2024年11月16日,加密货币交易平台DEXX因遭到黑客攻击,相关消息称,被黑客盗窃的用户资产逾上亿美元,不少用户损失巨大,相关维权群也在迅速组建。
2024年11月16日,加密货币交易平台DEXX因遭到黑客攻击,相关消息称,被黑客盗窃的用户资产逾上亿美元,不少用户损失巨大,相关维权群也在迅速组建。作为一个国人运营的新兴加密货币交易平台,其迅速崛起得益于众多KOL的广泛推广。
那么有关本次安全事件,平台方和KOL的法律风险有哪些?对于用户损失,他们需要承担哪些责任呢?
作者 | 邵诗巍律师
01
DEXX平台用户资金被盗事件
DEXX作为一个支持多链资产交易的Memecoin平台,涵盖了SOL、ETH、TRX、BASE和BSC等多个链上资产。据官网介绍,其拥有链上移动止盈止损、热点概念推送、聪明钱包追踪推送、翻倍出本、一键防夹、一键跟买跟卖等功能。因DEXX界面因为和币安比较相似,所以有KOL也将其称为链上币安。
11月16日凌晨,DEXX反馈被黑客攻击,多名用户报告其钱包资产被不明转移。区块链安全审计公司CertiK表示,事件的主要原因是DEXX平台私钥管理不当,导致官方私钥泄露。慢雾科技创始人余弦也在其推文中提到,“被盗人群与用 DEXX做冲土狗/炒 MEME有关,私钥属于 DEXX中心化托管,肯定泄露了”。
有人经调查发现,DEXX存在私钥明文传输的漏洞。这意味着用户的私钥是存储在DEXX服务器上,如果系统受到攻击,黑客可以轻易获取用户的私钥,进而盗取资产。
02
DEXX平台的崛起得益于KOL们的推广
DEXX的成立时间并不长,该平台用户量的迅速增长和推特上众多中文KOL们的广泛推广有很大的关系。
据DEXX官网显示,平台推广返佣比例高达交易手续费的60%。
(返佣排行榜)
本次事件发生后,不少KOL也开始删除推广贴子,并与平台迅速划清界限,表明立场。
03
对于本次事件,平台方可能的法律责任有哪些?
首先,DEXX平台作为一个国人运营的,且面向我国境内公民开放的加密货币交易平台,鉴于2021年的924通知已规定,虚拟货币相关业务属于非法金融活动,境外虚拟货币交易所通过互联网向我国境内居民提供服务同样属于非法金融活动。由此,本次事件无论是“监守自盗”还是“意外事件”,平台都存在极大的刑事风险。
其次,经比特丛林监测系统深入技术分析,DEXX交易平台存在以下严重安全问题:
私钥存储:DEXX平台虽然自称不是托管钱包,却记录了用户的私钥,一旦系统遭受攻击,黑客可轻松获取用户私钥,从而盗取用户资产。
私钥导出明文传输:DEXX平台在用户导出私钥时未采取任何加密措施,导致私钥在传输过程中以明文形式暴露,极易被黑客截获。
在事实未查明之前,我们暂且不讨论平台对于本次事件是否是“监守自盗”,但仅就上述安全问题,平台违反了我国《网络安全法》所规定的网站和平台有保护用户信息安全的法律义务。平台明文传输用户密码导致信息泄露,也构成了对用户的侵权行为。
另外,虽然明文传输本身可能并非犯罪行为,但如果因此造成严重后果,根据刑法规定,平台责任人可能涉嫌非法获取计算机信息系统数据罪、侵犯公民个人信息罪等刑事犯罪。
04
KOL是否存在相关法律责任?
根据924通知,“境外虚拟货币交易所通过互联网向我国境内居民提供服务同样属于非法金融活动。……明知或应知其从事虚拟货币相关业务,仍为其提供营销宣传……等服务的法人、非法人组织和自然人,依法追究有关责任。”
KOL利用其自身在币圈中的公信力和影响力,在推特等社交媒体平台中,将DEXX平台称作“链上币安”,大力进行宣传推广,赚取高额佣金收益,其行为违反了上述规定。
邵律师曾在《币圈KOL为项目方做推广,法律风险有哪些?》一文中提到,KOL为加密货币交易平台宣传推广,可能会涉嫌诈骗罪、开设赌场罪、组织、领导传销活动罪等,并在文中列举了多个案例。
但就DEXX平台本次的安全事件而言,最容易触碰的刑事罪名则是有“口袋罪”之称的非法利用信息网络罪(非信罪)。非信罪区别于其他罪名最为明显的特征,就是对于信息网络的利用,传播信息仅通过线上的网络方式实施。正如邵律师在《一个币圈创业者需要格外重视的罪名——非法利用信息网络罪(二)》一文中曾提到的,可能很多Web3创业者对于国内不能开交易所,不能发币,不能挖矿等常识性法律规定是知道的,但对于币圈相关资讯信息的发布、推广,一般不认为存在法律风险,但一旦所推广的项目出问题了,信息的发布者就存在法律风险。
05
相关建议
对于平台方来说,对于本次事件,若确实存在平台方“监守自盗”,那相关责任自不必说。若确实是被黑客所攻击的意外事件,鉴于平台方对此确实存在存储用户私钥、用户导出私钥明文传输等行为,未能有效保护用户信息安全,导致用户资产受损,建议平台持续更新调查进展,包括对于技术漏洞的详细分析,并能够主动承担责任,明确对用户损失的赔偿机制和具体措施。
对于KOL来说,本身是依靠自身的影响力为平台所做的推广,粉丝也是基于对于KOL的信任选择相信KOL的推广信息,所以,无论本次事件中平台方究竟为何种责任,作为KOL,建议主动承认事件后续的连带影响,积极协助用户维权,在合法范围内为用户提供帮助,例如整理用户损失数据、协助用户与平台沟通解决方案等,当然,若条件允许的情况下,建议KOL尽自己所能对于用户作出一定的补偿。因为即使KOL没有因推广行为被定性需要承担法律责任,主动补偿的动作也能够显示出KOL对用户权益的重视和对自身推广行为的负责态度,并且,客观上来看,补偿行为也可以有效减少相关用户采取进一步法律行动的可能性。