從跨鏈橋 Multichain 被抓說起：做跨鏈項目，應該注意哪些法律風險？

作者：劉紅林、金鑑智

來源：PANews

華人跨鏈橋項目 Multichain 因涉及刑事犯罪，首席執行官等人被中國警方帶走調查，一夜之間代幣暴跌。旨在解決不同區塊鏈之間價值互通的跨鏈技術，在中國真的不能創業嗎？

創始人被抓，項目被迫停止運營

2023 年 5 月 21 日，知名的跨鏈項目 Multichain 首席執行官 Zhao Jun 被國內警方從家中帶走，並與全球 Multichain 團隊失去了聯繫。團隊聯繫了 MPC 節點運營商，得知他們對 MPC 節點伺服器的操作訪問密鑰已被撤銷。

隨後，專案組與 Zhao Jun 的家人取得了聯繫，並了解到 Zhao Jun 的所有電腦、手機、硬體錢包和助記詞都被沒收。自項目啟動以來，所有運營資金和投資者的投資都由 Zhao Jun 掌控。

6 月 4 日，Zhao Jun 的家人成功登錄了雲伺服器平台上的家用電腦，並只允許 Multichain 團隊工程師物理訪問家庭計算機來修復 Router2 和 Router5 的技術問題。

7 月 9 日，Zhao Jun 的姐姐轉移了路由器池中剩餘的用戶資產，並隨後通知了團隊和多個項目方。這些資金被轉移到了 Zhao Jun 姐姐控制的 EOA 地址。

7 月 13 日，根據 Zhao Jun 家屬提供的情況，警方將 Zhao Jun 的姐姐帶走。

據慢霧監測，自 7 月 7 日以來，從 Multichain 流出的資金總額高達 2.65 億美元，分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 冻結，1,296,990.99 ICE（約 162 萬美元）被 Token 發行方 Burn。

據公開信息，Multichain 成立於 2020 年 7 月，並在 2021 年 12 月獲得了 6000 萬美元的融資。投資機構包括 Binance Labs、Sequoia Capital、IDG Capital、三箭資本、DeFiance Capital、TRON Foundation、Hashkey Capital、Circle、Hypersphere Ventures、Primitive Ventures 和 Magic Ventures。

區塊鏈跨鏈是什麼？

公鏈的快速發展與區塊鏈技術的日益普及和創新密不可分。根據誇張數據，目前存在的公鏈可能高達數百條，不同的區塊鏈之間存在不同的通信協議、共識規則和治理模型。知名公鏈包括比特幣、以太坊、Solana、幣安智能鏈（BSC）等，除此之外，還存在許多其他基於不同共識機制和技術架構的公鏈項目。每條公鏈都有其獨特的特點、優勢和應用場景。因此不同區塊鏈之間的互操作性，讓用戶在鏈與鏈之間實現資產和信息轉移的跨鏈技術成為必然產物。

跨鏈技術是區塊鏈行業中的一項關鍵技術，旨在解決不同區塊鏈之間的數據流通、資產轉移和價值互通問題。跨鏈技術的底層技術比較複雜。非技術人員可以用一個簡單的例子來理解跨鏈技術。多數情況下，當用戶要把資產從 A 鏈跨到 B 鏈時，需要先把資產存到跨鏈技術在 A 鏈的指定地址中，接下來，當橋的檢測者收到這一信息時，會在鏈 B 鑄造等量的封裝資產（wrapped token），或者通過在目標鏈建立資金池把跨鏈資產轉換成目標鏈的原生資產，最後把錢打到用戶在鏈 B 的賬戶中。

跨鏈技術最受關注的問題是安全問題。對於跨鏈的創業者來說，除了項目要安全，人身也要安全。

項目被攻擊的法律風險

跨鏈技術領域的安全事故並不少見。2021 年 7 月 3 日，Chainswap 跨鏈項目的合約遭到攻擊，部分用戶代幣被從與 ChainSwap 交互的錢包中取出，總損失約為 80 萬美元。2021 年 7 月 12 日，Anyswap 新推出的 V3 跨鏈流動性池也遭到黑客攻擊，總計損失超過 787 萬美元。2021 年 8 月，Poly Network 宣布主網被黑客攻擊，用戶在 BSC、以太坊和 Polygon 三條區塊鏈上的資產總計被轉移 6.1 億美元，成為迄今金額最大的 DeFi 安全事件。

由於區塊鏈技術本質上是去中心化的，在智能合約出現缺陷或漏洞導致損失時，確定責任方可能非常困難。在出現用戶資產丟失的情況下，跨鏈的項目方是否要承擔相關責任是一個比較複雜的問題。

對此，項目方可以提前做的有兩件事：

1. 智能合約安全審計。確保智能合約經過安全審計，從技術上以防止漏洞和攻擊。大部分跨鏈技術本身是跟金融直接打交道的，關乎用戶的資金，所以跨鏈技術協議的設計和實現需要從一開始就將安全考慮進去，而且無論多嚴謹都不為過。另外，協議最好通過至少兩家安全審計公司進行審計，從而減少安全風險。不引入非必要的管理員身份，同時限制協議部署者和管理員的權限，防止因為單個賬戶泄露而導致整個協議的全部資金陷入安全隱患。

2. 寫好合同。確保項方與合作夥伴、投資者和用戶之間的用戶協議、合同條款清晰明確，儘量在文本中規定在出現安全事故時各方的責任和義務，以及用戶資產丟失情況下的賠償機制。

項目發幣的法律風險

絕大多數的跨鏈項目會有自己的項目代幣。跨鏈創業者必須了解的是，不同國家和地區對於區塊鏈和加密貨幣的法律框架差異巨大。例如，美國證券交易委員會（SEC）可能將某些代幣視為證券，而歐盟則可能有完全不同的分類。這意味著，在設計和實施跨鏈解決方案時，必須考慮到各種法律要求和監管框架。

發幣在中國更是敏感的問題。2017 年 9 月 4 日，央行等七部委發布《關於防範代幣發行融資風險的公告》，明確指出代幣發行融資本質上是一種未經批准非法公開融資的行為，涉嫌非法發售代幣票券、非法發行證券以及非法集資、金融詐騙、傳銷等違法犯罪活動，要求自公告發布之日起，各類代幣發行融資活動應當立即停止，已完成代幣發行融資的組織和個人應當做出清退等安排。

如果項目方面向中國內地用戶發行代幣，屬於監管的高壓線。

KYC、KYT 和 AML

引言中的 Multichain 被抓，據公開媒體報導，其涉及為犯罪集團洗錢，金額巨大。由於跨鏈技術本身的一些特性如匿名性和難以追蹤，使得其容易被犯罪集團盯上成為洗錢的工具。

具體而言，跨鏈技術因為涉及多個不同的區塊鏈網絡之間的資產轉移，其中一些網絡可能具有更高的匿名性和隱私保護功能，如零知識證明或隱私幣，這使得洗錢者可以更輕鬆地隱藏其資金流動的來源和去向。同時，跨鏈涉及多個區塊鏈網絡之間的資產轉移，追蹤和監視這些交易變得更加複雜。一些跨鏈協議設計還使得交易記錄更難以被追蹤或監視，從而為洗錢活動提供了更多的機會。

歐科雲鏈研究院統計數據顯示，洗錢、詐騙、傳銷、賭博是 2022 年最常見的四種虛擬貨幣犯罪形式，其中 54.72% 的虛擬貨幣犯罪與洗錢相關，21.13% 與詐騙相關。

各國政府不喜歡虛擬貨幣，很重要的原因是它被壞人們給用壞了。一旦犯罪團伙被監管部門盯上，為犯罪集團的犯罪資產提供幫助的跨鏈項目自然也無法脫離干系。而跨鏈項目肯定無法以技術中立為自己辯護。2022 年 8 月，美國財政部外國資產控制辦公室 (OFAC) 曾制裁混幣器 Tornado Cash，據制裁文件顯示，Tornado 自 2019 年創建以來已用於清洗價值超過 70 億美元的加密資產，其中包括朝鮮黑客組織 Lazarus Group 從兩個區塊鏈應用中竊取的超過 4.55 億美元的加密資產。

而做好 KYC 和 AML 可以有效降低前述風險。

KYC（了解你的客戶）：設計和實施有效的 KYC 流程是確保業務合規的第一步。這包括收集和驗證用戶的身份信息，如姓名、地址、身份證件和其他相關資料。確保 KYC 流程符合當地法律法規的要求，並進行持續的更新和審查。需要注意的是，在收集、處理前述個人數據時，需要確保遵守隱私法規，明確告知用戶數據收集和使用方式。KYC 更適合法幣世界，而 KYT 更適合區塊鏈世界。

KYT（Know Your Transaction）：KYT 是一種金融機構用來監控和跟蹤金融交易是否存在欺詐或可疑活動的過程，KYT 可以幫助金融機構識別每筆交易的來源和去向，評估交易風險，採取相應的措施，以及向監管部門報告可疑交易。KYT 與傳統金融領域常用的 KYC 有所不同。KYC 主要關注客戶的身份信息，更關注特定個體 / 機構的靜態身份，而 KYT 主要關注客戶的動態交易過程。如果說在傳統金融領域，KYT 現階段是加分項，但在虛擬資產交易中，KYT 或許將成為應對風險的必需品。

原因在於，在區塊鏈世界中，類似去銀行開戶需要提供一大堆身份認證材料的環節是沒有的，幣圈人在賬號開通上的原則是萬事不求人，自己隨便開，而且可以匿名創建無數個鏈上地址，這種情況下，通過一串雜碼似的錢包地址你很難知道對方的真實身份到底是誰，更別提反洗錢防範了。KYT 將幫助區塊鏈的使用者識別哪些地址和交易存在風險，找到可疑非法交易的黑地址，並能順著黑地址追溯到交易的起點和終點。可疑的交易行為、暗網中的交易地址、它的關聯地址們、某個地址在交易所的 KYC 記錄等信息可以將鏈上地址與對應的實體聯繫起來，從而將匿名的鏈上世界和實名的線下身份進行鏈接。

AML（反洗錢）：實施有效的交易監控機制，以識別和報告任何可疑或異常交易活動。利用技術工具和系統來監測客戶的交易模式、資金流動和風險行為，並及時採取必要的措施進行調查和報告。

有效的 KYC、KYT 和 AML 措施可以降低與洗錢、恐怖主義融資和其他金融犯罪相關的風險，並建立信任和聲譽，在保障項方安全的基礎上，為業務和用戶提供更安全和可靠的環境。

小結

隨著越來越多的國家和地區將虛擬資產反洗錢納入監管範圍，涉及到虛擬資產發行和流轉的機構們都不可避免地需要通過 KYT 來補充 KYC 的盡調工作，以滿足監管部門對合規要求。

跨鏈創業者在追求技術創新和商業模式探索的同時，必須將法律風險管理作為重中之重。只有這樣，才能確保自己的安全，只有在自己安全的基礎上，才有項目的長期發展和用戶資產的安全。