從跨鏈橋Multichain被抓說起：做跨鏈項目，要注意哪些法律風險？

作者：劉紅林、金鑑智

華人跨鏈橋計畫Multichain 因涉及刑事犯罪，執行長等人被中國警方帶走調查，一夜之間代幣暴跌。旨在解決不同區塊鏈之間價值互通的跨鏈技術，在中國真的不能創業嗎？

創辦人被抓，專案被迫停止運營

2023 年5 月21 日，知名的跨鏈計畫Multichain 執行長Zhao Jun 被國內警方從家中帶走，並與全球Multichain 團隊失去了聯繫。團隊聯繫了MPC 節點營運商，得知他們對MPC 節點伺服器的操作存取金鑰已被撤銷。

隨後，專案組與Zhao Jun 的家人取得了聯繫，並了解到Zhao Jun 的所有電腦、手機、硬體錢包和助記詞都被沒收。自專案啟動以來，所有營運資金和投資者的投資都由Zhao Jun 掌控。

6 月4 日，Zhao Jun 的家人成功登入了雲端伺服器平台上的家用電腦，並只允許Multichain 團隊工程師物理存取家庭電腦來修復Router2 和Router5 的技術問題。

7 月9 日，Zhao Jun 的姐姐轉移了路由器池中剩餘的用戶資產，並隨後通知了團隊和多個專案方。這些資金被轉移到了Zhao Jun 姐姐控制的EOA 地址。

7 月13 日，根據Zhao Jun 家屬提供的情況，警方將Zhao Jun 的姐姐帶走。

根據慢霧監測，自7 月7 日以來，從Multichain 流出的資金總額高達2.65 億美元，分佈在Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中6,582 萬美元已經被Circle 和Tether 凍結，1,296,990.99 ICE（約162 萬美元）被Token 發行者Burn。

根據公開訊息，Multichain 成立於2020 年7 月，並在2021 年12 月獲得了6,000 萬美元的融資。投資機構包括Binance Labs、Sequoia Capital、IDG Capital、三箭資本、DeFiance Capital、TRON Foundation、Hashkey Capital、Circle、Hypersphere Ventures、Primitive Ventures 和Magic Ventures。

區塊鏈跨鏈是什麼？

公鏈的快速發展與區塊鏈技術的日益普及和創新密不可分。根據誇張數據，目前存在的公鏈可能高達數百條，不同的區塊鏈之間存在不同的通訊協議、共識規則和治理模型。知名公鏈包括比特幣、以太坊、Solana、幣安智能鏈（BSC）等，除此之外，還有許多其他基於不同共識機制和技術架構的公鏈項目。每條公鏈都有其獨特的特點、優勢和應用場景。因此不同區塊鏈之間的互通性，讓用戶在鏈與鏈之間實現資產與資訊轉移的跨鏈技術成為必然產物。

跨鏈技術是區塊鏈產業中的關鍵技術，旨在解決不同區塊鏈之間的資料流通、資產轉移和價值互通問題。跨鏈技術的底層技術比較複雜。非技術人員可以用一個簡單的例子來理解跨鏈技術。多數情況下，當使用者要把資產從A 鏈跨到B 鏈時，需要先把資產存到跨鏈技術在A 鏈的指定位址中，接下來，當橋的偵測者收到這一訊息時，會在鏈B 鑄造等量的封裝資產（wrapped token），或透過在目標鏈建立資金池把跨鏈資產轉換成目標鏈的原生資產，最後把錢打到用戶在鏈B 的帳戶中。

跨鏈技術最受關注的問題是安全性問題。對於跨鏈的創業者來說，除了專案要安全，人身也要安全。

項目被攻擊的法律風險

跨鏈技術領域的安全事故並不少見。 2021 年7 月3 日，Chainswap 跨鏈專案的合約遭到攻擊，部分用戶代幣從與ChainSwap 互動的錢包中取出，總損失約80 萬美元。 2021 年7 月12 日，Anyswap 新推出的V3 跨鏈流動性池也遭到駭客攻擊，總計損失超過787 萬美元。 2021 年8 月，Poly Network 宣布主網被駭客攻擊，用戶在BSC、以太坊和Polygon 三條區塊鏈上的資產總計被轉移6.1 億美元，成為迄今金額最大的DeFi 安全事件。

由於區塊鏈技術本質上是去中心化的，在智慧合約出現缺陷或漏洞導致損失時，確定責任方可能非常困難。在使用者資產遺失的情況下，跨鏈的專案方是否要承擔相關責任是個比較複雜的問題。

對此，專案方可以提前做的有兩件事：

1.智能合約安全審計。確保智能合約經過安全審計，從技術上以防止漏洞和攻擊。大部分跨鏈技術本身是跟金融直接打交道的，關乎用戶的資金，所以跨鏈技術協議的設計和實現需要從一開始就將安全考慮進去，而且無論多嚴謹都不為過。另外，協議最好透過至少兩家安全審計公司進行審計，從而減少安全風險。不引入非必要的管理員身份，同時限制協議部署者和管理員的權限，防止因為單一帳戶洩露而導致整個協議的全部資金陷入安全隱患。

2.寫好合約。確保專案方與合作夥伴、投資者和使用者之間的使用者協議、合約條款清晰明確，盡量在文本中規定在出現安全事故時各方的責任和義務，以及用戶資產遺失情況下的賠償機制。

項目發幣的法律風險

絕大多數的跨鏈項目會有自己的項目代幣。跨鏈創業家必須了解的是，不同國家和地區對於區塊鏈和加密貨幣的法律框架差異巨大。例如，美國證券交易委員會（SEC）可能將某些代幣視為證券，而歐盟則可能有完全不同的分類。這意味著，在設計和實施跨鏈解決方案時，必須考慮到各種法律要求和監管框架。

發幣在中國更是敏感的問題。 2017 年9 月4 日，央行等七部會發布《關於防範代幣發行融資風險的公告》，明確指出代幣發行融資本質上是一種未經批准非法公開融資的行為，涉嫌非法發售代幣票券、非法發行證券以及非法集資、金融詐騙、傳銷等違法犯罪活動，要求自公告發布之日起，各類代幣發行融資活動應立即停止，已完成代幣發行融資的組織和個人應當做出清退等安排。

若專案方面向中國內地用戶發行代幣，屬於監管的高壓電線。

KYC、KYT 和AML

引言中的Multichain 被抓，據公開媒體報道，其涉及為犯罪集團洗錢，金額巨大。由於跨鏈技術本身的一些特性如匿名性和難以追踪，使得其容易被犯罪集團盯上成為洗錢的工具。

具體而言，跨鏈技術因為涉及多個不同的區塊鏈網路之間的資產轉移，其中一些網路可能具有更高的匿名性和隱私保護功能，如零知識證明或隱私幣，這使得洗錢者可以更輕鬆地隱藏其資金流動的來源和去向。同時，跨鏈涉及多個區塊鏈網路之間的資產轉移，追蹤和監視這些交易變得更加複雜。一些跨鏈協議設計也使得交易記錄更難以被追蹤或監視，從而為洗錢活動提供了更多的機會。

歐科雲鏈研究院統計數據顯示，洗錢、詐騙、傳銷、賭博是2022 年最常見的四種虛擬貨幣犯罪形式，其中54.72% 的虛擬貨幣犯罪與洗錢相關，21.13% 與詐騙相關。

各國政府不喜歡虛擬貨幣，很重要的原因是它被壞人給用壞了。一旦犯罪集團被監管部門盯上，為犯罪集團的犯罪資產提供幫助的跨鏈項目自然也無法脫離幹系。而跨鏈項目肯定無法以技術中立為自己辯護。 2022 年8 月，美國財政部外國資產管制辦公室(OFAC) 曾製裁混幣器Tornado Cash，根據制裁文件顯示，Tornado 自2019 年創建以來已用於清洗價值超過70 億美元的加密資產，其中包括朝鮮駭客組織Lazarus Group 從兩個區塊鏈應用中竊取的超過4.55 億美元的加密資產。

而做好KYC 和AML 可以有效降低前述風險。

KYC（了解你的客戶）：設計和實施有效的KYC 流程是確保業務合規的第一步。這包括收集和驗證使用者的身份信息，如姓名、地址、身份證件和其他相關資料。確保KYC 流程符合當地法律法規的要求，並進行持續的更新和審查。需要注意的是，在收集、處理前述個人資料時，需要確保遵守隱私法規，明確告知使用者資料收集和使用方式。 KYC 更適合法幣世界，而KYT 更適合區塊鏈世界。

KYT（Know Your Transaction）：KYT 是一種金融機構用來監控和追蹤金融交易是否有詐欺或可疑活動的過程，KYT 可以幫助金融機構識別每筆交易的來源和去向，評估交易風險，採取相應的措施，以及向監管機構報告可疑交易。 KYT 與傳統金融領域常用的KYC 有所不同。 KYC 主要關注客戶的身份訊息，更關注特定個體/ 機構的靜態身份，而KYT 主要關注客戶的動態交易過程。如果說在傳統金融領域，KYT 現階段是加分項，但在虛擬資產交易中，KYT 或許將成為應對風險的必需品。

原因在於，在區塊鏈世界中，類似去銀行開戶需要提供一大堆身分認證資料的環節是沒有的，幣圈人在帳號開通上的原則是萬事不求人，自己隨便開，而且可以匿名創建無數個鏈上地址，這種情況下，透過一串亂碼似的錢包地址你很難知道對方的真實身份到底是哪個人，更別提反洗錢防範了。 KYT 將幫助區塊鏈的使用者識別哪些地址和交易存在風險，找到可疑非法交易的黑地址，並能順著黑地址追溯到交易的起點和終點。可疑的交易行為、暗網中的交易地址、它的關聯地址們、某個地址在交易所的KYC 記錄等資訊可以將鏈上地址與對應的實體聯繫起來，從而將匿名的鏈上世界和實名的線下身份進行連結。

AML（反洗錢）：實施有效的交易監控機制，以識別和報告任何可疑或異常交易活動。利用科技工具和系統來監控客戶的交易模式、資金流動和風險行為，並及時採取必要的措施進行調查和報告。

有效的KYC、KYT 和AML 措施可以降低與洗錢、恐怖主義融資和其他金融犯罪相關的風險，並建立信任和聲譽，在保障項目方安全的基礎上，為業務和用戶提供更安全和可靠的環境。

小結

隨著越來越多的國家和地區將虛擬資產反洗錢納入監管範圍，涉及虛擬資產發行和流轉的機構們都不可避免地需要透過KYT 來補充KYC 的盡調工作，以滿足監管部門對合規要求。

跨鏈創業家在追求技術創新和商業模式探索的同時，必須將法律風險管理視為重中之重。這樣，才能確保自己的安全，只有在自己安全的基礎上，才有專案的長期發展和使用者資產的安全。