2024年11月16日,加密貨幣交易平台DEXX因遭到駭客攻擊,相關消息稱,被駭客竊取的用戶資產逾上億美元,不少用戶損失龐大,相關維權群也迅速組成。作為一個國人經營的新興加密貨幣交易平台,其迅速崛起得益於許多KOL的廣泛推廣。
那麼有關本次安全事件,平台方和KOL的法律風險有哪些?對於用戶損失,他們需要承擔哪些責任?
作者|邵詩巍律師
0 1、 DEXX平台用戶資金被竊事件
DEXX作為一個支援多鏈資產交易的Memecoin平台,涵蓋了SOL、ETH、TRX、BASE和BSC等多個鏈上資產。根據官網介紹,其擁有鏈上行動止盈止損、熱點概念推播、聰明錢包追蹤推播、翻倍出本、一鍵防夾、一鍵跟買跟賣等功能。因DEXX介面因為和幣安比較相似,所以有KOL也稱為鏈上幣安。
11月16日凌晨,DEXX回饋被駭客攻擊,多名用戶報告其錢包資產被不明轉移。區塊鏈安全審計公司CertiK表示,事件的主因是DEXX平台私鑰管理不當,導致官方私鑰外洩。慢霧科技創辦人餘弦也在推文中提到,「被竊族群與用DEXX做沖土狗/炒MEME有關,私鑰屬於DEXX中心化託管,肯定洩漏了」。
有人調查發現,DEXX有私鑰明文傳輸的漏洞。這意味著用戶的私鑰是儲存在DEXX伺服器上,如果系統受到攻擊,駭客可以輕易取得用戶的私鑰,進而盜取資產。
0 2、 DEXX平台的崛起得益於KOL們的推廣
DEXX的成立時間並不長,該平台用戶量的快速增長和推特上眾多中文KOL們的廣泛推廣有很大的關係。
據DEXX官網顯示,平台推廣返傭比例高達交易手續費的60%。
(返傭排行榜)
本次事件發生後,不少KOL也開始刪除推廣貼子,並與平台迅速劃清界限,表明立場。
0 3、對於本次事件,平台方可能的法律責任有哪些?
首先,DEXX平台作為一個國人運作的,且面向我國境內公民開放的加密貨幣交易平台,鑑於2021年的924通知已規定,虛擬貨幣相關業務屬於非法金融活動,境外虛擬貨幣交易所透過網路向我國境內居民提供服務同樣屬於非法金融活動。由此,本次事件無論是“監守自盜”還是“意外事件”,平台都存在極大的刑事風險。
其次,經比特叢林監測系統深入技術分析,DEXX交易平台有以下嚴重安全問題:
私鑰儲存:DEXX平台雖然自稱不是託管錢包,卻記錄了用戶的私鑰,一旦系統遭受攻擊,駭客可輕鬆取得用戶私鑰,從而盜取用戶資產。
私鑰匯出明文傳輸:DEXX平台在用戶匯出私鑰時未採取任何加密措施,導致私鑰在傳輸過程中以明文形式暴露,極易被駭客截獲。
在事實未查明之前,我們暫且不討論平台對於本次事件是否是“監守自盜”,但僅就上述安全問題,平台違反了我國《網絡安全法》所規定的網站和平台有保護用戶信息安全的法律義務。平台明文傳輸用戶密碼導致資訊洩露,也構成了對用戶的侵權行為。
另外,雖然明文傳輸本身可能並非犯罪行為,但如果因此造成嚴重後果,根據刑法規定,平台責任人可能涉嫌非法取得電腦資訊系統資料罪、侵犯公民個人資訊罪等刑事犯罪。
0 4、 KOL是否有相關法律責任?
根據924通知,「境外虛擬貨幣交易所透過網路向我國境內居民提供服務同樣屬於非法金融活動。…明知或應知其從事虛擬貨幣相關業務,仍為其提供行銷宣傳…等服務的法人、非法人組織和自然人,依法追究有關責任。
KOL利用其自身在幣圈中的公信力和影響力,在推特等社交媒體平台中,將DEXX平台稱作“鏈上幣安”,大力進行宣傳推廣,賺取高額佣金收益,其行為違反了上述規定。
邵律師曾在《 幣圈KOL為專案方做推廣,法律風險有哪些? 》一文中提到,KOL為加密貨幣交易平台宣傳推廣,可能會涉嫌詐欺罪、開設賭場罪、組織、領導傳銷活動罪等,並在文中列舉了多個案例。
但就DEXX平臺本次的安全事件而言,最容易觸碰的刑事罪名則是有「口袋罪」之稱的非法利用資訊網路罪(非信罪)。非信罪有別於其他罪名最明顯的特徵,就是對於資訊網路的利用,傳播訊息僅透過線上的網路方式實施。正如邵律師在《 一個幣圈創業家需要格外重視的罪名-非法利用資訊網絡罪(二) 》一文中曾提到的,可能很多Web3創業家對於國內不能開交易所,不能發幣,不能挖礦等常識性法律規定是知道的,但對於幣圈相關資訊資訊的發布、推廣,一般不認為存在法律風險,但一旦所推廣的專案出問題了,資訊的發布者就存在法律風險。
0 5、相關建議
對於平台方來說,對於本次事件,若確實存在平台方“監守自盜”,那麼相關責任自不必說。若確實是被駭客攻擊的意外事件,鑑於平台方對此確實存在儲存用戶私鑰、用戶匯出私鑰明文傳輸等行為,未能有效保護用戶資訊安全,導致用戶資產受損,建議平台持續更新調查進展,包括技術漏洞的詳細分析,並能夠主動承擔責任,明確對用戶損失的賠償機制和具體措施。
對於KOL來說,本身就是依靠自身的影響力為平台所做的推廣,粉絲也是基於對於KOL的信任選擇相信KOL的推廣信息,所以,無論本次事件中平台方究竟為何種責任,作為KOL,建議主動承認事件後續的連帶影響,積極協助用戶維權,在合法範圍內為用戶提供幫助,例如整理用戶損失數據、協助用戶與平台溝通解決方案等,當然,若條件允許的情況下,建議KOL盡自己所能對於用戶作出一定的補償。因為即使KOL沒有因推廣行為被定性需要承擔法律責任,主動補償的動作也能夠顯示出KOL對使用者權益的重視和對自身推廣行為的負責態度,並且,客觀上來看,補償行為也可以有效減少相關用戶採取進一步法律行動的可能性。