前言
2021年,“元宇宙”無疑是最火的概念。2021年3月,元宇宙第一股Roblox在美國紐交所上市,首日市值超過 380 億美金;2021年7月,Facebook宣布要在五年內轉型成元宇宙公司;2021年8月,芯片巨頭英偉達花費數億美金,推出了為元宇宙打造的模擬平臺 Omniverse。國內騰訊、字節跳動等互聯網巨頭也紛紛加入元宇宙賽道進行戰略布局。
筆者認為“元宇宙”是人以數字身份參與和生活的可能的數字世界。“身份系統”、“價值系統”以及“沉浸式體驗”是元宇宙世界必不可少的三大實現要素。其中,區塊鏈技術成為打開“身份系統”的鑰匙;NFT和數字錢包等技術不斷完善“價值系統”;VR眼鏡、可感知手柄等各類可穿戴設備使得“沉浸式體驗”成為可能。因此,筆者認為“元宇宙”并非炒作的噱頭,而是可能的將來。
鑒此,本團隊特推出元宇宙系列文章,旨在研究元宇宙下NFT技術、數字錢包、區塊鏈技術以及各類可穿戴設備的技術原理,揭示可能的風險,并提供合規建議。本篇為元宇宙系列文章第三篇:金融新業態——去中心化金融(DeFi)的法律研究。
一?
DeFi的概念
DeFi是英文Decentralized Finance的縮寫,可譯為“去中心化金融”。通俗來講,DeFi是一類依賴區塊鏈技術建立,使用加密貨幣和智能合約來提供不需要中介機構介入的金融產品和服務,其最終目的在于為用戶提供更加便捷的金融服務。
傳統金融,又可稱為“中心化金融”,其“中心化”體現為接受金融機構提供的傳統金融服務,此類“中心化機構”即是我們生活中常見的銀行、證券公司、保險公司等機構。在儲戶看來,傳統金融機構存在以下常見的弊端:第一,儲戶的資金受到金融機構的管制,存在資金賬戶被凍結的風險;第二,金融機構作為交易中心,不可避免需要審查交易往來,并且對此收取手續費等相關費用,由此將提高交易成本,且降低了金融交易效率;第三,儲戶需向金融機構提供真實的身份和完整的賬戶信息,將導致儲戶沒有隱私可言。
DeFi并不需要金融機構的存在為交易提供信任背書,一定程度上克服了傳統金融的弊端。總的來說,DeFi具有五大明顯區別于傳統金融機構的特性:第一,隱私。儲戶通常不提供真實的身份,完全掌握自己的身份、資產和數據;第二,開放。金融服務產品均對所有人平等開放;第三,透明。Defi能消除各個環節的暗箱操作,尤其能克服以往大型金融機構壟斷貨幣供應等問題;第四,可信。一切交易記錄和財務數據在記賬工具的區塊鏈中可查,人人都可監管;第五,自由。任何人可自由創建金融服務,并自由創建、發行和交易金融資產。
目前,DeFi行業所實現的主要金融應用包括:開放借貸協議、去中心化交易、去中心化自治組織、衍生品與中心化市場預測、聚合收益理財、預言機、穩定幣、NFT,等等。
二?DeFi存在的風險
DeFi作為新生產物,有待完善之處頗多,不可避免存在風險。目前來看,DeFi存在三個方面的風險,即安全性風險、投資風險和系統性風險。
01安全性風險
與傳統金融服務相比,DeFi對網絡的依賴程度更高,存在更大的網絡安全性風險。實踐中DeFi不僅常遭受黑客的網絡攻擊,如日蝕攻擊、Dos(Denial of Service)攻擊等,還會因智能合約代碼漏洞引發一系列安全性風險。下文筆者將重點關注DeFi因智能合約代碼漏洞所引發的風險及其法律責任承擔的問題。
DeFi項目在區塊鏈平臺上運作,交易的達成主要依賴智能合約的自動化處理。而智能合約的本質是計算機代碼,基于各種主觀或客觀的原因,如DeFi項目的開發者編程水平有限或故意留有代碼漏洞,導致智能合約存在代碼漏洞的概率很大。值得說明的是,智能合約與普通合同不同,其能做到不可逆地自動執行。一旦存在安全漏洞,智能合約的漏洞修補將會非常困難。即使有管轄權的司法機關作出有效的裁判,因智能合約由區塊鏈自動運行,法院或其他第三方也無法強制修改。
因智能合約代碼漏洞導致DeFi用戶信息和財產損失,結合目前DeFi發展的具體情形,法律責任的承擔主體大致為三類。一是黑客等直接侵權行為人,根據《民法典》侵權責任編的規定,黑客利用智能合約代碼漏洞,實施網絡攻擊等侵權行為,造成Defi用戶損失的后果,應承擔侵權責任。但由于網絡的特殊性和黑客攻擊的隱蔽性等原因,維權的難度和成本很高,現實中往往也找不到黑客。二是Defi項目方,作為網絡服務提供者,如果在智能合約的編寫、部署過程中存在故意或重大過失,導致智能合約存在漏洞易受黑客攻擊,項目方應承擔一定的賠償責任。三是為項目方提供安全審計服務的第三方,因智能合約代碼存在漏洞的可能性較高,常需第三方對智能合約代碼進行安全審查。但第三方是否應對智能合約代碼漏洞承擔相應的法律責任,應結合代碼漏洞的具體情況及第三方可能的免責條款具體分析。
02投資風險
DeFi雖克服了傳統金融服務的諸多弊端,但投資固有的風險仍然存在。一方面,用戶對DeFi產品的認知不足。隨著DeFi的發展,新的DeFi概念也如雨后春筍般涌現,包括收益農業、流動性挖掘、新應用組合以及“DeFi樂高積木”。由于難以看透這些組合產品背后所蘊藏的投資風險,投資者可能面臨更大的損失風險。另一方面,DeFi存在被不法分子利用的可能性。目前,DeFi項目滋生諸多犯罪行為,如盜竊、詐騙和傳銷等。一旦用戶掉入不法分子的陷阱,投資將會面臨“打水漂”的風險。
03系統性風險
DeFi生態系統的特性是開放性和可組合性。這些特性允許各種智能合約和區塊鏈應用程序相互交互,并基于現有服務的組合提供新服務。這些交互引入嚴重的依賴關系,一旦某個智能合約存在問題,它可能會對整個DeFi生態系統中的多個程序產生廣泛影響。此外,DeFi穩定幣的問題或嚴重的ETH價格沖擊可能會引起整個DeFi生態系統的漣漪效應。
三?DeFi滋生的犯罪行為
DeFi的開放和繁榮,在掀起金融交易熱潮的同時,也讓犯罪分子嗅到了暴富的機會。由于缺乏政府介入監管,DeFi易淪為犯罪滋生的土壤。具體而言,DeFi在實踐中滋生了如下多種犯罪行為:
01盜竊
由于存在黑客攻擊,常出現DeFi產品失竊問題。失竊的具體事由主要包括:私鑰泄露、代碼漏洞和錢包過度授權。
私鑰泄露是造成加密資產被盜的主要因素。私鑰是一種復雜的加密形式,允許用戶訪問加密貨幣,其安全性組成有助于保護用戶免遭盜竊和未經授權的資金訪問。黑客往往通過網絡釣魚、鍵盤記錄等多種技術獲取用戶私鑰,進而盜取用戶加密資產。
代碼漏洞也是當前引發黑客攻擊的一大誘因。實踐中智能合約存在代碼漏洞的情況多發,英國倫敦大學學院副教授Ilya Sergey與新加坡國立大學多位學者合著的論文Finding The Greedy, Prodigal, and Suicidal Contracts at Scale指出:“將近100萬份智能合約進行每份10秒分析時間的分析后發現,這其中有34200份智能合約很容易受到黑客攻擊,其中2365份有明顯漏洞。”
錢包過度授權,是當前市場上最為頻發的黑客攻擊形式。錢包是人們存儲加密資產的應用,扮演數字世界中的“銀行”角色,支持加密資產發送、接收、轉賬等功能。一般來說,用戶與DeFi應用進行涉及加密資產的交互時,首先需要授權錢包權限,方能進行后續的交易、質押、存儲等操作,且大多數錢包授權只針對某個時間段內的某個交易。但DeFi應用開發者為了避免用戶反復授權,一般會默認設置授權最大數量的代幣給智能合約,且擁有永久訪問權限。這樣的處理存在明顯弊端,如果智能合約出現漏洞或合約管理員作惡,那么用戶的加密資產將存在丟失的風險。
02洗錢
虛擬貨幣一直是洗錢犯罪猖獗的領域,但隨著虛擬貨幣反洗錢工作在全球范圍內取得卓越進展,單獨利用比特幣、USDT等犯罪的情形有所下降,流竄在虛擬世界的幕后黑手們試圖尋找新的犯罪工具來替代或改造傳統洗錢手段。目前已經有不少政府部門和區塊鏈數據分析公司觀測到大量非法虛擬資產正在流向DeFi項目,DeFi正成為洗錢的新工具。DeFi洗錢一般是通過跨鏈實現的:違法犯罪所得加密貨幣,通過跨鏈轉換為X-ETH和X-BTC(即任意跨鏈生成的BTC或ETH代幣),再利用兩個或兩個以上專門進行跨鏈交易的DeFi項目,將資金跳轉到以太坊區塊鏈打包轉換,換取新的BTC和ETH。
03傳銷
根據《禁止傳銷條例》的相關規定,傳銷是指組織或運營者發展人員,通過對被發展人員以其直接或者間接發展的人員數量或者銷售業績為依據計算和給付報酬,或者要求被發展人員以交納一定費用為條件取得加入資格等方式牟取非法利益,擾亂經濟秩序,影響社會穩定的行為,“拉人頭”“發展下線”是傳銷的主要特征。
傳銷團伙利用DeFi智能合約開展傳銷。一方面,智能合約的問世使得發行虛擬貨幣更加簡單,之前要依靠代碼不斷更新獨立的鏈,現在只要基于智能合約搭載已有的公鏈,修改代碼即可完成。另一方面,傳銷團伙抓住漏洞,利用智能合約的獎勵機制刺激拉人頭,投資人因此受蒙蔽的可能性增大。因此,傳銷團伙只需按照智能合約編寫好的規則,每天釋放相應的利潤以及推廣獎勵,即可達到“拉人頭”的目的。最后,利用背地在合約中編寫的漏洞代碼或超級管理員指令進行資金操盤。
04詐騙
詐騙罪是指以非法占有為目的,用虛構事實或者隱瞞真相的方法,騙取數額較大的公私財物的行為。DeFi項目中常見的詐騙情形為:首先,詐騙分子在以太坊等區塊鏈上部署新的合約,如可自動化撮合雙方借貸的借貸協議,并發行項目代幣;其次,詐騙分子在社交媒體上發布誘人的廣告吸引投資者入局,一般投資者通過質押全球公認的以太坊、比特幣等主流幣賺取項目代幣,并等待升值盈利;最后,一旦投資者將代幣存入流動池中,詐騙分子將“抽地毯般”地把池子里的主流幣全部提走,參與者手中的項目幣將變得一文不值。
詐騙分子之所以容易得手,源于DeFi存在以下不足:一是投資者無法約束開發者100%履行合約。按照DeFi運行規則,持有項目代幣的投資者可以就如何使用流動性池中的資產等事項進行投票,開發者并沒有權利完全撤走池中的資金,但開發者有可能會在合約部署時故意設置漏洞或者在投資者不注意的情況下更換合約;二是創建DeFi代幣并在DEX(去中心化交易所)上市沒有強制性的代碼審計要求,詐騙分子可輕易通過設置代碼漏洞實現犯罪目的。
四?DeFi的未來
DeFi行業KingSwap的CEO Malcolm Tan曾表示:“DeFi有潛力通過數字技術撼動金融行業,但它的進展受到了詐騙和rug-pull項目的阻礙,造成資產和社區信任的損失。在這些問題得到解決,且DeFi的投資者和使用者能夠更安全地將資產投入DeFi之前,這個新興行業將無法實現大幅增長。”
筆者亦贊同此種觀點,DeFi的誕生源于人們對傳統金融服務的反思和變革的需求,自有深厚的社會基礎。但犯罪行為等諸多現實因素,正阻礙DeFi發揮其真正的效能,打破了人們對DeFi應有的期待。未來若能從技術和法律層面有效克服當下DeFi存在的弊端,DeFi必將開拓更加光明的未來。
感謝實習生陳尤海對本文做出的貢獻
