| title | 安全与合规 |
|---|---|
| createTime | 2025/06/11 21:04:39 |
| permalink | /zh/security/ |
作为 Web3 的新手,在参与到 Web3 项目前,请务必通读本合规指南,确保在行动前不会触犯法律的底线,仔细甄别下述案例的情形,有所防范。
::: note Web3 行业法律环境概览
自 2017 年以来,中国监管部门已陆续发布多项针对虚拟货币的限制政策,主要包括:
- 禁止 ICO(首次代币发行);
- 禁止虚拟货币交易所运营与提供撮合服务;
- 明确虚拟货币不具有法偿性,不得作为支付工具;
- 禁止境外交易平台向中国境内居民提供服务;
- 打击以虚拟货币为载体的非法集资、传销、洗钱、赌博等活动。
当前主流监管基调为“全面封堵金融属性,有限容忍技术创新”。虽然 Web3 作为技术栈本身不被禁止,但一旦触及 Token 发行、融资、交易、矿池运营等高风险场景,便极易受到行政乃至刑事打击。 :::
::: steps
-
==代币发行与交易行为的法律风险=={.danger}
当前,中国法律明令禁止任何单位或个人通过 ICO、IEO、IDO 等方式进行融资活动。不论代币是否命名为“积分”“凭证”或“治理 Token”,只要具备融资功能或可流通性,即可能构成非法金融行为。
例如,一些项目通过“空投”或“白名单”的方式分发代币,实质上仍是面向公众筹资。一旦筹资规模扩大,项目方将可能被追究非法吸收公众存款罪。
技术人员若参与代币模型设计、空投逻辑配置、合约部署等环节,也会被视为“共同行为人”,无法以“只是写代码”为由免责。
-
==赌博、传销、洗钱等刑事风险=={.danger}
Web3 项目的设计与经济激励模型直接影响风险等级。例如,部分链游存在“充值—抽奖—提现”的闭环结构,玩家投入法币或 USDT 购买盲盒、转盘机会,随机获得稀有 NFT 或 Token,后续可在平台提现或转售。这种“下注—随机收益—兑现”的机制容易被认定为开设赌场罪。
NFT 项目、DAO 社群、挖矿平台中常见的“邀请返利”“算力挂靠”“多级推广”模式,一旦涉及团队计酬、多层级返佣,可能触犯组织、领导传销活动罪。
-
==场外交易中的洗钱与非法经营风险=={.danger}
虚拟货币在场外交易环节常被用作规避监管的“地下换汇”工具。境内个人先用人民币购买 USDT、ETH 等虚拟币,再通过链上或境外平台兑换美元、欧元等外币,形成跨境资金流转链条。此过程不仅绕过外汇监管,还使虚拟货币成为规避外汇管制的“桥梁资产”。根据《外汇管理条例》和刑法,未经许可反复组织撮合人民币与外币的虚拟币交易,可能构成非法经营外汇业务。
更为严重的是,部分交易对手或资金来源与电信诈骗、赌博、毒品交易等犯罪活动相关,参与者极有可能被控洗钱罪、掩饰隐瞒犯罪所得罪,甚至在不知情的情况下被卷入“协助洗钱”的刑事链条。因此,在参与虚拟币兑换时必须谨慎,对交易对手的信息、背景、资金来源进行审核,避免成为非法资金链条中的一环。
-
==民商事争议=={.danger}
在 Web3 生态中,虚拟货币买卖、委托他人投资是常见的交易形式。根据我国目前的政策态度和司法实践,这类交易大概率被认定无效,即风险自担。
以虚拟货币买卖为例,由于国家禁止虚拟货币作为法偿工具,涉及“币币交易”的合同,法院通常不予支持。因价格波动、对价不明、交付失败产生的纠纷,极可能遭遇“合同无效”或“法院不受理”的局面。
委托代投方面,投资人基于友情或信任接受他人资金代为投资,行情波动、投资亏损或资金去向不明时,即使双方无恶意,也可能被追究民事赔偿责任,甚至面临涉嫌非法经营或非法集资的法律风险。委托方应在建立代投关系前,明确权利义务、委托范围及投资限制,并妥善保留协议及操作凭证,实时监督资金流向和账户变动,防止出现“全权委托”后的管理真空。
受托方则必须严守权限,不得擅自扩大投资范围,例如仅授权操作现货时,禁止擅自进行杠杆或合约交易。同时,不应轻易接受陌生资金,或公开宣传接受公众的资金,避免因资金安全、投资亏损等引发风险事件。 :::
::: note 全球监管背景 近年来,全球加密货币合规化趋势日益明显,监管框架稳步推进:欧盟的 MiCA 正在逐步落地;新加坡出台新规,将反洗钱/反恐怖融资要求与 FATF 标准接轨;美国国会今年也出台了《稳定币法案》(GENIUS Act)和《稳定币法案》(STABLE Act),为稳定币发行、反洗钱和消费者保护等提供了清晰的框架。
更健全的监管框架能够提供更清晰的指导方针,降低风险,增强用户信心,从而为加密货币行业释放新的增长机遇。越来越多的机构正在转变对合规的认识,不再将其视为障碍,而是将其视为战略优势。通过积极采取 KYC、客户尽职调查、地址筛选和交易监控等措施,他们正在全面显著提升合规能力。
然而,区块链的匿名性和链上交互(尤其是跨链活动)的复杂性对机构在风险评估、团队协作和报告生成方面提出了重大挑战。
:::
::: steps
-
==FATF(Financial Action Task Force,金融行动特别工作组)=={.info} 是一个政府间组织,成立于 1989 年,总部位于法国巴黎。它是全球反洗钱和反恐怖融资标准的制定者。
==1. FATF 的核心职能:==
- 制定国际标准:制定反洗钱(AML)和反恐怖融资(CFT)的国际标准
- 评估成员国:对成员国进行合规性评估,发布"灰名单"和"黑名单"
- 协调全球行动:协调各国监管机构打击金融犯罪
==2. 对 Web3 的影响:==
Travel Rule(旅行规则)是 FATF 对加密货币行业最重要的监管要求:
- 要求虚拟资产服务提供商(VASP)在转账时收集和传输发送方、接收方信息
- 适用于超过 1000 美元/欧元的转账
- 对 DeFi 协议和 DEX 提出了合规挑战
-
==1. 为什么需要监管稳定币?==
系统性风险:
- 稳定币已成为 DeFi 生态的基础设施,总市值超过 1500 亿美元
- 如果主要稳定币(如 USDT、USDC)出现问题,可能引发系统性风险
- 2022 年 Terra UST 崩盘事件就是典型案例
货币政策影响:
- 稳定币可能影响传统金融体系的货币供应
- 对央行数字货币(CBDC)构成竞争
- 跨境支付可能绕过传统银行系统
==2. 监管目标:==
- 保护投资者:确保稳定币有足够的储备资产支持
- 维护金融稳定:防止稳定币风险传导到传统金融体系
- 反洗钱合规:防止稳定币被用于非法活动
-
==1. 美国监管框架== ::: tabs
@tab SEC(证券交易委员会)
- 将大部分代币视为证券进行监管
- 对 Coinbase、Binance 等交易所提起诉讼
- 重点关注 DeFi 协议的证券属性
@tab CFTC(商品期货交易委员会)
- 监管加密货币期货和衍生品
- 将比特币和以太坊视为商品
@tab OCC(货币监理署)
- 允许银行提供加密货币托管服务
- 支持稳定币在银行体系中的应用 :::
==2. 欧盟监管框架==
MiCA(加密资产市场法规):
- 2024 年正式生效,是全球首个全面的加密货币监管框架
- 对稳定币发行商提出严格的资本和流动性要求
- 要求加密货币服务提供商获得许可证
::: important 关键要求:
- 稳定币发行商必须持有等值储备资产
- 大型稳定币(超过 100 万用户)面临更严格监管
- 禁止算法稳定币(如 Terra UST) :::
==3. 香港监管框架== ::: tabs @tab 虚拟资产服务提供商(VASP)制度
- 2023 年 6 月生效,要求加密货币交易所获得许可证
- 对零售投资者开放加密货币交易
- 要求平台实施严格的 KYC/AML 措施
@tab 稳定币监管
- 计划在 2024-2025 年推出稳定币监管框架
- 要求稳定币发行商获得香港金管局许可
- 对储备资产和风险管理提出要求 :::
==4. 监管趋势以及对 Web3 从业者的影响总结==
:::: card-masonry
::: card title="趋严化"
- 各国都在加强加密货币监管
- 重点关注稳定币、交易所和 DeFi 协议
- 要求与传统金融体系类似的合规标准 :::
::: card title="协调化"
- 国际组织(FATF、G20)推动全球监管协调
- 各国监管框架逐渐趋同
- 跨境监管合作不断加强 :::
::: card title="创新友好"
- 部分国家(如新加坡、阿联酋)采取"监管沙盒"模式
- 支持区块链技术创新
- 在合规前提下允许业务发展 :::
::: card title="合规成本增加"
- 需要投入更多资源满足监管要求
- 法律和合规团队成为必需品
- 业务模式可能需要调整 :::
::: card title="市场准入门槛提高"
- 新进入者面临更高的合规门槛
- 有利于有实力的机构和企业
- 可能推动行业整合 :::
::: card title="长期利好"
- 明确的监管框架有助于行业健康发展
- 合规企业更容易获得传统金融机构合作
- 有助于吸引机构投资者进入 :::
:::: :::
::: card 对于转型进入 Web3 行业的求职者而言,入职阶段需要了解到 Web3 领域的劳动关系与传统行业有非常大的不同,尤其是当项目注册地、薪酬结构、用人主体不明确时,新型的雇佣关系、社保的缴纳、工资的发放形式等等都可能影响到自身的生活、未来的职业发展。 :::
::: steps
-
==雇佣关系新形态=={.important}
Web3 项目普遍采用境外注册方式,如在新加坡、开曼群岛、BVI 等设立控股实体,并通过 Telegram、Zoom 等方式线上面试及协作。这种分布式办公模式虽带来了灵活性,却也打破了传统劳动关系的边界。
由于许多项目方在中国境内无注册公司,不具备用工主体资格,因此难以与员工签订有效的《劳动合同》,也无法依法缴纳五险一金。一旦发生薪资争议或因公受伤,员工将难以依照《劳动合同法》享受合法保障。
⚠️ 需注意的是,我国社会保障体系与诸多生活事项紧密挂钩,包括落户、购房、贷款、子女教育、婚育福利等,缺失社保公积金的雇佣结构将直接影响个人生活。即使签署了书面合同,也可能因主体资格缺失被认定为无效,成为“白纸黑字”。为弥补上述漏洞,有些项目方会通过 EOR(名义雇主)模式,委托国内合规公司与员工签署合同。通过这种方式可以解决劳动关系里的部分问题,但在发生纠纷的情况下,劳动关系的认定仍然是需要关注的重点。
因此,入职前应结合自身情况审慎评估:
- 是否可以接受灵活用工?
- 能否接受没有社保公积金的工作安排?如不确定,建议寻求专业律师帮助排雷。
-
==薪酬结构及风险提示=={.important}
Web3 企业的薪酬结构常见“人民币 + Token”或“全 USDT”模式,尽管从收入上看更具吸引力,但其背后存在多重法律与税务风险。
根据我国《劳动法》规定,工资应以法定货币(即人民币)支付,不得以实物或虚拟币等形式代替。这意味着,如果薪酬中 Token 或 USDT 部分被认定为工资支付,可能导致支付行为无效。
相反,如果该部分未被明确纳入工资范围,则会拉低员工的平均工资基数,影响其社保缴纳、经济补偿计算等,间接损害劳动者合法权益。
更需注意的是,用自发 Token 支付薪资的项目,其代币价值波动剧烈,甚至可能在项目失败后彻底归零,员工收入将大打折扣。
-
==虚拟货币出金与合规风险=={.important}
由于薪酬中常含虚拟货币,员工通常需要通过“出金”将其兑换为人民币以满足日常支出。目前主流方式为 C2C 交易,包括场内挂单、场外担保交易、OTC 交易群等。
然而,出金过程中极易卷入刑事风险。若交易对手使用涉赌、涉诈资金购币,收款方极可能因接收非法资金而遭遇银行卡冻结,甚至被要求退赔全部涉案金额。与此同时,参与高价出 U 交易、协助他人洗钱、绕开监管等行为,还可能构成 ==“帮信罪”=={.danger} 或 ==“掩饰、隐瞒犯罪所得罪”=={.danger}。
因此求职者可以根据自身的经济情况和消费习惯,若日常需要法币支出,可以和公司协商薪资发放的方式,保留一部分法币收入。在出金时,务必通过可信渠道进行出金,避免参与灰色交易,并定期留存相关资金合法来源记录,以便自证清白。
-
==项目合法性需提前审查=={.important}
入职前还应重点审查项目是否合法。即便员工非主导方,若整体项目涉嫌非法金融活动,也可能被牵连调查。建议主动要求查阅项目白皮书、Token 分发机制、收益模型、是否面向中国大陆用户、是否含有返利结构、投资承诺等。
::: card Web3 项目常常通过跨境分区的方式来规避境内的监管风险,通常为在境外开展敏感业务部分,境内主要负责技术研发。
但需要注意的是,中国刑法中不仅规定了属地管辖,同时也规定了属人管辖,也即即便境外部分在中国境外犯罪的,中国刑法也具有管辖权,届时境内的主体和个人可能需要承担相应的刑事责任,即便不是主犯,也可能会被认定为共同犯罪或者帮助犯罪。
在刑事犯罪中,各位尤其需要警惕构成赌博、非法经营、非法集资、传销等的风险。 :::
::: steps
-
==开设赌场罪、赌博罪=={.danger}
《刑法》第三百零三条第二款规定: “==开设赌场的,处五年以下有期徒刑、拘役或者管制,并处罚金;情节严重的,处五年以上十年以下有期徒刑,并处罚金。=={.important}” 一般认为,赌博是指就偶然的输赢以财物进行赌事或者博戏的行为,而开设赌场则是行为人开设在其支配下供他人赌博的场所的行为。
最高法、最高检、公安部《关于办理网络赌博犯罪案件适用法律若干问题的意见》进一步规定:“利用互联网、移动通讯终端等传输赌博视频、数据,组织赌博活动,具有下列情形之一的,属于刑法第三百零三条第二款规定的‘开设赌场’行为:
(一)建立赌博网站并接受投注的;
(二)建立赌博网站并提供给他人组织赌博的;
(三)为赌博网站担任代理并接受投注的;
(四)参与赌博网站利润分成的。”实践中,虚拟货币的身影大量出现于开设赌场刑事案件中。此外,2021 年最高检召开的“依法履行检察职能,从严惩治开设赌场犯罪”新闻发布会中,最高检第一检察厅副厅长张晓津表示“涉嫌赌博的应用软件,有一个显著的特征,就是具有相关的提现功能”,因此如果参与的应用项目涉及提现的应当格外注意。
::: info 案例 1 2018 年 6 月至 2020 年 12 月期间,被告人谢某非、刘某功等人经胡某宇(未归案)召集,在 EOS 区块链上开发名为 BigGame 的赌博平台并接受投注。
具体分工如下:
- 谢某非负责平台运营和推广;
- 刘某功负责平台技术开发和维护;
- 被告人王某负责平台服务端用户模块代码编写和维护;
- 被告人周某情、吴某等分别负责平台产品设计、合约代码编写;
- 被告人黄某豪、林某蝉负责平台客户端代码编写;
- 被告人李某仪负责英文翻译、英文客服和平台推广;
- 被告人余某棷负责中文客服和平台推广。
谢某非等人在 BigGame 赌博平台运行期间,先后开发推出“掷骰子”“红黑大战”等赌博游戏。2019 年 9 月 2 日至 2020 年 12 月 13 日,共有 2 万余用户在该赌博平台投注赌博,赌资累计达 3.3 亿余个 EOS 币(虚拟货币),平台总盈利为 322 万余个 EOS 币。其中,谢某非分得 30 万余个 EOS 币,刘某功分得 22 万余个 EOS 币。
江苏省建湖县人民法院于 2023 年 8 月 25 日作出(2022)苏 0925 刑初 266 号刑事判决,认定被告人谢某非、刘某功等 10 人均构成开设赌场罪,其中,谢某非、刘某功为主犯,分别判处有期徒刑五年九个月、四年六个月,并处罚金人民币六十万元、四十五万元;其余 8 名被告人为从犯,分别判处有期徒刑二年四个月至三年不等,适用缓刑三年至四年不等,并处罚金人民币六万至八万不等。宣判后,谢某非、刘某功提出上诉。江苏省盐城市中级人民法院于 2023 年 12 月 19 日作出(2023)苏 09 刑终 372 号刑事裁定:驳回上诉,维持原判。
相关资料参考:https://mp.weixin.qq.com/s/lO3la_KujJG7BPgV64Z7SQ :::
-
==非法经营罪=={.danger}
《刑法》第二百二十五条规定:“==违反国家规定,有下列非法经营行为之一,扰乱市场秩序,情节严重的,处五年以下有期徒刑或者拘役,并处或者单处违法所得一倍以上五倍以下罚金;情节特别严重的,处五年以上有期徒刑,并处违法所得一倍以上五倍以下罚金或者没收财产:=={.important}
(一)未经许可经营法律、行政法规规定的专营、专卖物品或者其他限制买卖的物品的;
(二)买卖进出口许可证、进出口原产地证明以及其他法律、行政法规规定的经营许可证或者批准文件的;
(三)未经国家有关主管部门批准非法经营证券、期货、保险业务的,或者非法从事资金支付结算业务的;
(四)其他严重扰乱市场秩序的非法经营行为。”跨境支付项目从业者需要谨慎评估自身业务,避免通过虚拟货币作为媒介工具实现人民币和外币的兑换,利用虚拟货币进行外汇买卖的非法经营活动以及利用虚拟货币进行支付结算的非法经营活动的,极有可能构成非法经营罪。
::: info 案例 2 在郭某钊等人非法经营、帮助信息网络犯罪活动案中,陈某国(另案处理)、郭某钊等人在 2018 年 1 月至 2021 年 9 月搭建“TW711 平台”、“火速平台”等网站,以虚拟货币泰达币为媒介,为客户提供外币与人民币的汇兑服务。换汇客户在上述网站储值、代付等业务板块下单后,向网站指定的境外账户支付外币。网站以上述外币在境外购买泰达币后,由范某玭通过非法渠道卖出取得人民币,再按照约定汇率向客户指定的境内第三方支付平台账户支付相应数量的人民币,从中赚取汇率差及服务费。上述网站非法兑换人民币 2.2 亿余元。其中,范某玭通过操作詹某祥、梁某钻等人提供的虚拟货币交易平台账户及人民币银行账户,从陈某国处接收泰达币 600 余万个,兑换人民币 4000 余万元。
2022 年 6 月 27 日,上海市宝山区人民法院作出判决,以非法经营罪判处郭某钊有期徒刑五年,并处罚金人民币二十万元;判处范某玭有期徒刑三年三个月,并处罚金人民币五万元;以帮助信息网络犯罪活动罪判处詹某祥有期徒刑一年六个月,并处罚金人民币五千元;判处梁某钻有期徒刑十个月,并处罚金人民币二千元。最高检和国家外管局将该案列入惩治外汇犯罪典型案例:明知他人非法买卖外汇,以兑换虚拟货币为媒介提供帮助的,属于非法经营罪的共犯。
在中国,虚拟货币不具有与法定货币等同的法律地位,但以虚拟货币为媒介帮助他人间接实现本币和外币之间的非法兑换,系非法买卖外汇犯罪链条中的重要环节,应予依法惩治。提供虚拟货币行为人与非法买卖外汇人员事前通谋,或者明知他人非法买卖外汇,仍通过交易虚拟货币等方式为其实现本币与外币转换提供实质帮助的,构成非法经营罪的共同犯罪。向非法买卖外汇人员提供虚拟货币交易服务,但对所帮助犯罪行为只是概括认识,并没有具体认识到帮助非法买卖外汇犯罪的,可以帮助信息网络犯罪活动罪追究刑事责任。 :::
-
==非法吸收公众存款罪=={.danger}
《刑法》第一百七十六条规定:“==非法吸收公众存款或者变相吸收公众存款,扰乱金融秩序的,处三年以下有期徒刑或者拘役,并处或者单处罚金;数额巨大或者有其他严重情节的,处三年以上十年以下有期徒刑,并处罚金;数额特别巨大或者有其他特别严重情节的,处十年以上有期徒刑,并处罚金。=={.important}”
最高人民法院《关于审理非法集资刑事案件具体应用法律若干问题的解释》第二条规定:“实施下列行为之一,符合本解释第一条第一款规定的条件的,应当依照刑法第一百七十六条的规定,以非法吸收公众存款罪定罪处罚:……(八)以网络借贷、投资入股、虚拟币交易等方式非法吸收资金的;……”。
诱使公众支付资金并提供“挖矿”服务以及直接吸收公众手中所拥的虚拟货币的,均存在被认定为非法吸收公众存款罪的风险。
::: info 案例 3
案例:在郜某非法吸收公众存款案中,2019 年,同案人郑某、王某3(均另案处理)经密谋后,着手开发 ALLINPAY 系统平台(以下简称 AIP 平台),郑某聘请同案人李某 2 负责开发和维护 AIP 平台中的“钱包”和“交易所”,聘请同案人陈某 2(另案处理)运营和维护 AIP 平台中的“商城”……具体模式如下:一、集资参与人通过 AIP 平台承兑商进行投资,购买 AIP 平台“商城”中的“矿机”,后通过“矿机”释放数倍至数十倍于投资款的 AIP 积分。后集资参与人将其 AIP 积分在 AIP 平台按照规定比例兑换成 AIP 币,再将 AIP 币在 AIP 平台“交易所”中通过交易买卖的方式兑换成 USDT 币等虚拟货币,最后将其所得的 USDT 币等虚拟货币卖给承兑商以提现获利。
二、集资参与人通过 AIP 平台购买商品同时获赠“矿机”,后通过“矿机”释放 AIP 积分并按照上述模式的方式获利。法院认为,中国银行业监督管理委员会广东监管局办公室出具的经营资格认定意见证实广东 S 有限公司(案涉公司主体)吸收资金行为是未经批准的违法行为。在未取得金融许可的情况下,上诉人郜某帮助同案人王某 3、郑某等人采用网络直播、线下宣讲会等公开宣传方式,以消费返利和投资返利为诱饵,向社会不特定人群宣传推广“AIP”平台,吸引社会公众在该平台购买矿机投资,涉案的大部分资金去向不明。
已报案的佘某等 25 名集资参与人的投入金额共计 7615000 元。经审计,2019 年 10 月至 2020 年 7 月期间,AIP 平台非法吸收公众存款共计人民币 116672044.33 元。上诉人郜某受雇佣任商学院副院长,参与教学和宣传,并使用其妻子赵某的银行卡收取会员钱财。上诉人郜某明知同案人实施违法行为,仍帮助同案人非法吸收公众存款,原判认定上诉人郜某的行为构成非法吸收公众存款罪并无不当。 :::
-
==组织、领导传销活动罪=={.danger}
《中华人民共和国刑法》第二百二十四条之一(组织、领导传销活动罪)规定:“组织、领导以推销商品、提供服务等经营活动为名,要求参加者以缴纳费用或者购买商品、服务等方式获得加入资格,并按照一定顺序组成层级,直接或者间接以发展人员的数量作为计酬或者返利依据,引诱、胁迫参加者继续发展他人参加,骗取财物,扰乱经济社会秩序的传销活动的,处五年以下有期徒刑或者拘役,并处罚金;情节严重的,处五年以上有期徒刑,并处罚金。”
《禁止传销条例》第二条规定:“本条例所称传销,是指组织者或者经营者发展人员,通过对被发展人员以其直接或者间接发展的人员数量或者销售业绩为依据计算和给付报酬,或者要求被发展人员以交纳一定费用为条件取得加入资格等方式牟取非法利益,扰乱经济秩序,影响社会稳定的行为。”
《禁止传销条例》对传销的界定,并无“以推销商品、提供服务等经营活动为名”的限制,刑法在《禁止传销条例》的基础上对传销行为作了入罪限制。由于链游项目需要购买平台代币、道具等才能参与游戏的,若平台采用层级性返利的方式发展游戏用户、扩大用户规模,可能涉嫌传销犯罪。
::: info 案例 4 在陈某等组织、领导传销活动案中,被告人陈某以区块链为概念策划在互联网设立 PlusToken 平台,先后聘请被告人郑某、王某团队开发、运营维护该 APP 并建立域名为
www.plToken.io的网站,该平台 A 某某于 2018 年 5 月 1 日正式上线。同时,被告人陈某、丁某、彭某、谷某等人成立了 PlusToken 平台最高市场推广团队—— S 社区,通过微信群、互联网、不定期组织会议、演唱会、旅游等方式发布 PlusToken 平台的介绍、奖金制度、运营模式等宣传资料,虚构、夸大平台实力及盈利前景进行宣传推广。最终法院以组织、领导传销活动罪追究陈某等人的刑事责任。法院的裁判要旨在于:
- 通过建立专门网站和系统软件,以区块链、人工智能、数字货币等新技术、新概念作伪装,利用互联网进行虚假宣传推广,在无实质经营的情况下要求会员交纳一定数量的加密数字货币作为门槛费,许以高利鼓动继续发展下线会员,并以发展人员的数量和交纳的费用作为返利的依据,本质上属于以发展会员获得奖金为目的骗取钱财的传销行为。
- 行为同时符合组织、领导传销活动罪与集资诈骗罪的外部行为特征,无法认定行为人是否具有非法占有目的,不成立组织、领导传销活动罪与集资诈骗罪的竞合,应当以组织、领导传销活动罪追究刑事责任。组织者、领导者的认定要坚持发展人数与层级的形式判断与具体作用的实质判断相结合。
- 网络技术开发人员明知其开发的软件所实现的层级体系和奖励模式被用于传销犯罪,仍然予以提供的,已经超出帮助信息网络犯罪活动罪的规制范畴,应当以组织、领导传销活动罪的共犯认定。 :::
-
==洗钱罪=={.danger}
《刑法》第一百九十一条规定:“为掩饰、隐瞒毒品犯罪、黑社会性质的组织犯罪、恐怖活动犯罪、走私犯罪、贪污贿赂犯罪、破坏金融管理秩序犯罪、金融诈骗犯罪的所得及其产生的收益的来源和性质,有下列行为之一的,没收实施以上犯罪的所得及其产生的收益,处五年以下有期徒刑或者拘役,并处或者单处罚金;情节严重的,处五年以上十年以下有期徒刑,并处罚金:
(一)提供资金帐户的;
(二)将财产转换为现金、金融票据、有价证券的;
(三)通过转帐或者其他支付结算方式转移资金的;
(四)跨境转移资产的;
(五)以其他方法掩饰、隐瞒犯罪所得及其收益的来源和性质的。”由于虚拟货币的来源可能无法难以甄别,如果没有做好 KYC(know-your-customer)和 AML(反洗钱)措施,可能会触发洗钱等违法行为。
::: info 案例 5
在陈某某洗钱案中,陈某某明知是金融诈骗犯罪的所得及其产生的收益,为掩饰、隐瞒其来源和性质,提供资金账户,将财产分别转换成人民币和虚拟货币,通过转账协助资金转移汇往境外,其行为已构成洗钱罪。后最高人民检察院、中国人民银行将其列入惩治洗钱罪典型案例,并指出:
- 利用虚拟货币跨境兑换,将犯罪所得及收益转换成境外法定货币或者财产,是洗钱犯罪新手段,洗钱数额以兑换虚拟货币实际支付的资金数额计算。虽然中国监管机关明确禁止代币发行融资和兑换活动,但由于各个国家和地区对比特币等虚拟货币采取的监管政策存在差异,通过境外虚拟货币服务商、交易所,可实现虚拟货币与法定货币的自由兑换,虚拟货币被利用成为跨境清洗资金的新手段。
- 上游犯罪查证属实,尚未依法裁判,或者依法不追究刑事责任的,不影响洗钱罪的认定和起诉。在追诉犯罪过程中,可能存在上游犯罪与洗钱犯罪的侦查、起诉以及审判活动不同步的情形,或者因上游犯罪嫌疑人潜逃、死亡、未达到刑事责任年龄等原因出现暂时无法追究刑事责任或者依法不追究刑事责任等情形。洗钱罪虽是下游犯罪,但是仍然是独立的犯罪,从惩治犯罪的必要性和及时性考虑,存在上述情形时,可以将上游犯罪作为洗钱犯罪的案内事实进行审查,根据相关证据能够认定上游犯罪的,上游犯罪未经刑事判决确认不影响对洗钱罪的认定。 ::: :::
::: steps
-
==虚拟货币风险:=={.important}
中国整体监管对于虚拟货币为禁止态度。《关于进一步防范和处置虚拟货币交易炒作风险的通知(银发〔2021〕 237 号)》:确定(1)“虚拟货币”不具有与法定货币等同的法律地位,不能作为货币在市场上流通使用。(2)“虚拟货币”相关业务活动定性为非法金融活动(包括境外“虚拟货币”交易所通过互联网向我国境内居民提供的服务),提示公众参与“虚拟货币”投资交易活动存在的法律风险。(3)严厉打击“虚拟货币”相关的非法金融活动以及犯罪活动。在禁止金融机构、非银支付机构、互联网企业为“虚拟货币”相关业务活动提供服务的同时,要求加强对“虚拟货币”相关的市场主体登记和广告管理。
-
==代币发行的风险:=={.important}
《关于防范代币发行融资风险的公告》规定 ICO 为未经批准非法公开融资的行为,明确了代币的非货币属性,并禁止各类代币交易所的兑换、买卖、定价和信息中介服务。
-
==挖矿的风险:=={.important}
《关于整治虚拟货币“挖矿”活动的通知》《关于进一步防范和处置虚拟货币交易炒作风险的通知》规定,虚拟货币“挖矿”活动属于高能耗、高排放、低贡献的淘汰类产业,被全面禁止。虚拟货币相关全部业务活动均属于非法金融活动。境外交易所向境内居民提供服务同样非法。
:::
随着区块链、Web3 等新兴技术的普及,越来越多的学生开始接触加密货币、数字钱包、远程实习和线上面试。然而,网络空间的“黑暗森林”法则同样适用于每一位新手:只要你暴露在网络世界,就有可能成为攻击者的目标。尤其是学生群体,因经验不足、警惕性不高,极易成为网络攻击的受害者。
本节将结合真实案例,系统梳理常见的网络安全风险、攻击方式、攻击手段与后果,帮助大家建立基本的安全防范意识。
::: steps
-
==钓鱼攻击(Phishing)==
钓鱼攻击是最常见、最有效的网络攻击手段之一。攻击者通过伪造官方网站、社交账号、邮件、短信等,诱导受害者点击恶意链接、输入敏感信息(如助记词、私钥、账号密码),或下载恶意软件。
- 伪造邮件/网站: 攻击者会仿冒知名企业、学校、项目方的邮箱或网站,发送“面试通知”“奖学金发放”“账号异常”等紧急信息,诱导你点击钓鱼链接。
- 社交平台钓鱼: 在微信群、QQ 群、Telegram、Discord 等社群中,冒充官方人员、HR、学长学姐,发布虚假招聘、空投、福利活动。
- 假冒客服/好友: 通过盗号、伪造头像昵称等方式,冒充你信任的人,诱导你转账或泄露信息。
==典型案例=={.danger}
::: card 案例 1:面试钓鱼——“请提前安装我们内部视频软件”
小刘投递实习后收到
技术面试助手.zip,被要求提前安装。木马运行后立刻弹出面试界面并录制屏幕,后台却上传浏览器 Cookie 与桌面文件。面试结束第三天,他的校招邮箱被用来群发垃圾,校园统一身份认证也被盗登。最新真实案例:https://x.com/evilcos/status/1947852713309704687
教训: 正规企业面试基本使用 Web 会议;若必须安装客户端,先在虚拟机测试;安装前查询 SHA256 摘要、阅读权限提示。 :::
::: card 案例 2:奖学金钓鱼——“填写信息领取 200 USDT”
在某学习交流群,有人冒充学校合作方,发布“奖学金空投”表单和网页。网页要求连接钱包并签名“验证学生身份”。实际上,签名内容被攻击者利用,直接盗走了钱包内的全部资产。 :::
==攻击后果=={.danger}
- 钱包资产被盗,无法追回
- 个人信息、账号密码泄露,导致二次受害
- 电脑被植入后门,长期处于被监控、被操控状态
-
==恶意软件/木马(Malware & Trojan)==
==攻击方式与手段=={.danger}
- 伪装成面试/学习软件: 攻击者将木马程序伪装成“面试专用软件”“学习资料”“破解工具”等,诱导学生下载安装。
- 剪贴板劫持: 木马常驻后台,监控剪贴板内容,一旦检测到钱包地址,自动替换为攻击者地址。
- 浏览器扩展/插件后门: 通过伪装成热门插件,窃取浏览器中的敏感数据。
- 远程控制: 木马获取系统权限后,可远程操控电脑,窃取文件、录屏、键盘记录等。
==典型案例=={.danger}
:::card 案例 3:虚假面试软件投毒
某学生在 BOSS 直聘上收到“区块链公司”面试邀请,对方发来“公司专用视频会议软件”。安装后,电脑被植入木马,所有钱包文件、浏览器 Cookie、密码管理器数据被上传到攻击者服务器。几天后,学生发现自己的 Telegram、邮箱、交易所账号全部被盗,资产损失惨重。 ::: ::: card 案例 4:剪贴板木马
学生在网上下载了“免费论文查重工具”,实际为木马。之后每次复制钱包地址准备转账时,地址都会被悄悄替换为攻击者的地址,导致多次转账失败或资产被盗。 :::
==攻击后果=={.danger}
- 钱包助记词/私钥泄露,资产被盗
- 账号密码、隐私文件被窃取
- 电脑被远程操控,成为“肉鸡”或被勒索
-
==社交工程攻击(Social Engineering)==
==攻击方式与手段=={.danger}
- 冒充 HR/导师/同学: 通过社交平台、邮件、电话等方式,冒充你信任的人,获取信任后诱导你操作。
- 群聊钓鱼: 在微信群、QQ 群、Telegram、Discord 等群聊中,冒充管理员、官方人员,发布钓鱼链接或虚假活动。
- “好友”求助: 盗取你好友账号后,以“急需用钱”“帮忙测试”“转发链接”等理由诱导你转账或点击恶意链接。
==典型案例=={.danger} ::: card 案例 5:社交平台假冒好友
小李在 Telegram 上收到“学长”发来的消息,称有一份区块链实习内推机会,需要他填写表单并连接钱包验证。小李信以为真,结果钱包被盗,损失惨重。 :::
==攻击后果=={.danger}
- 个人信息、账号密码泄露
- 钱包资产被盗
- 被利用为“跳板”,继续攻击他人
-
==供应链/第三方依赖攻击==
==攻击方式与手段=={.danger}
- 恶意浏览器插件/扩展:攻击者在 Chrome 商店等平台上传带有后门的插件,诱导用户安装。
- 开源库后门:攻击者在常用开源库、依赖包中植入恶意代码,影响大量下游用户。
- 官方渠道被劫持:即使是“正规商店”下载的软件,也可能因被攻击而批量感染。
==典型案例=={.danger} ::: card 案例 6:浏览器插件后门
某学生在 B 站看到“提高交易效率的插件”视频,随文案链接安装了假插件。该插件在每次发起转账时将“收款地址”替换为攻击者地址,造成 ETH 与 NFT 共计 0.8 万美元损失。
教训:浏览器只认官方商店;更新要核对开发者与下载量;转账前仔细校验地址前后 4 位。 :::
==攻击后果=={.danger}
- 大量用户同时中招,损失巨大
- 难以追查源头,防不胜防
-
==地址污染与扫描木马(Clipper/Scanning Bots)==
==攻击方式与手段=={.danger}
- 剪贴板劫持:木马监控剪贴板,一旦检测到钱包地址,自动替换为攻击者地址。
- 输入框监听:恶意软件监听浏览器或输入法,实时获取输入内容。
==典型案例=={.danger} ::: card 案例 7:转账地址被劫持
学生在转账学费时,复制粘贴钱包地址,实际被木马替换为攻击者地址,导致资金直接转入黑客账户,无法追回。 ::: ==攻击后果=={.danger}
- 资金转入错误地址,无法找回
- 多次转账均被劫持,损失加剧
-
==传统隐私与账号安全风险==
==攻击方式与手段=={.danger}
- 弱密码/密码复用:多个平台使用相同密码,一旦某个平台泄露,其他账号也被攻破。
- 邮箱/SIM 卡劫持:通过社工、运营商漏洞等手段,劫持你的邮箱或手机号,重置所有账号密码。
- 双因素认证缺失:未开启 2FA,账号易被盗。
==典型案例=={.danger} ::: card 案例 8:邮箱被盗导致全盘失守
学生邮箱被钓鱼邮件攻破,攻击者通过“找回密码”功能,重置了其所有社交、交易所、钱包等账号密码,造成全部资产和隐私信息泄露。 :::
==攻击后果=={.danger}
- 所有账号被盗,资产损失
- 个人隐私、学习资料、证件等被泄露 :::
::: steps
-
面试/实习相关
- 只用官方 Zoom/Teams/腾讯会议等公开工具,拒绝安装任何“专用面试软件”
- 核实面试邀请邮箱、域名、联系人,多渠道确认
- 遇到“提前安装软件”“下载资料包”等要求,务必警惕,先查官网/Google/知乎/Reddit 等是否有安全警告
-
奖学金/空投/福利活动
- 任何要求“连接钱包”“签名验证”“输入助记词/私钥”的网页,99% 是骗局
- 空投、福利只用专门测试钱包,主钱包冷存储,绝不轻易暴露
- 收到“缴费”“奖学金调整”类消息时,先拨打官网热线复核;校园通知留意域名是否官方主域。
-
社交平台/群聊
- 不轻信群内“官方人员”“管理员”“学长学姐”的私聊和链接
- 遇到“帮忙测试”“转发链接”“紧急转账”等请求,务必多方核实
-
软件/插件安装
- 所有软件、插件只从官网、官方应用商店下载
- 安装前先查口碑、用户数、是否有安全警告
- 浏览器插件控制在 3 个以内,且只用官方钱包、密码管理器、广告屏蔽器
- 面试/竞赛前索要安装包时,要求公开 MD5 与官网对比;核查数字签名颁发者和时间戳。
- 开启系统防火墙、浏览器插件权限管理;对摄像头与麦克风按需授权。
-
账号与密码安全
- 重要账户启用 2FA(短信易被劫持,优选谷歌验证或硬件密钥);不要在同一浏览器里保存助记词与日常 Cookie。
- 使用密码管理器(如 1Password、Bitwarden),每个平台设置独立强密码
- 邮箱、手机号安全重于一切,定期更换密码,防止被劫持
-
钱包与转账
- 转账前务必核对地址前 6 位和后 4 位,防止剪贴板被劫持
- 助记词/私钥只离线保存,绝不截图、上传网盘或发给任何人
- 定期检查钱包授权,及时取消不必要的授权(可用 Revoke.cash、Etherscan 等工具)
:::
::: important 遇到疑似攻击第一时间断网、截屏、拍照、记录时间点并寻求校内信息中心或专业社群帮助。 :::
区块链技术的出现诞生了我们现在所处的行业,无论你如何称呼这个行业,链圈、币圈、区块链、加密货币、虚拟货币、数字货币、Crypto、Web3 等等,一切的核心几乎都还是围绕区块链。最热闹的都与金融活动有关,比如币这个玩意,包括非同质化代币(NFT,也叫数字藏品)。
这个行业有超凡的活力与吸引力,但存在太多作恶方式。由于区块链的一些独特性,也出现了些比较独特的作恶方式。这些作恶方式大体包括:盗币、恶意挖矿、勒索病毒、暗网交易、木马的 C2 中转、洗钱、资金盘、博彩等等。
::: steps
-
高级攻击方式其实真很多,大多在大众视角下无非就是:我被钓鱼了。但这钓鱼可真高级了,比如:
https://twitter.com/Arthur_0x/status/1506167899437686784
黑客通过邮件发送钓鱼,邮件里附带的文档是:
A Huge Risk of Stablecoin(Protected).docx这确实是一份很有吸引力的文档... 但这份文档打开后电脑就可能被植入木马(一般通过 Office 宏脚本方式或 0day/1day),这类木马一般都会包括如下常规功能:
- 各种凭证采集,如浏览器的,SSH 有关的等,这样黑客就可以把触手伸向目标用户的其他服务。所以中毒后,一般都会建议用户不仅目标设备清理干净,相关账号权限该改的都需要及时更改。
- 键盘记录,尤其采集那些临时出现的敏感内容,如密码等。
- 相关截屏、敏感文件采集等。
- 如果是勒索病毒,进一步的就是将目标设备上的文件都高强度加密了,等待受害者来支付赎金,一般是支付比特币。但这里不是勒索病毒,毕竟勒索病毒的动作太大了,意图直接粗暴。
-
来自“官方”的钓鱼
坏人真的善于借势搞事,尤其是借官方的势。能仿冒就尽量仿冒得很像很像,如上面提过的假客服。还有如 2022.4 出头,Trezor 这款知名的硬件钱包的许多用户就收到来自 trezor.us 的钓鱼邮件,实际上 trezor.us 并不是 Trezor 官方域名。Trezor 官方域名只是 trezor.io。仅仅域名后缀不一样。另外钓鱼邮件里传播了如下域名:
https://suite.trẹzor.com
这个域名是有“亮点”的,仔细看那个
ẹ并不是英文字母e。非常的迷惑性,实际上这是 Punycode,标准说明是这样的: ::: card A Bootstring encoding of Unicode for Internationalized Domain Names in Applications (IDNA) 也就是国际化域名编码,可以表示 Unicode 码和 ASCII 码的有限字符集。 ::: 如果把 trẹzor 解开后的样子是这样:xn--trzor-o51b,这才是真身!Punycode 这种钓鱼方式,几年前就有真实利用了,比如 2018 年时,币安的一些用户就中招过。
这种域名看去很像的钓鱼就可以让许多人上当,更别提更高级的攻击方式,比如一些官方邮箱被控制,还有一种用户邮箱 SPF 配置问题导致的邮件伪造攻击。在用户眼里看到的邮件来源就是一模一样的官方特征。
如果是内部人作恶,那用户就自求多福了。项目方内部的安全风控一定要特别重视人员安全,这永远是最值得花成本、花精力去建设的。人是最大的那只特洛伊木马,但却最容易被忽视。有的人安全意识实在太差,在安全上又不思进取。这种人,谁招谁倒霉。 :::
- 区块链安全红手册(项目方):https://www.slowmist.com/redhandbook/
- 区块链黑暗森林自救手册:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md
- Revoke.cash 授权管理:https://revoke.cash/
- Scam Sniffer 钓鱼检测:https://www.scamsniffer.io/
- 1Password 密码管理器:https://1password.com/
- Bitwarden 密码管理器:https://bitwarden.com/
- SlowMist Hacked 区块链被黑档案库,大量的案例索引:https://hacked.slowmist.io/
- 反钓鱼攻防学习平台:https://unphishable.io/
作者:黄文颖、邵诗巍|曼昆律所、vivi、慢雾:区块链黑暗森林自救手册节选、Blocksec 排版:Echo