Web3 持牌公司必看!
作者: Iris,曼昆律師,曼昆區塊鏈法律服務
網路安全一直是 Web3 產業的「徹骨之痛」。
根據慢霧安全團隊的數據,2025 年 1 月,因為安全事件和釣魚事件造成的損失就近 1 億美金,而這僅僅是產業損失的冰山一角。每年因為網路安全問題導致的專案和個人用戶損失,多則幾十億,少則十幾億美金。
也因此,Web3 專案的網路安全一直是關鍵。
2025 年 2 月 6 日,香港證券及期貨事務監察委員會(SFC)發布報告 《2023/24 年持牌法團網路保全主題檢視報告》,其中指出:對持牌公司而言,認識到網路安全不僅僅是資訊科技部門的責任至關重要。實際上,持牌公司的高階主管在監督和實施強有力的網路安全措施方面扮演了關鍵角色,以保護其組織免受不斷演變的威脅。
那麼,Web3 持牌公司該如何應對網路安全問題呢?本篇文章,曼昆律師就來拆解香港證監會的這篇報告,為大家畫畫重點的同時,也提供一些參考策略。
高階管理人員是第一責任人
在以往,我們常常會將專案/產品的安全問題歸咎於公司的 IT 團隊,認為他們才是主要負責人。
然而在香港證監會(SFC)的監管架構下,持牌公司的高階管理層不僅是企業策略決策的核心,也是網路安全合規的第一責任人,需對網路安全失敗可能引發的法律責任承擔最終責任。 SFC 明確指出,以下所有人員均屬於高階管理層範疇,並需承擔網路安全監管職責:
- 負責官員(Responsible Officers, RO)
- 執行董事與非執行董事(Executive & Non-Executive Directors)
- 核心職能部門負責人(Managers-in-Charge, MIC)
香港 SFC 強調,網路安全不僅是 IT 部門的責任,而是公司治理的重要組成部分。因此,高階管理層必須確保公司建立和維護強而有力的網路安全管控體系,並在策略層面監督安全措施的執行。這項責任不僅要求管理階層具備對網路安全風險的認知,還需要他們確保企業採取適當的措施來降低這些風險,並符合 SFC 的監管要求。
此外,網路安全的合規要求不僅限於技術管控,更涉及企業文化的塑造。企業管理階層應積極推動安全意識培訓、建立安全責任制度,並在企業內部營造「網路安全優先」的文化。只有當管理階層真正將網路安全視為企業風險管理的重要組成部分,Web3 持牌公司才能在複雜且多變的網路威脅環境中保持安全穩健的營運。
最容易忽略的內部安全漏洞
Web3 產業的安全事件層出不窮,然而在這之中,許多攻擊的根源並非駭客手法高超,而是持牌公司本身的安全管理缺陷。
香港證監會(SFC)在報告中指出,許多持牌公司在網路安全管理上仍有 2 大關鍵漏洞。而這些漏洞往往成為駭客攻擊的突破口,直接威脅客戶資料、交易安全,甚至引發合規風險。
- 使用過期軟體
Web3 持牌公司持續使用已過期的軟體,是香港證監會報告中重點關注的一大網路安全漏洞。
由於這些軟體不再接收來自供應商的安全更新、修補程式或技術支持,因此,新發現的漏洞也不會被修復,這就給了網路犯罪分子的可乘之機——他們可以利用這些弱點發起惡意軟體攻擊,導致資料外洩和系統侵入。
為了降低此風險,Web3 公司必須實施結構化的軟體生命週期管理過程,並由管理階層直接負責軟體資產的風險評估。對此,在適用的情況下,公司可以考慮在其業務運作中採取以下措施:
- 建立軟體更新機制。維護公司內所有軟體和作業系統的更新清單,提前識別即將過期的軟體,並設定定期評估流程。
- 提前規劃升級方案。在供應商正式結束支援前,主動規劃升級或更換,以確保業務連續性,避免臨時中斷。
- 實施臨時緩解措施。對暫時無法升級的系統採取安全控制,如存取權限限制、網路隔離等。
- 定期進行脆弱性評估。持牌公司可以建立持續的安全監測機制,確保軟體風險能夠被及時識別和處理。
另外,Web3 公司高階管理層應確保 IT 團隊擁有足夠的資源,以便可以有效管理軟體生命週期,並防止因未能升級關鍵系統,造成客戶資料和金融資產面臨不必要的風險。
- 加密算法的弱點
加密演算法是保護客戶資料、保障交易安全以及符合法規要求的核心防線。然而,香港證監會(SFC)在報告中指出,部分持牌公司仍依賴過時或弱加密演算法,導致敏感的財務資訊和個人資料面臨極高的網路安全風險,例如資料外洩、帳戶未授權存取。
以下是 SFC 列出的主要加密漏洞:
- 使用過時的演算法,如 MD5、SHA-1 或舊版 RSA 實現,這些演算法容易受到現代密碼攻擊的威脅。
- 金鑰長度不足,例如 RSA 金鑰低於 2048 位元或 AES 金鑰低於 128 位,使得暴力破解更為可行。
- 金鑰管理不當,如在多個環境中重複使用金鑰、未定期輪換金鑰或在不安全的地點儲存加密金鑰。
為了降低這些風險,Web3 持牌公司可以實施符合業界標準的加密協議,以增強資料保護能力,並確保符合 SFC 的監管要求,包括:
- 採用強加密演算法,如高階加密標準 AES-256,確保靜態儲存資料和傳輸資料都受到高強度保護。
- 升級至更安全的金鑰體系,例如利用橢圓曲線密碼學 ECC 作為 RSA 的替代方案,在提供更高安全性的同時,降低金鑰長度需求,提高運算效率。
- 端對端加密(E2EE),確保資料在傳輸過程中始終保持加密狀態,防止中間人攻擊或未授權存取。
- 加強金鑰管理機制,避免多個環境使用相同金鑰,定期更換金鑰,並確保金鑰儲存符合最高安全標準(如硬體安全模組 HSM)。
- 定期密碼審計,至少每年進行一次加密合規審查,確保所有加密措施符合最新的行業標準和監管要求。
從合規角度來看,弱加密不僅是技術管理的疏漏,更可能引發嚴重的監管風險。在香港,《個人資料(隱私)條例》等法規對金融機構的資料保護責任提出了嚴格要求,而全球範圍內的資料安全標準(如 ISO 27001、NIST)也不斷提升加密技術的合規門檻。
因此,如果 Web3 持牌公司未能實施足夠強度的加密措施,一旦發生資料外洩或未經授權訪問,可能將面臨法律責任、客戶信任危機,甚至監管處罰。同時,作為公司高階管理層,也必須將加密安全視為企業核心合規工作的一部分,確保加密策略能夠隨行業安全標準和新興網路威脅不斷優化,並有效執行,以保障客戶資料安全和企業的長期合規運作。
外部網路安全威脅及應對
除了自身漏洞外,Web3 外部安全危險更是屢見不鮮,最常見的就是釣魚網站和空投騙局。
因此,香港證監會(SFC)在報告中強調,持牌公司必須採取更主動的安全策略,以應對不斷升級的網路攻擊威脅。特別是在 Web3 業務環境下,由於資金、合約和數位資產的高度數位化,傳統金融機構面臨的網路安全挑戰在 Web3 公司中被進一步放大。
以下是證監會重點關注的幾個高風險領域,以及針對性的防禦策略:
- 網路釣魚攻擊
這應該是 Web3 產業中最常見、成功率最高的詐騙手法之一。
對 Web3 公司而言,網路釣魚不僅僅是一個簡單的詐騙行為,更可能是駭客發動更大規模攻擊的入口。特別是在 Web3 領域,網路釣魚往往是資金被竊、智慧合約漏洞、惡意授權甚至私鑰外洩的前奏。駭客透過偽造交易網站、發送欺詐性 dApp 連結或冒充官方團隊,誘導用戶在毫無察覺的情況下洩露敏感訊息,最終導致嚴重的資金損失和安全危機。
為了緩解這些威脅,Web3 公司必須超越基本的意識培訓,建議採納多層防禦策略,包括:
- 進階電子郵件安全閘道(SEG)
傳統的郵件過濾器已無法應對日益複雜的釣魚攻擊。 SFC 指出,持牌公司部署進階電子郵件安全閘道(SEG),以偵測和阻斷釣魚郵件攻擊。例如,建議部署 AI 驅動的郵件安全解決方案,以偵測偽造網域名稱、可疑附件、惡意連結。這些工具也應整合即時威脅情報,以阻止新興的網路釣魚活動。 。
- 實施強式身份驗證機制
由於網路釣魚主要針對登入憑證,因此,Web3 企業應在所有關鍵系統中強制執行多因素認證(MFA),特別是在涉及交易平台、私鑰管理、熱錢包存取和合規系統的環境中。同時,應盡量減少使用者帳號的權限,採用最小權限原則(PoLP),限制釣魚攻擊可能造成的影響。
- 定期員工培訓和模擬釣魚測試
員工是第一道防線,但單純的安全訓練往往難以改變員工的慣性行為。因此,建議 Web3 公司可以進行兩步,(1)對員工進行針對金融服務和數位資產特定風險的持續網路安全意識培訓,確保員工能夠識別和報告複雜的網路釣魚嘗試;(2)定期進行模擬釣魚練習,並以此分析、評估員工的安全意識和反應,進而改善事件回應協議。
- 建立快速應變與緊急機制
Web3 公司應建立標準化的網路釣魚嘗試報告程序,確保迅速採取行動調查和緩解威脅,以免情況升級。例如,發生釣魚事件時,企業應迅速隔離受影響的帳戶或系統,並立即啟動緊急應變流程,包括撤銷惡意合約批准、凍結受影響資金,同時通知相關監管機構和客戶。另外,任何成功的網路釣魚入侵都應觸發取證審查和內部安全政策的更新。
- 交易和簽名安全提醒
在 Web3 場景下,惡意網站和 dApp(去中心化應用程式)可能會誘導使用者簽署惡意智慧合約。因此,企業應實施安全交易確認機制,例如在錢包交易介面提供詳細的智慧合約權限說明,並鼓勵使用者在授權前使用模擬運行工具驗證交易行為。
對於處理虛擬資產交易、代幣化資產以及 DeFi 類型的 Web3 公司而言,網路釣魚的風險已經遠遠超出傳統電子郵件詐騙。駭客不再局限於發送惡意郵件或釣魚網站,而是利用更具欺騙性的社會工程學手段,如偽造官方通信、誘導用戶批准惡意智能合約,甚至偽造錢包簽名請求,進而繞開常規安全防護,直接獲取用戶虛擬資產的控制權。
對此,Web3 公司的防釣魚策略不能只停留在基礎的安全意識培訓,更應該涵蓋錢包安全管理、智慧合約互動審查,以及嚴格的交易驗證機制,最大程度降低潛在風險。
- 遠端存取安全
遠距辦公已成為 Web3 企業的常態,但同時也增加了網路攻擊的攻擊面。如果遠端存取管理不當,駭客可以透過弱憑據、未加密的連線或被攻破的裝置存取核心系統,帶來嚴重安全隱患。
為確保遠端存取的安全,建議 Web3 企業可以採取以下措施:
- 強制執行多因素認證(MFA),特別是在存取管理面板、私鑰儲存系統和金融交易後台時。
- 使用零信任架構(ZTA),確保所有存取請求都經過嚴格驗證,而不僅僅依賴 IP 白名單或 VPN。
- 監測遠端存取日誌,識別異常存取模式,例如不尋常的時間段、地理位置或裝置登入情況。
- 加密所有遠端連接,使用端對端加密(E2EE)和企業級 VPN,防止中間人攻擊。
- 第三方 IT 服務供應商的潛在安全隱患
使用第三方 IT 服務供應商引入了額外的網路安全考量。企業必須進行徹底的盡職調查以評估供應商的安全態勢。這包括審查他們的安全政策、了解他們的事件回應程序,並確保他們遵守相關監管要求。建立關於資料保護的明確合約義務和定期的安全評估可以進一步減輕與第三方提供者相關的風險。
許多 Web3 企業依賴第三方服務商提供雲端儲存、身分驗證、智慧合約稽核和支付處理等服務。然而,如果供應商本身有安全漏洞,可能會成為駭客攻擊的突破口。
為了降低供應鏈攻擊的風險,Web3 持牌企業可以進行:
- 進行安全盡職調查,評估供應商的網路安全水準、資料處理政策、事件回應程序和合規性認證(如 ISO 27001 或 SOC 2)等。
- 明確合約義務,確保供應商在資料保護、事件回應和安全審計方面承擔責任。
- 定期進行供應商安全評估,例如要求供應商提供最新的安全報告,並進行滲透測試,以確保其基礎設施沒有重大漏洞。
- 雲端安全威脅
雲端運算已成為 Web3 企業的核心基礎設施,然而,誤配置的雲端儲存、未加密的資料和過度開放的存取權限,可能會讓駭客輕鬆竊取敏感資訊。
為確保雲端安全,建議 Web3 企業可以採取:
- 實施嚴格的存取控制,使用基於角色的存取控制(RBAC),限制對敏感資料的存取權限。
- 對靜態和傳輸中的資料進行加密,確保所有儲存在雲端的客戶資料都使用 AES-256 加密,防止資料外洩。
- 定期進行雲端安全審計,識別錯誤配置和潛在風險,避免 S3 Bucket 開放存取等常見問題。
同時,Web3 企業也應了解雲端安全的共享責任模型,並明白哪些安全性面向由雲端供應商管理,哪些是企業的責任。
曼昆律師總結
SFC 的報告再次強調,網路安全不僅是技術問題,更是持牌公司合規營運的核心環節。無論是管理階層的直接責任,或是內部安全防護與外部威脅應對,Web3 持牌企業都必須建立長期穩健的網路安全策略,以滿足監管要求,並保護客戶資產安全。
更值得關注的是,2 月 7 日,SFC 宣布,計劃在 2025 年全面審查現有的網路安全要求和預期標準,並制定一個全行業的網路安全框架,為所有 Web3 持牌公司提供更明確的合規指引,助其更有效地管理網路安全風險。
因此,Web3 持牌公司更應事先做好準備,以確保在監管要求升級時能夠迅速適應。同時,曼昆律師建議無論是否持牌,Web3 企業都應主動評估現有的網路安全架構,完善內部治理機制,並加強合規對接,以降低未來合規調整帶來的營運風險,並提升市場競爭力。
免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
