撰文:刘红林、徐晓惠,曼昆律师事务所
Web3冲浪,谁不是人手N个加密货币钱包?作为刚需,加密货币钱包一直以来都作为加密货币的关键存储设施以及参与各类Web3生态的重要工具,而备受重视且参与者众多。根据ROOTDATA收录的清单,常见加密货币钱包已有370个之多。
与此同时,加密货币钱包赛道也非常之卷,前期比谁接的链多,中期比谁接的DAPP多,此时进入钱包赛道的创业者,还能“卷”什么?曼昆律师认为,法律合规所带来的安全,将是下一个差异化优势。那么,作为钱包创业者,该如何做好法律合规呢?首先,我们需要回顾加密货币钱包的开发与运营逻辑,分析当前钱包赛道的合规近况。
加密货币钱包介绍
加密货币钱包通过私钥和公钥的组合,成为了用户在区块链网络上存储、管理和交易数字资产的重要工具。可以说,创建一个加密货币钱包,是用户踏入Web3世界的第一步。
钱包类型
根据私钥存储方式、持有人数量,以及是否支持多条链加密资产等不同,加密货币钱包往往被分为如下几类:
此外,2020年后,AA智能钱包也逐渐兴起,它是一种基于ERC-4337协议、能够通过智能合约进行管理、控制的钱包,一定程度上避免了用户丢失助记词或私钥而引发的风险。
涉及业务
加密货币钱包的种类多样,不同钱包支持的功能也各有区别,钱包功能切实影响着用户的使用体验,也在一定程度上决定了用户受众的不同。市面上主流钱包产品,一般有以下几种业务功能:
加密货币钱包合规挑战
各国政府和监管机构对加密货币的态度日益严格。加密钱包行业在近些年快速发展的同时,也伴随着日益严峻的合规要求和风险。不少头部加密钱包项目方都经历过数据泄露、内部管理问题等重大安全事件,这些事件不仅仅是单个项目方面临的经营危机,更是整个加密货币生态系统的警钟,提醒所有参与者加强风险管理和合规性建设。
加密钱包技术漏洞
加密钱包由于其处理敏感金融信息的性质,在技术层面仍面临多种潜在的漏洞和安全隐患,这成为黑客攻击和技术漏洞的主要目标。
根据Beosin Alert监测,Web3领域在2024 年上半年的主要攻击事件便高达78 起,总损失金额达 11.93 亿美元,攻击方式有私钥泄露、安全结构漏洞等多种原因。在2024年7月这短短一个月里,就有日本BitPoint Japan(BPJ)交易所遭黑客攻击后热钱包被盗35亿日元、印度交易所WazirX被攻击后钱包被盗2.35亿美元等多起事件。
用户隐私和数据泄露
虽然加密钱包具有匿名性,但用户在使用加密钱包项目的某些合作方功能时,仍需提供电子邮件、电话号码等个人信息,保管用户数据信息也是项目方的重要挑战之一。
据加密货币硬件钱包制造商 Trezor在2024年1月发布的消息,当月17日有黑客通过某种方式入侵了 Trezor 第三方支持网站,此次安全事故暴露了自 2021 年 12 月以来与 Trezor 进行过工单支持的用户的数据,牵涉的用户大约为 6.6 万名,包含姓名、用户名、电子邮件地址等信息。
项目内部人员管理
加密货币钱包项目成员借助便利条件,盗用、窃取用户资产,或离职员工留有重要权限,被黑客利用攻击的案例也屡见不鲜。
2023年3月,美国加密货币交易平台FTX创始人萨姆·班克曼-弗里德(Sam Bankman-Fried),因从FTX加密货币交易平台的客户那里窃取80亿美元(约合人民币578亿元人民币),在美国纽约被判25年监禁。中国也有类似案例,徐汇法院在2024年4月发布,原火币3名员工在钱包软件中加入后门程序,成功转换数字钱包地址 19000 余个,最终因涉非法获取计算机信息系统数据罪被判处3年有期徒刑。
2023年12月,知名加密货币钱包Ledger被恶意侵入的重要原因之一,就是前员工遗留重要权限,前员工的 npmjs 账号被钓鱼劫持走后,攻击者就可以任意发布带毒的模块版本。
洗钱风波
各国政府和监管机构在不断加强对加密货币和钱包服务的监管,反洗钱始终是加密货币项目方面临的重大挑战,项目方需要实施严格的反洗钱(AML)和了解客户(KYC)程序,以确保其平台不被用于非法目的。
2023年11月,美国司法部指控币安洗钱、作为未注册货币转账业务运营以及违反制裁等,最终公司首席执行官赵长鹏(CZ) 则辞职并承认洗钱罪以和解指控,这一事件引发了加密货币领域热议。之前FTX平台创始人萨姆·班克曼-弗里德(Sam Bankman-Fried)面临的七项刑事指控中,也包括洗钱罪名。
加密货币钱包合规策略
不同Web3钱包,在安全性、用户体验、功能特性、生态系统支持及市场策略等方面各具特色。随着技术进步和用户需求的增长,可以预见到钱包功能也将越发丰富。在充满机遇和挑战的背景下,不论加密货币钱包种类,如何合法合规地安全开展,将是每个项目方面临的重要课题。
业务监管合规
不同国家对加密货币的监管态度和要求各不相同。有些国家认为数字资产是一种合法的支付工具或商品,有些国家则禁止或限制数字资产的发行和交易。因此项目方需要了解、遵守运营所在国家相关法律法规,制定相应合规策略,根据需要向相关监管机构进行登记和备案;运营期间,项目方也应密切关注监管政策的变化,及时调整优化运营策略要求,以适应监管动态。
前文提到,在中国大陆对虚拟货币相关业务从严的监管态度下,不少加密货币钱包项目方都计划业务出海。区块链公司出海选择注册地时需要考虑一系列因素,包括法规环境、税收政策、治理结构、隐私保护等。现对热门出海注册地简单介绍如下:
离岸地。例如开曼群岛、英属维京群岛等,这类地区的优势是无税收、隐匿性高,便于给开展全球业务;但相对的,监管透明度较差,业内受认可程度较低。其中,开曼群岛相对具备较高的金融监管标准,不过设立和运营成本也比较高昂;英属维京群岛的设立和运营成本较低,但监管透明度和治理结构相对不够健全。
在岸地。例如新加坡、香港等,这类地点的法律法规比较明确完善,监管态度也相对可预测,但相对的,有税收成本、隐匿性也比较低。其中,香港具备较为完善的法律制度和金融基础设施,税收成本较低,背靠大陆,但政治和监管政策可能会影响商业环境稳定性;新加坡的法规环境也较为友好,税收成本较低,但市场规模相对较小,运营成本较高。
内部人员管理
加密货币钱包和用户资金安全紧密相关,这也使得项目方必须注重加强对项目内部人员的管理。如果员工的不当行为引发舆论或风险,极易给项目发展造成不可逆的损害。
项目方可以建立完善的合规管理制度,实施严格的访问控制,确保只有授权人员可以访问敏感信息和系统;定期对项目员工进行合规培训及管理,提高员工的安全意识,防范社会工程攻击和内部舞弊;必要的话,可以建立专门合规团队,定期进行内部审计和监控,及时发现和应对潜在的内部威胁。
外部合作审查
DeFi、Staking、NFT服务以及DApp集成等功能,既是各钱包差异性的重要体现,同时也是加密货币钱包项目方的重要收入来源之一。
在与外部项目方建立合作时,加密货币钱包项目方可以对合作项目进行背景调查,并签署书面合作协议,明确双方责任和义务,避免合作方触碰法律红线。合作期间,加密货币钱包项目方还应对合作方进行定期审查和系统的实时监控,识别异常交易或可疑活动,如有高危行为,及时响应调整合作方案。
技术安全风控
加密货币钱包始终面临着黑客攻击、系统故障、数据丢失等风险。一旦发生这些风险,可能导致用户的数字资产损失或被盗,甚至引发用户投诉、诉讼、索赔等法律纠纷。
钱包项目方务必重视钱包技术安全性的风控审查,包括钱包自身代码安全、链上交互安全以及其它安全保障措施。项目方可以从风险币种提示、合约授权管理、钓鱼网站提醒、风险地址检测、合约风险监测等措施着手,确保钱包的技术安全。同时,应当制定和测试应急响应计划,确保在突发事件中能够迅速应对处理,降低损失。
AML和KYC
由于加密货币的匿名性和全球性,极易被不法分子进行洗钱或非法活动。随着市场的不断发展和成熟,AML和KYC在加密货币领域也愈发重要。
加密货币钱包项目方可以通过建立实时交易监控系统、设定风险报告机制等方式,识别管理潜在风险和可疑活动,防止非法资金通过加密货币洗钱。项目方也可考虑通过用户身份验证、地址验证等方式,做好KYC程序,积极主动地进行监控和尽职调查,以确保平台的合法性和稳定性。
结语
合规性是加密货币钱包项目成功和持续运营的基石。加密货币钱包项目方在国际市场扩展时,需综合考虑法律法规、技术安全、内部控制等多个方面,确保合规运营。了解目标市场的法律环境、获得必要的许可、建立有效的内部控制体系、施强有力的技术安全措施,并适应监管变化,钱包项目方不仅可以避免法律风险,还可以增强用户信任和市场竞争力。希望本文的合规建议能为加密货币钱包项目方提供有价值的指导,助力项目在合规的道路上稳步前行。
