文│中央财经大学法学院教授 邓建鹏 中央财经大学硕士生 许定乾 武汉工商学院会计系学生 周烨子
区块链技术的应用未来将非常广泛,其大致可以分为三个阶段,第一阶段是在加密数字货币及金融领域的集中应用,以比特币和各种通证经济的创生与支付为代表;第二阶段以智能合约为代表,在其它金融领域的运用,如跨境支付、期权凭证或数字资产通证化等;第三阶段,区块链应用逐步拓展到非金融领域,即国家当前正大力推广的区块链+产业融合,诸如区块链+教育、养老、精准扶贫、医疗健康、社会保障等。目前,区块链技术的应用正处于第二阶段与第三阶段的过渡时期,特别是在金融领域,一方面产生了许多运用,比如高效的跨境支付,数字资产及其衍生品交易等等,甚至为少部分投资者提供了暴富的机会,另一方面亦存在着诸多巨大的风险隐患,不容忽视。为此,本文主要探讨区块链在金融领域应用层及技术层面存在的安全风险,并提出监管的新思路,以供相关机构参考。
一、区块链金融立法与监管概况
区块链技术基于密码学原理,最初运用在数字货币的发行上。目前已经得到了诸多国家的重视,瑞士制定了区块链国家战略计划,计划将数字货币监管纳入到金融监管体系之内。美国议会提出要求脸书发布基于区块链为底层技术的稳定币Libra必须到达最高的金融监管要求,并计划出台《2020年加密货币法案》。我国在2017年全面禁止ICO融资,严格防范区块链金融的风险,注重将区块链技术提高到国家战略层面,使区块链技术赋能监管科技,引导区块链技术与实体经济相结合。2019年11月,工业和信息化部表示将推动成立全国区块链和分布式记账技术标准化委员会,体系化推进标准制定工作。2020年2月,央行发布《金融分布式账本技术安全规范》,促进形成区块链技术金融合规的统一标准。可见,一些主要国家在监管或立法层面对区块链金融领域高度重视。
二、区块链金融在应用层的风险类型
首先是智能合约的风险。区块链的应用目前主要聚焦于金融领域,存在着巨大的安全风险隐患。区块链技术具有不可篡改性,与区块链金融密切相关的智能合约可以高效支付与发送加密资产,不需要第三方监督即可自动执行。但是,智能合约虽然具有图灵完备的特性,但其中仍不可避免地存在安全漏洞。
某些黑客热衷于寻找智能合约的漏洞并进行攻击,窃取交易者代币。有的“庄家”则在短时期内实施数额巨大的交易,以操纵数字资产价格,对区块链数字资产交易所和交易者带来巨大损失。例如在2016年6月,黑客利用智能合约的缺陷,对拥有1亿美元的TheDAO攻击,导致三百多万个以太币被非法提取。当前,智能合约已经成为区块链金融应用领域中的“重灾区”。
其次是区块链数字资产交易平台的风险。大量境外虚拟交易平台存在不同程度的系统漏洞,被盗走大量数字资产。数字资产交易的互联网服务器、后端数据库构成了信息系统,交易者通过PC端、移动端App或者API等方式访问交易所的服务器。当交易者访问交易所服务器时,交易所服务器可能因配置不当或软件存在漏洞,亦或受到DDoS拒绝服务攻击,致使交易服务中断,给投资人带来巨大损失。多数交易所的一部分数字资产往往在在线钱包中存储,便利客户及时提现。这些在线数字资产往往为许多黑客所觊觎。这就对在线钱包技术的准入和安全技术标准提出了很高的要求。一旦客户端的设备发生异常,如黑客攻破网络安全系统,盗窃数字资产,其财产将面临丢失的风险。比如,在2017年4月,韩国比特币交易平台yapizon发布消息称,价值五百万美元的比特币被盗。2018年4月,黑客利用智能合约代码中存在的bug,成功攻击漏洞,导致数亿的BEC token被盗。据统计,2011年-2019年因区块链网络安全漏洞的损失达到84亿美元,其中交易所占50%。仅在2019年,据不完全统计,涉及数字资产的损失高达50亿美元以上。
再次是区块链数字资产的钱包风险。涉及转移和存储数字资产的第三方数字钱包(包括软件钱包、硬件钱包),当前缺乏全球统一的安全技术标准,钱包公私钥的控制权没有统一规范,有的私钥管理机制不良,容易成为黑客攻击的目标,有的软件钱包项目方可能掌控了合法持有人的数字资产私钥,存在盗取或转移的潜在安全风险。
最后,区块链金融作为近年的新事物,在应用层方面还存在诸多法律风险与监管政策方面的风险。
目前,区块链金融领域的法律规制尚不完善,对于区块链应用现存的法律问题争论不休。例如,对于数字资产被盗事件,引发了相应的法律问题。数字资产被窃取或者拒付后,原持有人是否可以获得司法救济?法律是否保护数字资产的财产属性?或者比特币是否是法律上所保护的虚拟财产?近年来中国金融监管机构发文禁止国内开展数字资产交易,禁止代币发行融资,因此,国内学术界、监管机构与司法机构对代币的保护问题存在很大争议,尚无统一的答案。与此同时,在实践中,数字资产交易具有匿名性,可不断拆分、多重转账等方式将资产转移,在运用司法手段进行救济时,这些复杂的技术对公安机构追踪被盗窃资产往往造成很大困难。再比如,有的不法分子通过区块链这一技术手段洗钱,或者向境外转移资产,可能负面冲击国内金融市场的安全。
区块链技术的一大优点在于去中心化,对于传统的以中心化为主的金融监管带来了巨大的挑战。目前,我国的金融监管是围绕着“一行两会”开展,与区块链去中心化的特点矛盾,如果以现在的监管思想与模式去规制区块链的应用,会产生事倍功半的效果。此外,区块链应用的监管存在跨行业跨领域的问题,区块链本身作为一种加密技术,具有很强的独特性与专业性。这就意味着,区块链金融的监管不仅仅要有相应的法律规范,也要有配套的专业技术规范。2020年2月,中国人民银行发布《金融分布式账本技术安全规范》,为区块链金融合规提供了技术标准和监管的技术指南,其中也明确指出,“金融分布式账本系统具有结构去中心、数据多副本、交易点对点、记录不可篡改的特点,与中心化系统有很大差异。”
此外,区块链技术在非金融领域的应用还突出存在隐私和数据风险。在区块链应用的公私机构的数据开发中,比如区块链在医疗数据中的确权和交易等应用,将涉及患者的个人信息保护等关键问题。在技术上设置不完善,比如未将上链的信息及时加密,未设定授权访问机制,可能导致患者医疗隐私信息泄漏的风险。区块链上的信息难以删改,因此有较高可信度,区块链+产权确权或防伪溯源等方面的运用有很大价值。但是,区块链并不能保证链外信息上链前天然具有真实性。将区块链应用到诸如防伪溯源系统中时,将遇到上链前信息真实性的验证等复杂问题。个人则可能通过公有链传播一些违法信息或国家依法管控的信息,侵害他人信誉甚至危及国家机密安全。
同时,隐私泄露问题也越发严重。与传统的中心化储存相比,区块链不依赖于中心节点存储数据,从而有效地防止了中心节点被攻破导致数据泄露的风险。但在公有区块链系统中,所有的记录公开透明,任何参与方都可以查询链上的数据,这就意味着加大了数据泄露的风险。换句话讲,链上任何参与方的数据可以完整的备份,即便是采用匿名手段,攻击者也可以通过对网络层、交易层、应用层多次攻击从而准确地找到信息的发出者和接受者。
三、区块链金融技术层的风险类型
区块链应用于金融领域时,其在技术层的安全风险主要是区块链底层技术的风险,其风险主要表现为算法安全风险、网络安全风险、协议安全风险。
从算法安全的角度来看,区块链不对称加密算法目前是相对安全的,但随着量子计算机等科技大发展,现有的加密方式在量子技术面前可能失效。在未来,若加密算法被破译,区块链的数据安全与数字资产安全问题不容小觑。例如,区块链上保护个人信息的加密算法被破译,会造成个人信息泄露等问题,更严重的情况,破译者利用个人信息进行犯罪活动,诸如网络诈骗、敲诈勒索、盗窃等,带来严重的负面影响。这需要区块链项目研发人员在抗量子计算方面下功夫,在量子计算机未来十年可能正式加入商用化之前,及时对区块链系统升级换代,提前巩固算法安全。
此外,区块链还存在网络系统安全风险。区块链技术仍处于初级阶段,自身的网络安全存在许多风险,特别是智能合约代码的编写,在实践中稍有不慎就会出现各种漏洞。另外,区块链初始软件也容易存在漏洞,可能会使整个网络系统的运行出现异常或者瘫痪。
再次,区块链协议安全风险可分为分叉与51%算力攻击。其中,分叉是指将一条区块链分为两条以上的区块链。共识机制不一致是导致分叉的主要原因,即区块链的节点在运行中产生了不同的底层协议,部分节点赞同协议,进入区块链,不赞同的部分产生分叉进入另一条区块链。整个系统的统一性会因分叉受到影响,原有算力因为分叉的原因,每条区块链的算力因此可能大大降低,其稳定性亦不如此前,存在易被攻击的可能。51%算力攻击是指,攻击者利用自己算力的相对优势(占全网算力的51%及以上)来篡改区块链上当下及之后的数据。算力攻击一旦完成将会个区块链系统带来毁灭性的打击,影响大众对该区块链的共识与“信仰”。攻击者控制整个区块链系统,对多数人的合法权利肆意践踏。因此,只有防范区块链信息保护风险、数据泄露风险,运用密码学等底层技术不断完善多层次的风险防护机制,才能使区块链技术赋能实体行业,发挥其最大的优势。
四、区块链金融风险监管及建议
第一,要推动中国区块链金融行业的快速发展,需要区块链金融在良好的生态中运行,从业人员要大大提升安全风险意识。因此,一方面要求行业主体共同制定统一的安全标准,设定区块链安全技术标准指引,如上文所述,央行已发布《金融分布式账本技术安全规范》,明确了区块链技术金融合规的标准。另一方面推动监管科技与区块链的融合,将部分监管规则代码化,区块链的监管可以采用“以链治链”的思路,在区块链开发的过程中,监管机构可要求将监管规则编入区块链当中,实现监管规则代码化。监管规则代码化本质上是科技治理/代码治理。参考美国法学家劳伦斯·莱斯格“代码即法律”的理论,将部分法律规则转化为代码形式,一些商业行为通过代码、智能合约自动执行,以数据和技术双轮驱动,可以部分解决当前区块链中存在的问题。例如,降低合规成本和提高执法效率,提升区块链安全水准。部分监管规则的代码化,减少了监管规则的不确定性,降低监管成本,有助于促进形成统一、科学的监管标准。
第二,完善区块链金融监管的体系。对此,区块链金融监管,既要包括“软法”应对,也要“硬法”规则。“软法”是指由区块链市场主体参与的行业组织设定的自律章程,后者主要是指国家立法部门通过的法律法规或监管规则,应加以全面善用。2019年10月,十三届全国人大常委会第十四次会议表决通过了《中华人民共和国密码法》。加密技术是区块链底层技术的重要支撑,区块链的底层技术出现问题,可以用《密码法》规制,将区块链的底层技术纳入到法律规范的范围之内。同时,《密码法》规定,窃取他人密码信息,侵入他人密码系统,或者从事危害国家安全、社会公共利益、他人合法权益等违法活动的,依照《网络安全法》和相关法律法规追究责任。推动国家信息安全等级保护在区块链行业的应用。
第三,设立第三方专业的区块链安全评估机构,对可信区块链进行客观公正检测,并及时发布行业测试报告,提升可信安全区块链的关注度。特别是当前应推动区块链智能合约安全性检测,探索代码层面的安全解决方案。当前,中央与地方政府力区块链产业融合,但在区块链安全领域的发展,尚未得到重视。我们认为政府应鼓励区块链安全产业的发展,出台相应激励政策。
第四,监管机构要转变固有的思维模式,从先前监管部门对区块链的监管态势看,部分监管机构仍采用“一刀切”的监管方式。区块链的监管与风险防范不能仅仅停留在出现问题,解决问题的层面上,更要做到提前防患于未然。因此,事前和事中的监管需要落地。区块链技术本身可能存在漏洞,在区块链部署前进行代码安全审查必不可少。代码的合规与安全审查往往涉及金融、IT、法律、内控、审计等多个部门。因此,对区块链技术的监管,提升区块链产业的安全水准,有赖于加强多领域复核型人才的培养和储备,适应区块链发展要求,这需要高等院校加强区块链课程的培训。此外,我国还可以考虑组建专门的区块链技术安全监管委员会或工作小组,召集政策法规的制定者和信息技术专家,共同商讨区块链技术安全监管方案。
五、小结
区块链的应用方兴未艾,中央高层提出大力推动区块链行业发展的战略目标。而现阶段区块链技术和应用正处于发展的初级阶段,无论是在底层技术上,还是在应用层面上依然存在诸多安全风险。我们认为,法治是促进区块链行业良好发展的基础,经由良法和善治,监管者坚持刚性底线和柔性边界的融合,将软法和硬法的迭代贯穿于区块链行业规范发展的始终,无论是区块链底层技术风险,抑或是在应用过程中存在的风险,都应当在监管范围之内,形成统一的安全标准,坚守法律的底线。同时,在监管机构的鼓励支持下,制定区块链行业应有行业自律准则,在合规的基础之上安全有序的发展。
(本文刊登于《中国信息安全》杂志2020年第8期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。