元宇宙系列 | 金融新业态——去中心化金融（DeFi）的法律研究

前言

 

2021年，“元宇宙”无疑是最火的概念。2021年3月，元宇宙第一股Roblox在美国纽交所上市，首日市值超过 380 亿美金；2021年7月，Facebook宣布要在五年内转型成元宇宙公司；2021年8月，芯片巨头英伟达花费数亿美金，推出了为元宇宙打造的模拟平台 Omniverse。国内腾讯、字节跳动等互联网巨头也纷纷加入元宇宙赛道进行战略布局。

 

笔者认为“元宇宙”是人以数字身份参与和生活的可能的数字世界。“身份系统”、“价值系统”以及“沉浸式体验”是元宇宙世界必不可少的三大实现要素。其中，区块链技术成为打开“身份系统”的钥匙；NFT和数字钱包等技术不断完善“价值系统”；VR眼镜、可感知手柄等各类可穿戴设备使得“沉浸式体验”成为可能。因此，笔者认为“元宇宙”并非炒作的噱头，而是可能的将来。

 

鉴此，本团队特推出元宇宙系列文章，旨在研究元宇宙下NFT技术、数字钱包、区块链技术以及各类可穿戴设备的技术原理，揭示可能的风险，并提供合规建议。本篇为元宇宙系列文章第三篇：金融新业态——去中心化金融（DeFi）的法律研究。

 

 

 

一►

 

DeFi的概念

 

DeFi是英文Decentralized Finance的缩写，可译为“去中心化金融”。通俗来讲，DeFi是一类依赖区块链技术建立，使用加密货币和智能合约来提供不需要中介机构介入的金融产品和服务，其最终目的在于为用户提供更加便捷的金融服务。

 

传统金融，又可称为“中心化金融”，其“中心化”体现为接受金融机构提供的传统金融服务，此类“中心化机构”即是我们生活中常见的银行、证券公司、保险公司等机构。在储户看来，传统金融机构存在以下常见的弊端：第一，储户的资金受到金融机构的管制，存在资金账户被冻结的风险；第二，金融机构作为交易中心，不可避免需要审查交易往来，并且对此收取手续费等相关费用，由此将提高交易成本，且降低了金融交易效率；第三，储户需向金融机构提供真实的身份和完整的账户信息，将导致储户没有隐私可言。

 

DeFi并不需要金融机构的存在为交易提供信任背书，一定程度上克服了传统金融的弊端。总的来说，DeFi具有五大明显区别于传统金融机构的特性：第一，隐私。储户通常不提供真实的身份，完全掌握自己的身份、资产和数据；第二，开放。金融服务产品均对所有人平等开放；第三，透明。Defi能消除各个环节的暗箱操作，尤其能克服以往大型金融机构垄断货币供应等问题；第四，可信。一切交易记录和财务数据在记账工具的区块链中可查，人人都可监管；第五，自由。任何人可自由创建金融服务，并自由创建、发行和交易金融资产。

 

目前，DeFi行业所实现的主要金融应用包括：开放借贷协议、去中心化交易、去中心化自治组织、衍生品与中心化市场预测、聚合收益理财、预言机、稳定币、NFT，等等。

 

二►DeFi存在的风险

 

DeFi作为新生产物，有待完善之处颇多，不可避免存在风险。目前来看，DeFi存在三个方面的风险，即安全性风险、投资风险和系统性风险。

 

01安全性风险

 

与传统金融服务相比，DeFi对网络的依赖程度更高，存在更大的网络安全性风险。实践中DeFi不仅常遭受黑客的网络攻击，如日蚀攻击、Dos(Denial of Service)攻击等，还会因智能合约代码漏洞引发一系列安全性风险。下文笔者将重点关注DeFi因智能合约代码漏洞所引发的风险及其法律责任承担的问题。

 

DeFi项目在区块链平台上运作，交易的达成主要依赖智能合约的自动化处理。而智能合约的本质是计算机代码，基于各种主观或客观的原因，如DeFi项目的开发者编程水平有限或故意留有代码漏洞，导致智能合约存在代码漏洞的概率很大。值得说明的是，智能合约与普通合同不同，其能做到不可逆地自动执行。一旦存在安全漏洞，智能合约的漏洞修补将会非常困难。即使有管辖权的司法机关作出有效的裁判，因智能合约由区块链自动运行，法院或其他第三方也无法强制修改。

 

因智能合约代码漏洞导致DeFi用户信息和财产损失，结合目前DeFi发展的具体情形，法律责任的承担主体大致为三类。一是黑客等直接侵权行为人，根据《民法典》侵权责任编的规定，黑客利用智能合约代码漏洞，实施网络攻击等侵权行为，造成Defi用户损失的后果，应承担侵权责任。但由于网络的特殊性和黑客攻击的隐蔽性等原因，维权的难度和成本很高，现实中往往也找不到黑客。二是Defi项目方，作为网络服务提供者，如果在智能合约的编写、部署过程中存在故意或重大过失，导致智能合约存在漏洞易受黑客攻击，项目方应承担一定的赔偿责任。三是为项目方提供安全审计服务的第三方，因智能合约代码存在漏洞的可能性较高，常需第三方对智能合约代码进行安全审查。但第三方是否应对智能合约代码漏洞承担相应的法律责任，应结合代码漏洞的具体情况及第三方可能的免责条款具体分析。

 

02投资风险

 

DeFi虽克服了传统金融服务的诸多弊端，但投资固有的风险仍然存在。一方面，用户对DeFi产品的认知不足。随着DeFi的发展，新的DeFi概念也如雨后春笋般涌现，包括收益农业、流动性挖掘、新应用组合以及“DeFi乐高积木”。由于难以看透这些组合产品背后所蕴藏的投资风险，投资者可能面临更大的损失风险。另一方面，DeFi存在被不法分子利用的可能性。目前，DeFi项目滋生诸多犯罪行为，如盗窃、诈骗和传销等。一旦用户掉入不法分子的陷阱，投资将会面临“打水漂”的风险。

 

03系统性风险

 

DeFi生态系统的特性是开放性和可组合性。这些特性允许各种智能合约和区块链应用程序相互交互，并基于现有服务的组合提供新服务。这些交互引入严重的依赖关系，一旦某个智能合约存在问题，它可能会对整个DeFi生态系统中的多个程序产生广泛影响。此外，DeFi稳定币的问题或严重的ETH价格冲击可能会引起整个DeFi生态系统的涟漪效应。

 

三►DeFi滋生的犯罪行为

 

DeFi的开放和繁荣，在掀起金融交易热潮的同时，也让犯罪分子嗅到了暴富的机会。由于缺乏政府介入监管，DeFi易沦为犯罪滋生的土壤。具体而言，DeFi在实践中滋生了如下多种犯罪行为：

 

01盗窃

 

由于存在黑客攻击，常出现DeFi产品失窃问题。失窃的具体事由主要包括：私钥泄露、代码漏洞和钱包过度授权。

 

私钥泄露是造成加密资产被盗的主要因素。私钥是一种复杂的加密形式，允许用户访问加密货币，其安全性组成有助于保护用户免遭盗窃和未经授权的资金访问。黑客往往通过网络钓鱼、键盘记录等多种技术获取用户私钥，进而盗取用户加密资产。

 

代码漏洞也是当前引发黑客攻击的一大诱因。实践中智能合约存在代码漏洞的情况多发，英国伦敦大学学院副教授Ilya Sergey与新加坡国立大学多位学者合著的论文Finding The Greedy, Prodigal, and Suicidal Contracts at Scale指出：“将近100万份智能合约进行每份10秒分析时间的分析后发现，这其中有34200份智能合约很容易受到黑客攻击，其中2365份有明显漏洞。”

 

钱包过度授权，是当前市场上最为频发的黑客攻击形式。钱包是人们存储加密资产的应用,扮演数字世界中的“银行”角色,支持加密资产发送、接收、转账等功能。一般来说，用户与DeFi应用进行涉及加密资产的交互时,首先需要授权钱包权限,方能进行后续的交易、质押、存储等操作，且大多数钱包授权只针对某个时间段内的某个交易。但DeFi应用开发者为了避免用户反复授权,一般会默认设置授权最大数量的代币给智能合约,且拥有永久访问权限。这样的处理存在明显弊端,如果智能合约出现漏洞或合约管理员作恶,那么用户的加密资产将存在丢失的风险。

 

02洗钱

 

虚拟货币一直是洗钱犯罪猖獗的领域，但随着虚拟货币反洗钱工作在全球范围内取得卓越进展，单独利用比特币、USDT等犯罪的情形有所下降，流窜在虚拟世界的幕后黑手们试图寻找新的犯罪工具来替代或改造传统洗钱手段。目前已经有不少政府部门和区块链数据分析公司观测到大量非法虚拟资产正在流向DeFi项目，DeFi正成为洗钱的新工具。DeFi洗钱一般是通过跨链实现的：违法犯罪所得加密货币，通过跨链转换为X-ETH和X-BTC（即任意跨链生成的BTC或ETH代币），再利用两个或两个以上专门进行跨链交易的DeFi项目，将资金跳转到以太坊区块链打包转换，换取新的BTC和ETH。

 

03传销

 

根据《禁止传销条例》的相关规定，传销是指组织或运营者发展人员，通过对被发展人员以其直接或者间接发展的人员数量或者销售业绩为依据计算和给付报酬，或者要求被发展人员以交纳一定费用为条件取得加入资格等方式牟取非法利益，扰乱经济秩序，影响社会稳定的行为，“拉人头”“发展下线”是传销的主要特征。

 

传销团伙利用DeFi智能合约开展传销。一方面，智能合约的问世使得发行虚拟货币更加简单，之前要依靠代码不断更新独立的链，现在只要基于智能合约搭载已有的公链，修改代码即可完成。另一方面，传销团伙抓住漏洞，利用智能合约的奖励机制刺激拉人头，投资人因此受蒙蔽的可能性增大。因此，传销团伙只需按照智能合约编写好的规则，每天释放相应的利润以及推广奖励，即可达到“拉人头”的目的。最后，利用背地在合约中编写的漏洞代码或超级管理员指令进行资金操盘。

 

04诈骗

 

诈骗罪是指以非法占有为目的，用虚构事实或者隐瞒真相的方法，骗取数额较大的公私财物的行为。DeFi项目中常见的诈骗情形为：首先，诈骗分子在以太坊等区块链上部署新的合约，如可自动化撮合双方借贷的借贷协议,并发行项目代币；其次,诈骗分子在社交媒体上发布诱人的广告吸引投资者入局,一般投资者通过质押全球公认的以太坊、比特币等主流币赚取项目代币,并等待升值盈利；最后,一旦投资者将代币存入流动池中,诈骗分子将“抽地毯般”地把池子里的主流币全部提走,参与者手中的项目币将变得一文不值。

 

诈骗分子之所以容易得手，源于DeFi存在以下不足：一是投资者无法约束开发者100%履行合约。按照DeFi运行规则,持有项目代币的投资者可以就如何使用流动性池中的资产等事项进行投票,开发者并没有权利完全撤走池中的资金，但开发者有可能会在合约部署时故意设置漏洞或者在投资者不注意的情况下更换合约；二是创建DeFi代币并在DEX（去中心化交易所）上市没有强制性的代码审计要求,诈骗分子可轻易通过设置代码漏洞实现犯罪目的。

 

四►DeFi的未来

 

DeFi行业KingSwap的CEO Malcolm Tan曾表示：“DeFi有潜力通过数字技术撼动金融行业，但它的进展受到了诈骗和rug-pull项目的阻碍，造成资产和社区信任的损失。在这些问题得到解决，且DeFi的投资者和使用者能够更安全地将资产投入DeFi之前，这个新兴行业将无法实现大幅增长。”

 

笔者亦赞同此种观点，DeFi的诞生源于人们对传统金融服务的反思和变革的需求，自有深厚的社会基础。但犯罪行为等诸多现实因素，正阻碍DeFi发挥其真正的效能，打破了人们对DeFi应有的期待。未来若能从技术和法律层面有效克服当下DeFi存在的弊端，DeFi必将开拓更加光明的未来。

 

感谢实习生陈尤海对本文做出的贡献