恶意脚本来实现钓鱼。例如,他们通过传播seaport.js、coinbase.js、wallet-connect.js伪装成流行的 Web3 协议功能(Seaport、WalletConnect 和 Coinbase)诱导用户集成或点击,在得到用户确认后,会自动将用户资产转到攻击者地址中。目前已发现超过 14,000 个包含恶意 Seaport脚本的网站,超过 5,500 个包含恶意 WalletConnect 脚本的网站,超过 550 个包含恶意 Coinbase脚本的网站,以及超过 16,000 个与Inferno Drainer有关的恶意域名,超过 100 个加密品牌的品牌名称受到影响。 在钓鱼即服务框架下,通常20% 的被盗资产被自动转移给 Inferno Drainer 的组织者地址,钓鱼实施者保留剩余的 80%。除此之外,Inferno Drainer 定期提供创建和托管网络钓鱼网站的免费服务,有时钓鱼服务也会要求收取被骗资金的 30% 的费用,这些网络钓鱼网站是为那些能够吸引受害者访问但缺乏创建和托管网站的技术能力或根本不想自己执行此任务的钓鱼攻击者设计的。 那么,这种DaaS骗局是如何运行的,下图是Inferno Drainer 的加密诈骗方案的分步描述: 1) Inferno Drainer通过名为 Inferno Multichain Drainer 的 Telegram 频道推广他们的服务,有时攻击者也通过Inferno Drainer的网站访问该服务。 2) 攻击者通过DaaS服务功能,设置并生成属于自己的钓鱼网站,并通过 X(Twitter)、Discord 和其他社交媒体进行传播。 3) 受害者被诱导并扫描这些钓鱼网站上包含的二维码或其他方式来连接他们的钱包。 4) Drainer 检查受害者最有价值、最容易转移的资产,并初始化恶意交易。 5) 受害者确认了这笔交易。 6) 资产被转移给犯罪分子。 在被盗资产中,20% 转移给 Inferno Drainer 开发商,80% 转移给钓鱼攻击者。 安全建议 (1)首先,用户一定不要点击伪装成奖励、空投等利好消息的不明链接; (2)官方社媒账户被盗事件也越来越多,官方发布的消息也可能是钓鱼信息,官方消息也不等于绝对安全; (3)在使用钱包、DApp等应用时,一定要注意甄别,谨防伪造站点、伪造App; (4)任何需要确认的交易或签名的消息都需要谨慎,尽量从目标、内容等信息上进行交叉确认。拒绝盲签,保持警惕,怀疑一切,确保每一步操作都是明确和安全的。 (5)另外,用户需要对本文提到的常见钓鱼攻击方式有所了解,要学会主动识别钓鱼特征。掌握常见签名、授权函数及其风险,掌握Interactive(交互网址)、Owner(授权方地址)、Spender(被授权方地址)、Value(授权数量)、Nonce(随机数)、Deadline(过期时间)、transfer/transferFrom(转账)等字段内容。 四、 FIT21法案解析 2024年5月23日,美国众议院以 279 票赞成 、136 票反对的结果正式通过 FIT21 加密法案(Financial Innovation and Technology for the 21st Century Act)。美国总统拜登宣布,他不会否决该法案,并呼吁国会就“数字资产全面、平衡的监管框架”进行合作。 FIT21旨在为区块链项目在美国的安全有效启动提供途径,明确美国证券交易委员会(SEC)与商品期货交易委员会(CFTC)之间的职责界限,区分数字资产是证券还是商品,加强对加密货币交易所的监管,以更好地保护美国消费者。 4.1 FIT21法案包含哪些重要内容 数字资产的定义 法案原文:IN GENERAL.—The term ‘digital asset’ means any fungible digital representation of value that can be exclusively possessed and transferred, person to person, without necessary reliance on an intermediary, and is recorded on a cryptographically secured public distributed ledger. 法案中定义“数字资产”为一种可交换的数字表征形式,可以在不依赖中介的情况下由个人到个人转移,并且在密码学保护的公共分布式账本上进行记录。这种定义包含了广泛的数字形态,从加密货币到代币化的实体资产。 数字资产的分类 法案提出了几个关键要素用于区分数字资产属于证券还是商品: (1)投资合同(The Howey Test) 如果一个数字资产的购买被视为投资,且投资者期待通过企业家或第三方努力获得利润,该资产通常被视为证券。这是根据美国最高法院在 SEC v. W.J. Howey Co.案中制定的标准,通常称为 Howey 测试。 (2)使用与消费 如果数字资产主要被用作消费品或服务的媒介,而不是作为投资来期待资本增值,如代币可用于购买特定服务或产品,虽然在实际市场中,这些资产也可能被投机性购买和持有,但从设计和主要用途的角度来看,它可能不会被归类为证券,而是作为一种商品或其他非证券资产。 (3)去中心化程度 法案特别强调了区块链网络的去中心化程度。如果某个数字资产背后的网络高度去中心化,没有中心化权威控制网络或资产,这种资产可能更倾向于被视为商品。这一点很重要,因为“商品”与“证券”的定义之间存在关键差异,这对它们的监管方式产生了影响。 美国商品期货交易委员会(CFTC)将把数字资产作为一种商品进行监管,“如果它运行的区块链或数字账本是功能性的和去中心化的”。 美国证券交易委员会(SEC)将把数字资产作为一种证券进行监管,“如果其相关的区块链是功能性的,但不是严格去中心化的”。 该法案将去中心化定义为,“除其他要求外,没有人拥有单方面控制区块链或其使用的权力,并且没有发行人或关联人控制数字资产20%或更多的所有权或投票权”。 以去中心化程度界定的具体标准有以下几点: 控制权和影响力:在过去 12 个月内,没有任何个人或实体具有单方面的权力,直接或通过合约、安排或其他方式,来控制或实质性改变区块链系统的功能或运作。 所有权分布:在过去 12 个月内,没有任何与数字资产发行者相关的个人或实体,在合计中拥有超过 20% 的数字资产发行总量。 投票权和治理:在过去 12 个月内,没有任何与数字资产发行者相关的个人或实体能够单方面指导或影响超过 20% 的数字资产或相关去中心化治理系统的投票权。 代码贡献和修改:在过去 3 个月内,数字资产发行者或相关人员没有对区块链系统的源代码进行过实质性的、单方面的修改,除非这些修改是为了解决安全漏洞、维护常规、防范网络安全风险或其他技术改进。 市场营销和推广:在过去 3 个月内,数字资产发行者及其关联人没有将数字资产作为一种投资来向公众市场营销。 在这些界定标准中,比较硬性的标准是,所有权和治理权分布,20% 的边界线对于数字资产定义为证券或商品意义重大,同时因为受益于区块链的公开透明、可追溯、不可篡改的特性,这个界定标准的量化也会变得更加清晰和公平。 (4)功能与技术特性 数字资产与底层区块链技术的联系也是决定监管方向的重要原因之一,这种联系通常包括数字资产如何被创建、发行、交易和管理: 资产发行:许多数字资产是通过区块链的程序化机制发行的,这意味着它们的创建和分配基于预设的算法和规则,而不是人工干预。 交易验证:数字资产的交易需要通过区块链网络中的共识机制来验证和记录,确保每一笔交易的正确性和不可篡改性。 去中心化治理:部分数字资产项目实现了去中心化治理,持有特定代币的用户可以参与到项目的决策过程中,比如对项目未来发展方向的投票。 这些特征直接影响资产如何被监管。如果数字资产主要是通过区块链的自动化程序提供经济回报或允许投票参与治理,它们可能被视为证券,因为这表明投资者在期待通过管理或企业的努力获得利益。如果数字资产的功能主要是作为交换媒介或直接用于商品或服务的获取,则可能更倾向于被分类为商品。 数字资产的推广与销售 数字资产如何在市场上推广和销售也是FIT21中的重要内容,如果数字资产主要通过投资的预期回报进行市场营销,它可能会被视为证券。这里的内容极其重要,因为它的意义在于规范了数字资产的监管框架,并且会影响到下一个可能通过现货 ETF 的数字资产是什么。 (1)注册和监管的责任 数字资产有两种定义方向,分别是数字商品和证券。法案规定,根据定义方向不同,数字资产的监管由两个主要机构共同负责: 商品期货交易委员会(CFTC):负责监管数字商品交易和相关的市场参与者。 证券交易委员会(SEC):负责监管那些被视为证券的数字资产及其交易平台。 (2)代币内部人士的锁定期限 法案原文:"A restricted digital asset owned by a related person or an affiliated person may only be offered or sold after 12 months after the later of— (A) the date on which such restricted digital asset was acquired; or (B) the digital asset maturity date." . 该条款规定了内部人士的代币持有从获得日期起至少需要锁定12个月,或从被定义的“数字资产成熟日期”起锁定12个月,以较晚的日期为准。 这种延迟销售的能力,有助于防止内部人士利用未公开信息获利,或不公平地影响市场价格。通过使内部人士的利益与项目的长期目标一致,于避免投机和操纵市场的行为,有助于营造一个更稳定公正的市场环境。 (3)数字资产关联人销售限制 法案原文:"Digital assets may be sold by an affiliated person under the following conditions: (1) The total volume of digital assets sold by the person does not exceed 1% of the outstanding volume in any three-month period; (2) the affiliated person must immediately report to the Commodity Futures Trading Commission or the Securities and Exchange Commission any order to sell more than 1% of the outstanding volume." 数字资产可由关联人士在以下情况下出售: 在任何3个月期间内,所售出的数字资产总量不得超过存量的1%; 关联人士在出售超过存量1%的订单后,需立即向商品期货交易委员会或证券交易委员会报告。 这一措施通过限制关联人士在短时间内出售的数量,防止市场操纵和过度投机,确保市场的稳定和健康。 (4)项目信息披露要求 法案原文:"Digital asset issuers must disclose the information described in Section 43 on a public website prior to selling digital assets under Section 4(a)(8)." 项目信息披露所要求的具体信息在提供的摘录中未详细说明,但通常会包括: 数字资产的性质:数字资产代表什么(例如,公司的股份、未来收益的权利等); 相关风险:投资该数字资产涉及的潜在风险。; 发展状态:与数字资产相关的项目或平台的当前状态,如发展里程碑或市场准备情况; 财务信息:与数字资产相关的任何财务细节或预测; 管理团队:项目或发行数字资产的公司背后的人员信息。 法案要求数字资产发行人提供详细的项目信息,包括资产的性质、风险、发展状态等,以便投资者做出明智的投资决策。此举增强了市场的透明度,保护了投资者的利益。 (5)客户资金安全隔离原则 法案原文:"Digital commodity exchanges shall hold customer funds, assets, and property in a manner that minimizes the risk of loss or unreasonable delay in access by customers to their funds, assets, and property." 这一规定要求数字资产服务提供商必须采取措施确保客户资金的安全,防止因服务提供商的操作问题导致客户资金损失或访问延迟。 (6)客户资金与公司运营资金不得混合 法案原文:"Funds, assets, and property of a customer shall not be commingled with the funds of the digital commodity exchange or be used to secure or guarantee the trades or balances of any other customer or person." 这意味着服务提供商必须将客户的资金与公司运营资金严格分开管理,确保客户资金的独立性,避免使用客户资金进行非授权的活动,增强了资金的安全性和透明度。 在某些操作上,如出于结算便利性考虑,允许在符合规定的情况下将客户资金与其他机构的资金存放在同一账户,但必须保证这些资金的分离管理和适当记录,确保每位客户的资金和财产安全。 4.2 鼓励创新、支持创新 在FIT21法案中,也存在诸多鼓励创新、支持创新的内容。 建立CFTC-SEC联合咨询委员会 成立CFTC-SEC数字资产联合咨询委员会,其目的是: 就委员会与数字资产相关的规则、法规和政策向委员会提供建议; 进一步促进委员会之间数字资产政策的监管协调; 研究和传播描述、衡量和量化数字资产的方法; 研究数字资产、区块链系统和分布式账本技术在提高金融市场基础设施运营效率和更好地保护金融市场参与者方面的潜力; 讨论委员会对本法案及其修正案的实施情况。 这个委员会的目标是促进两大监管机构在数字资产监管方面的合作和信息共享。 加强和扩展SEC的创新和金融科技战略中心(FinHub) 法案提议加强和扩展 SEC 的创新和金融科技战略中心(FinHub),其目的是: 协助制定委员会应对技术进步的方法; 考察市场参与者的金融技术创新; 协调委员会对金融、监管和监督系统中的新兴技术的响应。 其职责是: 在委员会内部促进负责任的技术创新和公平竞争,包括围绕金融技术、监管技术和监督技术; 为委员会提供有关金融科技的内部教育和培训; 就服务于委员会职能的金融技术向委员会提供建议; 分析技术进步和监管要求对金融科技公司的影响; 就金融科技的规则制定或其他机构或工作人员的行动向委员会提供建议; 向新兴金融科技领域的企业提供有关委员会及其规则和条例的信息; 鼓励从事新兴技术领域的公司与委员会合作并就潜在监管问题获得委员会的反馈。 FinHub的主要任务是促进与金融科技相关的政策制定,并为市场参与者提供关于新兴技术的指导和资源。需要每年向国会提供一份关于 FinHub 在上一财政年度活动的报告。并且还需要提供确保 FinHub 能够充分查阅委员会和任何自律组织的文件和信息,以履行 FinHub 的职能。委员会应建立详细的记录系统(根据美国法典第 5 篇第 552a 节定义),以协助 FinHub 与相关方沟通。 成立CFTC的实验室(LabCFTC) 法案提议成立LabCFTC,其目的是: 促进负责任的金融技术创新和公平竞争,造福美国公众; 充当信息平台,向委员会通报新的金融技术创新; 向金融技术创新者提供宣传,讨论他们的创新以及本法和根据本法颁布的法规建立的监管框架。 其职责是: 就金融技术的规则制定或其他机构或工作人员行动向委员会提供建议; 就金融技术向委员会提供内部教育和培训; 就金融技术向委员会提供建议,以加强委员会的监督职能; 与学术界、学生和专业人士就与本法活动相关的金融技术问题、想法和技术进行交流; 向新兴技术领域的工作人员提供有关委员会、其规则和法规以及注册期货协会的作用的信息; 鼓励新兴技术领域的工作人员与委员会接触并从委员会获得有关潜在监管问题的反馈。 与FinHub类似,LabCFTC的任务同样是促进相关政策的制定以及提供技术指导和交流。LabCFTC同样需要每年向国会提供一份关于其活动的报告。也应确保 LabCFTC 能够充分查阅委员会和任何自律组织或注册期货协会的文件和信息,以履行 LabCFTC 的职能,并建立详细的记录系统。 重视并加强去中心化金融、非同质化数字资产、衍生产品等的相关研究 商品期货交易委员会(CFCA)和证券交易委员会(SEC)应联合开展去中心化金融(DeFi)、非同质化数字资产(NFT)、衍生品等创新内容的研究,研究其发展趋势,并评估其对传统金融市场的影响及潜在的监管策略。 在这部分内容中,基本奠定了将Crypto合规化的态度,比较明确的方向就是DeFi和 NFT的研究,意味着DeFi和NFT在未来也可能迎来逐步明确的监管策略。 4.3 FIT21法案的重要意义 尽管加密行业已存在十多年,但全球尚无一套全面的数字资产监管框架。现有的监管框架零碎、不完整且缺乏清晰性。这种监管不确定性不仅阻碍了创新业务的发展,还为不良行为者提供了可乘之机。 因此,FIT21的通过具有重要意义。 它的通过对建立一个支持区块链技术发展的监管环境具有重要的积极作用,同时对保护加密市场和消费者安全提出了较为明确的要求。具体包括:为不同的数字资产类型明确由CFTC或SEC监管;设置消费者保护措施,如客户资金隔离、代币内部人士的锁定期限、限制年度销售量和披露要求等。 区块链技术和数字资产作为人类文明继互联网后的又一具有划时代意义的重大发明,具有巨大的发展潜力和前景,拥抱监管,创新发展,我们都是新时代的弄潮儿。 五、 总结 与2023年上半年相比,2024年上半年因黑客攻击、项目方Rugpull、钓鱼诈骗等造成的总损失有大幅上升,达到了14.92亿美元。总体而言,Web3 安全领域形势十分严峻。 但市场形势总体向上,项目方与Web3用户的安全意识也在逐步增强,相关合规政策也在稳步完善中。 Web3是新大陆,充满了想象和机遇,相信在这片土地上,安全和合规将发挥越来越重要的作用,保护用户加密资产安全。 来源:金色财经lg...