KryptoGO Wallet as Your Keychain

Not your key, not your coin. (不是你的鑰匙,不是你的幣。)

這是一句在幣圈中經常看到的一句話,意味著如果你自己沒有擁有私鑰,那麼所有的貨幣、代幣等虛擬資產都不會是真正屬於你的。

什麼是「我的鑰匙」?

與銀行帳號類似,加密貨幣被發送到接收地址。該地址的技術術語是 公鑰 。當有人向你發送一些比特幣時,他們會將其發送到你的公鑰。它被稱為公開,因為你可以將其發送給任何人而不會損害你的加密貨幣。

--

--

很榮幸作為「信賴科技與數位資產」的專家受邀。

為 2035 科技前瞻,探討台灣 2035 遠景及社會、科研、環境、經濟、政治及戰略五大面向關鍵議題。舉辦科學技術白皮書(112~115) 經濟面議題分群會議,針對國際性議題,包括:供應鏈韌性與布局、綠色經濟(含綠色製造、綠色數據經濟)、信賴科技與數位資產三項議題探討。

關於我國未來發展的重要性議題

(一)針對新的金融科技範疇,如何對其進行監理尚無眉目

  • 監管法院與機構定位:在我國,針對虛擬通貨是否納入管理,除洗錢防制部分外 ,亦尚未有定見。
  • DeFi(去中心化金融)生態系與傳統法規係以「單一行為主體」的機構型監理,透過特許制及集中市場予以監管,兩者即產生強烈衝突。監管者無從沿用傳統法規,使「不存在之主體」課予責任。

(二)隨著個人資料保護的意識提升,如何在避免人格、隱私權受侵害的前提下,促進資料的合理利用以提升監管科技的效率。

  • 科技風險與容錯處置能力:生物辨識有可能產生不同之錯誤,如接受誤差率及拒絕誤差率,科技風險將由誰來承擔?每家銀行體質不一樣,風險承擔能力亦不同。
  • 金融交易資料的定義、範圍與存儲管理:各家金融機構或第三方服務業者蒐集客戶重大個資資料後,要放置何處?
  • 監管科技利用資訊技術,整合監理制度與法規要求,提供分析與管理的工具當中可能會接觸並運用到個人資料執行法令遵循管理。
  • 指紋紀錄、臉部辨識等等,仍存有法律及道德爭議。故主管機關須要求企業組織建立個人資料或資訊安全之管理制度、内部控制或稽核作業程序、規範,亦須針對相關法令規範,做出明確定義。

根據上述重要議題,待解決的困難與挑戰(政策缺口)

研擬虛擬通貨相關法令應兼顧金融創新與風險控管虛擬通貨所使用的區塊鏈或分散式帳本技術,將是未來金融科技發展的重要趨勢,應用面之影響恐會深遠廣泛,故深受各國重視。臺灣若要在國際金融科技競技場上領先,除應加強相關風險控管措施,如洗錢、資恐、使用者權益等,更應積極推動金融創新,建議參酌美國及日本等先進國家規範,加速制定並完善相關規範,包含規定交易平台採實名制以有效控制風險,從法律上確立虛擬通貨的合法地位,並讓交易所有更明確的標準遵循,保障交易大眾的權益 。

政府應該成立金融科技專責機關整合研議相關管理法令針對虛擬通貨的管理,在洗錢防制部分,主管機關應是法務部調查局,「虛擬通貨業」屬金融科技業,金管會為金融科技業主管機關,則有關金融科技發展部分自應由金管會負責無疑。虛擬通貨業作為新興行業之一,經濟部則應配合訂定業別和業別代碼,以利公司登記。

金管會雖是金融科技業主管機關,然而目前似無相對應的人力編制與預算編列,尤其金融科技涉及領域甚多,在研議相關管理法令時,更需要整合各主管機關規範。以虛擬通貨為例,除洗錢及資恐等方面,相關主管機關已有因應外,但在虛擬通貨的稅務申報方面,則因其屬性究竟為何尚有未明。此外,虛擬通貨是否屬於應課徵營業稅範疇的商品或勞務、價格如何決定、若涉及跨境交易,尚須考量各國家或地區的課稅規範,並注意潛在跨境衍生的功能風險配置及移轉訂價等以上總總議題 ,也有待各相關主管機關共同研議,以做為財政部研議對其課稅的依據。

未來需要法令遵循之加速器,如主題式監理沙盒進而建構相關法規,並提供監理官足夠之資源,監管科技利用資訊技術,整合監理制度與法規要求,提供分析與管理的工具當中可能會接觸並運用到個人資料執行法令遵循管理,例如:指紋紀錄、臉部辨識等等,仍存有法律及道德爭議。

故主管機關須要求企業組織建立個人資料或資訊安全之管理制度、内部控制或稽核作業程序、規範、金融交易資料的定義、範圍與存儲管理,亦須針對相關法令規範,做出明確定義。

值得台灣借鏡的作法與因應策略

針對使用者資料保護的部份,可以參考世界先行者歐盟的相關作法:

  1. 從歐盟GDPR 看全球隱私與安全保護發展趨勢
  2. Blockchain and the General Data Protection Regulation

針對虛擬通貨,可以參考已經對虛擬通貨有明確監管規範的國家學習以促進我國的法律確定性,並明確監管制度,提高基於區塊鏈的應用相關的領域的重要性。

有明確監管規範的國家,如:

  • 美國:美國 SEC 敦促國會立法,給予SEC對數位資產更多的監管權。同時,SEC還在致力於牽頭建立一個針對加密資產的廣泛監管框架,使得美國多個監管機構明確劃分出市場監管範疇進而各司其職,乃至全部數位資產納入監管。
  • 加密貨幣交易所:主要由美國金融犯罪執法網絡(FinCEN)進行監管,側重點在資金轉移和反洗錢(AML)。根據《銀行保密法》,FinCEN監管貨幣服務企業(MSB)。 2013年3月,FinCEN發布指南,確定加密貨幣交易服務提供商為MSB。在此框架下,加密貨幣交易平台須獲得FinCEN許可,實施全面的反洗錢風險評估和報告機制
  • 加密衍生品:美國商品和期貨交易委員會(CFTC)將加密貨幣視為商品,根據《商品交易法》,加密貨幣期貨、期權和其他衍生合約交易必須在CTFC監管的交易所公開交易。芝加哥期權交易所和芝加哥商品交易所提供與比特幣價格掛鉤的期貨交易• 加密投資稅收:美國國稅局將加密貨幣視為財產而進行徵稅。公民個人而言,作為資本資產持有加密貨幣超過一年、且已實現收益的,均需繳納資本利得稅;持有時間少於一年並獲得收益的,繳納普通所得稅
  • 紐約州:2015年8月率先提出針對加密市場的全面監管框架BitLicense,這也是加密行業最具影響力的牌照。 BitLicense包括關鍵的消費者保護、反洗錢合規性以及網絡安全指南,該法規對任何使用加密貨幣的居住在紐約的公司或個人進行了規定,要求涉及處理涉及虛擬貨幣業務的公司必須申請執照。紐約州還針對加密貨幣託管公司推出了信託憲章(Charter)
  • 懷俄明州:美國對加密貨幣較為友好的地區,頒布了十多項相關法案。其中最有影響力的是2018年3月通過的HB70《開放區塊鏈代幣豁免》法案,其中提出類似“實用代幣”的資產類別。根據該法案,如果發行的代幣不作為投資,僅用於消費目的,如交換、用於接收商品和服務等,則可免除受《聯邦證券法》的約束
  • 日本:2016年5月日本國會通過法案修改《資金結算法》並在17年4月正式生效,使得該法律中增加了“虛擬貨幣”一章,將虛擬貨幣明確為一種結算、支付手段,並具有財產性價值,該法案也明確推出了加密資產交易所監管機制,只有在日本金融廳/財政局註冊的企業才能在該國提供加密貨幣兌換服務;此外,截止2021年,日本在加密資產交易和管理、保證金交易、證券化代幣、加密資產交易稅、加密資產行業自主監管等方面,陸續建立了法律法規。
  • 新加坡:新加坡金融監管局(MAS)是新加坡負責監管加密市場的主要機構,MAS將代幣分為應用型代幣、支付型代幣以及證券型代幣。 2017年,MAS發布《數位代幣發行指引》,對該國數位代幣發行行為進行引導與監管,此後多次修改並在19年推出最新版,其中還提出11個具體案例。根據該指引,在涉及到發行證券性質的代幣時,發行方需要獲得資本市場服務牌照;在涉及到交易證券性質的代幣時,交易平台獲得受認證的資本市場運作者(RMO)牌照;在涉及到提供代幣相關的財務諮詢服務時,該公司需要獲得財務顧問牌照。同時,所有相關業務運營方都應遵守反洗錢和反恐怖融資相關法律的規定。 MAS還在2019年推出了監管沙盒機制,使金融機構和金融科技參與者能夠在真實環境中但在明確定義的空間和持續時間內試驗創新的金融產品或服務
  • 英國:英國負責監管加密市場監管的主要機構的英國金融行為監管局(FCA),重點監管反洗錢和反恐怖主義融資。 2020年1月,FCA獲得監管權力以監督加密資產企業如何管理洗錢和反恐融資風險,自此英國加密資產企業必須遵守《洗錢條例》(MLR) 並向FCA註冊。 FCA認為,證券型代幣是指提供某種權利的代幣,包括所有權地位、償還特定金額的款項、分享未來利潤的權利等,傳統證券所涉及的所有規則都適用於證券型代幣
  • 中國香港:中國香港證監會是中國香港加密資產的主要監管機構,2017年、2019年,其分別就首次代幣發行(ICO)及證券型代幣(STO)發表聲明,明確可代表股份、債權證及集體投資計劃等權益的加密貨幣均被視為“證券”,與證券型代幣相關的交易、諮詢、基金管理、分銷活動都會受到中國香港《證券及期貨條例》的監管。 2019年11月,中國香港SFC發布《監管虛擬資產交易平台立場書》,制定了交易平台發牌制度,並公佈具體發牌條款和條件。

其他參考資料:

--

--

智能合約本身是一種新形態的開發方式,需要仔細且勤奮的審查,才能實作安全、高效的智能合約從而降低漏洞風險。

尤其是 DeFi 在動輒影響數百萬美元的情況下,很多項目都是因為智能合約的漏洞無法持續經營,具體事件可以參考 rekt.news,記錄了過去大部份的 DeFi 資安事件

在軟體開發週期引入適當的工具就可以在監測問題後立即識別並解決問題,最大化安全度以及開發者的生產力,最大限度地降低從智能合約開發週期開始時被黑客入侵的風險。

在區塊鏈開發中,最重要的原則就是盡可能不要重造輪子,使用經歷市場多年驗證的智能合約(例如:不要自己寫一份 ERC20 合約),可以降低被攻擊的風險,預防總是勝於治療。

Ref: The Importance of a Multi-Layered Smart Contract Security Strategy | ConsenSys

第一道防護:自動化安全分析(MythX)

MythX 是一個自動化的安全分析工具,可以進行靜態分析、動態分析和符號執行(Symbolic Execution)。它會發現已知漏洞找到它們的原始碼執行並生成包含所有問題摘要的詳細報告。

MythX 是安全防護中的第一層,用於查找智能合約中的漏洞。它的進入門檻最低,因為你只需在 MythX 網站上創建一個免費帳戶即可開始使用。 就可以在開發週期中持續使用。使用像 MythX 這樣的自動化、易於訪問的工具將消除可避免的漏洞,並通過防止智能合約在後期重寫來最大限度地提高生產力。

第二道防護:插入程式碼標註測試(Scribble)

Scribble 是做 Diligence Fuzzing 的先決條件,它是一種用於編寫特定於智能合約屬性的規範語言,也是一種將 Scribble 屬性轉換為具體的 Solidity 斷言的運行時驗證工具。Scribble 允許其他工具(例如現有的測試套件、 Fuzzer 、和符號執行器)自動測試屬性。

Scribble 是 Diligence 安全策略的第二層。該產品通過插入 Solidity 斷言來檢查開發規範來發現漏洞。Scribble 可以檢測測試套件沒有 Solidity 斷言來檢測的錯誤。使用 Scribble 可以輕鬆記錄程式碼並通過額外的檢查來增強測試套件。

第三道防護:模糊測試(Fuzzing)

Diligence Fuzzing 使用戶能夠在編寫他們的第一個 Scribble 屬性後將自動或半自動生成的亂數據輸入到一個程式中,並監視合約異常,如:斷言(assertion)失敗。

Fuzzing 使用自動測試 Scribble 屬性 的灰盒模糊測試技術。 Fuzzing 顯著提高了智能合約的安全性。Fuzzer 將風險降至最低,並通過執行數百萬個智能選擇的輸入來檢查智能合約是否正在做他們應該做的事情。

第四道防護:單點抽查(Spot Check)

如果使用的是 Solidity,可以透過 Ethereum 基金會提供的開發者建議檢查的安全清單,將過去發生過的常見錯誤,逐項的來抽查合約內容,目標是找出任何總體設計的不一致、以及資安有漏洞之處。

抽查是資安防護的倒數第二層,以準備進行全面的手動安全審計,抽查有助於識別設計不一致以準備審計,並且是對 MythX、Scribble、Fuzzing 和全面審計的補充。

第五道防護:第三方安全審計(Auditing)

最後但並非最不重要的一點是, 全面手動安全審計 是由我們經驗豐富的智能合約安全審計團隊進行的深入代碼審查,他們將手動仔細檢查程式碼以識別漏洞。完整的手動安全審計是安全策略的最後一層。人工審核程式碼可防止啟動後潛在的災難性漏洞。

在送合約審計之前,可以使用完整的智能合約安全審查工具來為審計做準備:Blockchain Security Tools | ConsenSys Diligence ,可以為審計節省很多不必要的費用與時間開銷。

KryptoGO 的 KYABC 包含了自然人、企業法人、以及區塊鏈資金的審查:

Know Your Address:查看我們識別的交易對手區塊鏈地址,包括錢包類型、交易資訊、對應的服務或實體、與風險評分。

Know Your Business:審查交易對手 VASP 的信譽,確保這筆交易與資訊交換是安全可靠的。

Know Your Customer:審查發起人與受益人的身份,合乎反洗錢規範。

並且,通過 KryptoGO 的中繼 API,加密貨幣企業可以自動與受信任的交易對手進行交易,同時為他們提供檢測可疑活動和滿足監管要求所需的數據,在不同的 Travel Rule 協議互通轉發完成交易,幫助我們的客戶能夠大規模地符合 Travel Rule,應對所需的所有挑戰。

--

--