | Balancer | 流动性池两次遭黑客闪电贷攻击,6月29日,知名DeFi平台Balancer流动性池遭黑客闪电贷攻击,损失50万美金。Balancer上遭遇损失的为STA和STONK两个代币池,目前这两个代币池的流动性已枯竭。6月30日,黑客再次利用dYdX的闪电贷攻击了Balancer部分流动性矿池中的COMP交易对,将池子中未领取的COMP奖励抽走,获利10.8ETH,约合2408美金。 | 约52.4万美元 |
| 2020-07-01 | 以太坊 | Vether (VETH) | 遭黑客攻击,黑客仅使用0.9ETH就盗走了919,299VETH (价值90万美元)。攻击事件发生后,VETH官方表示,「该合约被其放置在transferForm ()中的UX改进所利用,这是我们的过错。我们将重新部署vether4,并将补偿所有受影响的Uniswap质押者。」 | 约90万美元 |
| 2020-08-04 | 以太坊 | Opyn | 看跌期权被外部参与者恶意利用,Opyn披露其以太坊看跌期权被外部参与者恶意利用。Opyn指出,除以太坊看跌期权外的所有其他Opyn合约均不受此漏洞的影响。攻击者双重利用oToken并窃取了看跌期权卖方的抵押资产。据Opyn统计,截至目前共有371,260枚USDC被盗。Opyn团队根据ConvexityProtocol进行的白帽黑客攻击,成功从未偿付的保险库中收回了439,170USDC,以进一步减轻损失。 | 约37.1万美元(已追回) |
| 2020-08-13 | 以太坊 | YAM Finance | 合约存在漏洞,知名以太坊DeFi项目YAM官方通过Twitter发文表明发现合约中存在漏洞,24小时内价格暴跌99%,导致了治理合约被“永久破坏”,价值75万美元的Curve代币被锁定而无法使用。 | 约75万美元(已锁定) |
| 2021-08-10 | 多条公链 | Poly Network | 遭跨链黑客攻击,黑客利用Poly Network的跨链协议漏洞,从BSC、以太坊、Polygon三条公链上转走了价值6.1亿美元的代币。后黑客主动归还了所有资产。 | 约6.1亿美元(已归还) |
| 2021-06-17 | 币安智能链 | PancakeBunny | 遭闪电贷攻击,黑客利用PancakeBunny的流动性池和借贷协议,通过闪电贷借入大量BNB和BUNNY代币,操纵市场价格,最终盗走了价值4500万美元的代币。 | 约4500万美元 |
| 2021-05-20 | 币安智能链 | PancakeSwap、Cream Finance等多个项目 | 遭DNS劫持攻击,黑客通过篡改DNS记录,将用户重定向到假冒的网站,试图窃取用户的私钥和助记词。 | 未知(可能很大) |
| 2021-04-19/20/22 | 币安智能链、以太坊、火币生态链等多条公链 | Uranium Finance、Value DeFi、Force DAO等多个项目 | 遭数学错误漏洞攻击,黑客利用Uranium Finance、Value DeFi等项目的数学计算错误漏洞,从流动性池中转走了价值5000万美元的代币。 | 约5000万美元 |
| 2021-04-24 | 多条公链 | ChainSwap、Anyswap等多个项目 | 遭跨链桥漏洞攻击,黑客利用ChainSwap、Anyswap等项目的跨链桥漏洞,从多个代币合约中转走了价值3000万美元的代币。 | 约3000万美元 |
| 2022-02-09 | 多条公链 | Ronin Bridge、Wormhole、Nomad Bridge、Beanstalk 等多个项目 | 遭跨链黑客攻击,黑客利用各项目的跨链桥漏洞,从多个代币合约中转走了价值超过 10 亿美元的代币。 | 约 10 亿美元 |
| 2022-12-19 | 多条公链 | ChainSwap、Anyswap 等多个项目 | 遭跨链桥漏洞攻击,黑客利用 ChainSwap、Anyswap 等项目的跨链桥漏洞,从多个代币合约中转走了价值约 3000 万美元的代币。 | 约 3000 万美元 |
| 2022-11-30 | 多条公链 | Mango Markets、Celsius、Voyager 等多个项目 | 遭 DNS 劫持攻击,黑客通过篡改 DNS 记录,将用户重定向到假冒的网站,试图窃取用户的私钥和助记词。 | 未知(可能很大) |
2020年-2023年每年公链重大安全事件,损失的金额总量
| 年份 | 公链重大安全事件 | 损失的金额总量(美元) |
|---|---|---|
| 2020 | ETC、BCH、BTG、GRIN 等遭 51% 算力攻击,bZx 协议遭闪电贷攻击等事件 | 约 1.2 亿 |
| 2021 | BSV、ETC、BTC、ETH 等遭 51% 算力攻击,Harvest Finance、PancakeBunny、Poly Network 等遭闪电贷攻击等事件 | 约 9.8 亿 |
| 2022 | BTC、ETH、BSC、SOL 等遭跨链桥漏洞攻击,DeFi 安全事件涉事总金额超过 753 亿 | 约 753 亿 |
| 2023 | ETH、BSC、SOL、DOT 等遭跨链黑客攻击,DNS 劫持攻击等 DeFi 安全事件 | 约 10.5 亿 |
实际上还是很吓人的,考虑到目前所有公链全网 TVL(总锁仓价值)大约为 5,076.8 亿美元。其中,以太坊占比最高,为 2,953.5 亿美元,其次是 TRON(孙哥的波场),为 566.2 亿美元,第三是 BSC(币安智能链),为 398.3 亿美元。
Code Is Law
“Code Is Law”,这是一个在区块链行业里经常提到的一种理念。它的意思是程序代码就是法律,而无需人为的审判与干预。
正如我们所说,区块链讲究的是去中心化,所有的规则都被写入智能合约的代码中,然后依据程序代码去执行,而程序代码通常又是开源的,所有人都可以查看。这样可以摒除人性的介入,消除人与人之间的纷争,使智能合约实现的功能变得透明、公平。
这个理念在区块链社区中有不同的支持者和反对者。一方面,它体现了程序正义和规则的权威性,避免了人为的干涉和篡改。另一方面,它也可能导致一些不符合实质正义和社区利益的结果,比如黑客攻击或者智能合约漏洞。
实际上程序正义与道德正义,在16年的事件中体现
The DAO事件是一个关于“Code Is Law”理念的典型案例。The DAO是一个基于以太坊的去中心化自治组织,它通过智能合约实现了一种众筹和投资的机制。
然而,2016年6月,一名黑客利用The DAO智能合约的漏洞,盗走了价值5000万美元的以太币。这引发了以太坊社区的激烈争论,是否应该通过硬分叉来回滚交易,挽回损失。
支持硬分叉的人认为,黑客的行为是违背了The DAO智能合约的本意和社区共识,应该通过技术手段来纠正错误,维护社区利益和信任。
反对硬分叉的人认为,黑客的行为虽然不道德,但并没有违反The DAO智能合约的代码逻辑,而代码就是法律,应该被尊重和执行。硬分叉会破坏区块链的不可篡改性和中立性,损害区块链技术的信誉和发展。
最终,以太坊社区通过投票决定执行硬分叉,将被盗的以太币返还给The DAO的参与者。但这也导致了以太坊分裂成两条链:一条是执行硬分叉的ETH(以太坊),一条是保留原链的ETC(以太经典)。
这个事件很好的展示了“Code Is Law”理念在区块链领域的挑战和困境,它涉及到程序正义和实质正义、代码安全和代码权威、社区共识和社区分歧等多方面的问题。
这也牵涉到有关合规性的内容,用户利用了公开程序中的逻辑漏洞,到底算不算非法侵占了他人的资产呢?比如,我们可以认为利用智能合约的漏洞获得的钱,不能算是“正当”获取到的,而是一种非法侵占。因为这样的行为违反了智能合约的本意和双方当事人的意思自治,也损害了智能合约的安全性和可信度。我们也可以认为是”正当“的,因为他运用的是既定代码的逻辑,尽管可能不是开发者所想的。