法律合规所带来的安全,将是下一个差异化优势。

作者:徐晓惠,刘红林律师曼昆区块链法律服务

封面:Photo by Conny Schneider on Unsplash

Web3 冲浪,谁不是人手 N 个加密货币钱包?作为刚需,加密货币钱包一直以来都作为加密货币的关键存储设施以及参与各类 Web3 生态的重要工具,而备受重视且参与者众多。根据 ROOTDATA 收录的清单,常见加密货币钱包已有 370 个之多。

图源:Rootdata

与此同时,加密货币钱包赛道也非常之卷,前期比谁接的链多,中期比谁接的 DAPP 多,此时进入钱包赛道的创业者,还能「卷」什么?曼昆律师认为,法律合规所带来的安全,将是下一个差异化优势。那么,作为钱包创业者,该如何做好法律合规呢?首先,我们需要回顾加密货币钱包的开发与运营逻辑,分析当前钱包赛道的合规近况。

加密货币钱包介绍

加密货币钱包通过私钥和公钥的组合,成为了用户在区块链网络上存储、管理和交易数字资产的重要工具。可以说,创建一个加密货币钱包,是用户踏入 Web3 世界的第一步。

钱包类型

根据私钥存储方式、持有人数量,以及是否支持多条链加密资产等不同,加密货币钱包往往被分为如下几类:

  • 从私钥存储方式而言,可以分为冷钱包和热钱包。冷钱包是一种将加密货币存储在离线设备上的钱包;热钱包则是指在连接到互联网的设备上存储和管理加密货币的钱包。
  • 根据钱包私钥持有人的数量不同,可以分为单签钱包和多签钱包。单签钱包,即指单人签名就可以执行某个操作的钱包;对应的,需要多人签名作为一组,才能执行某个操作的钱包,就是多签钱包。
  • 根据是否支持多条链加密资产的不同,可以分为单链钱包和多链钱包。单链钱包是指只能存储、收发某一公链 Token 的钱包;多链钱包则是指可以支持多种主链平台 Token 的钱包。

此外,2020 年后,AA 智能钱包也逐渐兴起,它是一种基于 ERC-4337 协议、能够通过智能合约进行管理、控制的钱包,一定程度上避免了用户丢失助记词或私钥而引发的风险。

涉及业务

加密货币钱包的种类多样,不同钱包支持的功能也各有区别,钱包功能切实影响着用户的使用体验,也在一定程度上决定了用户受众的不同。市面上主流钱包产品,一般有以下几种业务功能:

  • 资产管理和交易。提供存储、发送和接收多种加密货币功能,由用户进行链上转账和交易,是钱包最基础的功能。
  • Staking 和 DeFi 服务。理财投资也是用户使用钱包的重要需求之一,不少钱包项目方会为用户提供质押服务,或提供借贷、流动性等 DeFi 服务,并从中赚取一定费用。
  • DAPP 集成。加密货币钱包常作为 DAPP 的登录和身份认证工具,用户可以通过钱包授权 DAPP 访问其账户信息和资产;许多钱包也会集成多个 DAPP,用户可以直接在钱包内访问各种 DAPP 服务,例如空投活动、游戏等。
  • NFT 服务。NFT 作为 Web3 的重要资产类型之一,不少钱包会与 NFT 市场合作,支持用户在钱包内购买、出售、管理 NFT 资产;此外,也有些钱包会合作提供 NFT 铸造工具,用户可以直接在钱包内创建和发行 NFT。

加密货币钱包合规挑战

各国政府和监管机构对加密货币的态度日益严格。加密钱包行业在近些年快速发展的同时,也伴随着日益严峻的合规要求和风险。不少头部加密钱包项目方都经历过数据泄露、内部管理问题等重大安全事件,这些事件不仅仅是单个项目方面临的经营危机,更是整个加密货币生态系统的警钟,提醒所有参与者加强风险管理和合规性建设。

加密钱包技术漏洞

加密钱包由于其处理敏感金融信息的性质,在技术层面仍面临多种潜在的漏洞和安全隐患,这成为黑客攻击和技术漏洞的主要目标。

根据 Beosin Alert 监测,Web3 领域在 2024 年上半年的主要攻击事件便高达 78 起,总损失金额达 11.93 亿美元,攻击方式有私钥泄露、安全结构漏洞等多种原因。在 2024 年 7 月这短短一个月里,就有日本 BitPoint Japan(BPJ)交易所遭黑客攻击后热钱包被盗 35 亿日元、印度交易所 WazirX 被攻击后钱包被盗 2.35 亿美元等多起事件。

用户隐私和数据泄露

虽然加密钱包具有匿名性,但用户在使用加密钱包项目的某些合作方功能时,仍需提供电子邮件、电话号码等个人信息,保管用户数据信息也是项目方的重要挑战之一。

据加密货币硬件钱包制造商 Trezor 在 2024 年 1 月发布的消息,当月 17 日有黑客通过某种方式入侵了 Trezor 第三方支持网站,此次安全事故暴露了自 2021 年 12 月以来与 Trezor 进行过工单支持的用户的数据,牵涉的用户大约为 6.6 万名,包含姓名、用户名、电子邮件地址等信息。

项目内部人员管理

加密货币钱包项目成员借助便利条件,盗用、窃取用户资产,或离职员工留有重要权限,被黑客利用攻击的案例也屡见不鲜。

图源:Investopedia

2023 年 3 月,美国加密货币交易平台 FTX 创始人萨姆·班克曼 - 弗里德(Sam Bankman-Fried),因从 FTX 加密货币交易平台的客户那里窃取 80 亿美元(约合人民币 578 亿元人民币),在美国纽约被判 25 年监禁。中国也有类似案例,徐汇法院在 2024 年 4 月发布,原火币 3 名员工在钱包软件中加入后门程序,成功转换数字钱包地址 19000 余个,最终因涉非法获取计算机信息系统数据罪被判处 3 年有期徒刑。

2023 年 12 月,知名加密货币钱包 Ledger 被恶意侵入的重要原因之一,就是前员工遗留重要权限,前员工的 npmjs 账号被钓鱼劫持走后,攻击者就可以任意发布带毒的模块版本。

洗钱风波

各国政府和监管机构在不断加强对加密货币和钱包服务的监管,反洗钱始终是加密货币项目方面临的重大挑战,项目方需要实施严格的反洗钱(AML)和了解客户(KYC)程序,以确保其平台不被用于非法目的。

2023 年 11 月,美国司法部指控币安洗钱、作为未注册货币转账业务运营以及违反制裁等,最终公司首席执行官赵长鹏 (CZ) 则辞职并承认洗钱罪以和解指控,这一事件引发了加密货币领域热议。之前 FTX 平台创始人萨姆·班克曼 - 弗里德(Sam Bankman-Fried)面临的七项刑事指控中,也包括洗钱罪名。

加密货币钱包合规策略

不同 Web3 钱包,在安全性、用户体验、功能特性、生态系统支持及市场策略等方面各具特色。随着技术进步和用户需求的增长,可以预见到钱包功能也将越发丰富。在充满机遇和挑战的背景下,不论加密货币钱包种类,如何合法合规地安全开展,将是每个项目方面临的重要课题。

业务监管合规

不同国家对加密货币的监管态度和要求各不相同。有些国家认为数字资产是一种合法的支付工具或商品,有些国家则禁止或限制数字资产的发行和交易。因此项目方需要了解、遵守运营所在国家相关法律法规,制定相应合规策略,根据需要向相关监管机构进行登记和备案;运营期间,项目方也应密切关注监管政策的变化,及时调整优化运营策略要求,以适应监管动态。

前文提到,在中国大陆对虚拟货币相关业务从严的监管态度下,不少加密货币钱包项目方都计划业务出海。区块链公司出海选择注册地时需要考虑一系列因素,包括法规环境、税收政策、治理结构、隐私保护等。现对热门出海注册地简单介绍如下:

离岸地。例如开曼群岛、英属维京群岛等,这类地区的优势是无税收、隐匿性高,便于给开展全球业务;但相对的,监管透明度较差,业内受认可程度较低。其中,开曼群岛相对具备较高的金融监管标准,不过设立和运营成本也比较高昂;英属维京群岛的设立和运营成本较低,但监管透明度和治理结构相对不够健全。

在岸地。例如新加坡、香港等,这类地点的法律法规比较明确完善,监管态度也相对可预测,但相对的,有税收成本、隐匿性也比较低。其中,香港具备较为完善的法律制度和金融基础设施,税收成本较低,背靠大陆,但政治和监管政策可能会影响商业环境稳定性;新加坡的法规环境也较为友好,税收成本较低,但市场规模相对较小,运营成本较高。

内部人员管理

加密货币钱包和用户资金安全紧密相关,这也使得项目方必须注重加强对项目内部人员的管理。如果员工的不当行为引发舆论或风险,极易给项目发展造成不可逆的损害。

项目方可以建立完善的合规管理制度,实施严格的访问控制,确保只有授权人员可以访问敏感信息和系统;定期对项目员工进行合规培训及管理,提高员工的安全意识,防范社会工程攻击和内部舞弊;必要的话,可以建立专门合规团队,定期进行内部审计和监控,及时发现和应对潜在的内部威胁。

外部合作审查

DeFi、Staking、NFT 服务以及 DApp 集成等功能,既是各钱包差异性的重要体现,同时也是加密货币钱包项目方的重要收入来源之一。

在与外部项目方建立合作时,加密货币钱包项目方可以对合作项目进行背景调查,并签署书面合作协议,明确双方责任和义务,避免合作方触碰法律红线。合作期间,加密货币钱包项目方还应对合作方进行定期审查和系统的实时监控,识别异常交易或可疑活动,如有高危行为,及时响应调整合作方案。

技术安全风控

加密货币钱包始终面临着黑客攻击、系统故障、数据丢失等风险。一旦发生这些风险,可能导致用户的数字资产损失或被盗,甚至引发用户投诉、诉讼、索赔等法律纠纷。

钱包项目方务必重视钱包技术安全性的风控审查,包括钱包自身代码安全、链上交互安全以及其它安全保障措施。项目方可以从风险币种提示、合约授权管理、钓鱼网站提醒、风险地址检测、合约风险监测等措施着手,确保钱包的技术安全。同时,应当制定和测试应急响应计划,确保在突发事件中能够迅速应对处理,降低损失。

AML 和 KYC

由于加密货币的匿名性和全球性,极易被不法分子进行洗钱或非法活动。随着市场的不断发展和成熟,AML 和 KYC 在加密货币领域也愈发重要。

加密货币钱包项目方可以通过建立实时交易监控系统、设定风险报告机制等方式,识别管理潜在风险和可疑活动,防止非法资金通过加密货币洗钱。项目方也可考虑通过用户身份验证、地址验证等方式,做好 KYC 程序,积极主动地进行监控和尽职调查,以确保平台的合法性和稳定性。

结语

合规性是加密货币钱包项目成功和持续运营的基石。加密货币钱包项目方在国际市场扩展时,需综合考虑法律法规、技术安全、内部控制等多个方面,确保合规运营。了解目标市场的法律环境、获得必要的许可、建立有效的内部控制体系、施强有力的技术安全措施,并适应监管变化,钱包项目方不仅可以避免法律风险,还可以增强用户信任和市场竞争力。希望本文的合规建议能为加密货币钱包项目方提供有价值的指导,助力项目在合规的道路上稳步前行。

免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。