浙江公安廳刑偵總隊與 imToken、慢霧探討了區塊鏈詐騙現狀和保護用戶資產安全的方法措施。

原文標題:《省公安廳刑偵總隊:數字資產被盜時,如何立案》
整理:imToken

區塊鏈安全是一個需要我們持續關注的問題,因爲區塊鏈上的資產和傳統資產在本質上不太一樣,它是基於密碼學、公私鑰之類的技術。如果真的發生了詐騙的話,資產被追回的可能性是遠低於傳統資產的。

6 月 9 日,imToken 在 B 站進行了一場主題爲「如何保障區塊鏈用戶的資產安全」的直播活動。

以下爲本次直播的文字版本👇

主持人:

  • 鏈聞研究總監 - 潘致雄

嘉賓:

  • 浙江省公安廳刑偵總隊 - 徐小花(下文稱呼徐隊)

  • 慢霧科技合夥人兼 CTO - Blue

  • imToken 用戶支持負責人 - 小胖

1. 隨着市場的火熱,各種詐騙現象也變得異常猖獗,給老百姓的資產安全造成了極大的威脅,那是否可以羅列一下比較常見的有關數字資產相關的騙局?

徐隊:公安機關把涉及到網絡的一些詐騙或者盜竊案件定性爲新型涉網犯罪。這幾年隨着整個社會的金融體系以及互聯網化的一些發展,其實傳統的案件越來越少了。我想大家應該也可以深切地感受到,以前的這種盜竊,隨着路面監控以及移動支付的普及,很難再實施。同時,這種傳統的搶奪、詐騙以及路面的犯罪,也因爲這些原因逐漸在萎縮。

但從我個人對犯罪的理解來看,涉及到侵犯公民財產的這類犯罪永遠不會消亡。可以說,直到我們實現共產主義之前,這類犯罪會一直存在。現在這類犯罪其實就是慢慢演化到互聯網上,以及區塊鏈的這種金融領域。

從我們公安的角度看,大概是 18、19 年之後,這類新型犯罪已經佔據了所有類型犯罪案件的一半以上。涉及到區塊鏈的犯罪有一個慢慢的發展過程。在前期,大量與區塊鏈沾邊的詐騙其實是新瓶裝舊酒。一些傳統的犯罪開始以區塊鏈的名義設置騙局和傳銷。

我們最早的時候,把這一類以投資區塊鏈名義進行詐騙的案件叫做殺豬盤或者投資盤。而且最早的投資盤,應該是 18、19 年之前。因爲 17 年的 1CO 大熱,很多這種空氣幣出來之後,有一部分老百姓對區塊鏈有點模糊的印象,也想去投資。但是有很多以區塊鏈、數字貨幣名義設置的投資平臺,實際上在那個階段根本沒有這種上鍊的數字資產。受害人在平臺上投資,得到的只是數據庫裏的一個數字,並沒有真實上鍊。

去年因爲比特幣以及相關的幣種漲了一波之後,又進來了一波投資者。現在呢,有很多這種空氣幣是真實上鍊的,投資盤、殺豬盤也越來越多。區塊鏈投資者多了之後,又衍生出來一些新型犯罪,比如使用錢包掃二維碼,然後利用這個 DApp 去盜竊你錢包裏所有餘額的行爲。

前段時間我們省內還有通過 ERC-20 發行了仿冒 USDT 的這類案件。這類案件以後可能會越來越多,因爲一般的投資者很難去區分幣的真假。詐騙案件就是大致這幾類吧。

潘致雄:謝謝,我大概總結一下。早期的是新瓶裝舊酒,只是假借了區塊鏈名義,但實際上是中心化數據庫的這種做法,包括 17 年很多熱門 1CO 項目,其實就是藉着區塊鏈名義進行詐騙。到了去年和今年呢,可能就是真的到區塊鏈上了,通過更隱蔽的手段來進行詐騙。

2. 公安機關面對數字資產領域的案件數量是什麼樣的規模,較之前有多大的一個升級?一般會有哪幾類的違法犯罪行爲?

徐隊:我們現在是在一個比較大的犯罪趨勢變化的背景下,新型的這種涉及網絡的區塊鏈案件越來越多。除了剛提到的使用區塊鏈進行詐騙的犯罪,公安機關在統計相關案件數據時也發現,很多案件類型不一定是涉及到區塊鏈,但是背後都和區塊鏈有關。

目前有大量的罪犯在使用數字資產洗錢。洗錢是金融犯罪或者侵犯財產犯罪這類案件永遠逃不開的一個話題。涉及到區塊鏈領域的案件,我們剛纔只是討論了區塊鏈相關的騙局,但實際上區塊鏈領域最大的犯罪類型應該就是洗錢。比特幣從誕生到現在也有了十幾年的時間,我們可以看到隨着區塊鏈的發展,洗錢犯罪也一直伴隨着整個行業生態在發展。

我以前看過一些論文,對全球的洗錢犯罪有個粗略統計,它的總體規模是一個非常龐大的數字,可能已經佔到了全球 GDP 的 10% 左右。如果洗錢的需求真的佔到全球 GDP 10%,這意味着只要哪一個行業,哪一個領域可以支撐這種犯罪,那這個行業本身必然也會被膨脹到一個非常大的量級。

幾個月前,比特幣的總體量已經超過一萬億美元。洗錢犯利用區塊鏈進行洗錢,是利用了區塊鏈的匿名性、去中心化等特性,這些特性完美契合了犯罪的需求。我們把洗錢犯罪分爲資金的前端和後端。

前端就是指,受害人或者賭博犯罪中的賭客,他的第一級資金怎樣進入平臺,進入這個資金鍊路。比如說大家網上消費,可能是用支付寶去進行支付。在犯罪領域呢,像很多這種詐騙類型的案件,受害人在第一級金融體系中,一般會使用一些第三方支付軟件或者銀行卡去打出他的第一筆錢。這個我們叫做資金鍊路的前端。

到後端之後呢,洗錢犯罪一般是一級銀行卡轉二級銀行卡,然後逐漸有一部分錢會進入到交易所或者鏈上,最後把資金洗白。這個就是資金鍊路的後端。

以前涉及到加密資產相關的洗錢主要在後端領域,現在由於數字資產的普及,很多直接騙取受害人的幣的這種犯罪也越來越多。在賭博領域,直接接受賭客數字資產充值的境外賭博平臺也越來越多。整個犯罪生態領域,可能數字資產在今後一段時間內的佔比會越來越高。

另外區塊鏈、數字資產也給了另一種犯罪案件生長的土壤——前幾年比較火的勒索病毒。勒索病毒把受害人電腦裏面的信息文件加密,之後提供一個加密資產的收款地址進行勒索。在沒有區塊鏈之前,犯罪嫌疑人他不可能就留下一個簡單的銀行卡賬號,因爲那都是中心化機構可以控制的賬號。

去年區塊鏈投資大熱後,越來越多的投資者進入這個領域。區塊鏈生態的每個環節中,可能就會衍生出很多新型的犯罪,比如近期我們和 imToken 的合作,主要是涉及有人在仿冒錢包應用。普通的投資者不知道如何辨別官方渠道,有可能會下載到被黑客植入後門的仿冒的錢包應用,他生成錢包密鑰之後,信息就會被上傳到黑客預先設置好的服務器上,一旦你有數字資產轉入到這個錢包地址,黑客就會把資產直接轉走。

然後就是我剛纔提到的通過 ERC-20 發行的假代幣。現在的投資者知道需要先購買 USDT 接着去幣幣交易,但他不知道真假 USDT 的區分。現在鏈上有很多假 USDT 代幣,我曾經在一個案件裏看到過一個仿冒 USDT 的賬號,餘額裏面都是 999……就非常龐大的一個數字。這種假的代幣對於一般的投資者來說,很難區分。

主要就是這三類吧,一種是使用數字資產洗錢,一種是老酒裝新瓶,傳統的犯罪套了數字資產的殼,第三種就是以後針對區塊鏈生態每一個環節,肯定會產生一些更加新型的犯罪手法。

3. imToken 作爲錢包方,一定接觸過很多受害用戶,都遇到過哪些案例?是怎麼處理的呢?

小胖:imToken 大致把這些案件分爲兩類,一類是詐騙,另一類是盜幣。

像 17 年行情非常火熱的時候,當時項目方做推廣的一種方式是空投。有的項目空投可能是會給投資者帶來不錯的收益,但更多的是仿冒知名項目做的沒有任何價值的空投,誘導用戶給某個合約地址轉賬,欺騙用戶通過轉賬就能收到對應的空投幣,說這個幣過一段時間可能在某某交易所上線,然後就能夠獲利。

17、18 年的時候,這類詐騙事件比較多,隨着後面整個行情走弱,這類騙局就不見了,或者說變成了老酒裝新瓶的方式,誘導你去投資,最後這些項目大概率會跑路,比如我們之前揭露過的 MGC。它是把自己僞裝成去中心化錢包的一箇中心化錢包,誘導用戶創建錢包或者把一些其他軟件生成的密鑰導入進去,你的助記詞和私鑰都被記錄在服務器上,最後騙子把你所有資產都盜走,這就屬於是詐騙類案件。但是你會發現他是把詐騙和盜竊這兩個動作結合在一起。在 20、21 年,因爲行情大爆發,這個騙局又升級了。比如前陣子二維碼騙局。掃了二維碼進入一個轉賬的頁面,當你確認轉賬時,實際上你是在授權騙子轉走你資產的權限。

另一類盜幣事件,有很多情況是身邊的人盜幣或者說是一個團隊共同管理私鑰,從而導致這種盜幣事件的發生。以前一些用戶不瞭解私鑰的重要性,會把助記詞、私鑰發到微信羣裏,或者說傳到一些雲服務器上,這種聯網的傳輸行爲都會導致他的資產被盜。但現在新型騙局出現了,你沒有泄漏助記詞和私鑰,只是完成了一個授權,把自己賬號裏數字資產的權限給了別人,那麼別人就可以盜走你的資產。這一類是對用戶影響比較大的案件。

對 imToken 來說,我們不僅要去處理這些案件,還要給用戶一個答覆。像前陣子我們揭露的 LCS 項目,當時接到用戶的舉報後,我們先是判斷了一下整個事件的前因後果。從用戶的手裏拿到了他下載的 LCS 軟件安裝包,交給我們安全部門同事做專業分析,發現它就是類似前面提到的 MGC,會記錄用戶的私鑰再上傳到服務器上。

我們找到原因後,反饋給用戶,讓他去報警的這一步纔是困難的開始。用戶會認爲資產丟失的責任是在 imToken,imToken 應該幫助他們去報警並追回這種資產。這方面我們和公安、律師都有交流過,用戶纔是損失資產的主體,所以必須由用戶去報警。報警立案後,首先我們 imToken 錢包方知道你的資產被盜是有憑有據的,不是你編造出來的。另外,用戶只有在報警之後,才能通過合法的途徑來追回資產。

對於用戶反饋的資產丟失、被盜事情的處理,我們肯定是第一時間盡力幫他找一些線索,同時建議他去報警。報警之後,如果警方有聯繫 imToken 的需求,我們會給用戶一個官方的調證流程。目的就是希望能夠幫助用戶追回資產,同時讓他知道資產是怎麼被盜的,讓他以後能避開同樣的騙局。

潘致雄:聽起來你們工作量真的挺大的,因爲你們用戶基數也大。

小胖:是的,但這個就是職責所在吧。從我個人的角度來說,這是我的本職工作,我希望能夠幫助更多的人;從我們公司的角度來講,作爲這個新興行業的一家企業,這是該有的社會責任心。

4. 作爲安全審計機構,一定監測到過非常多的應用問題和用戶的資產問題,哪些是比較常見的問題?一般有哪些流程處理這類的安全問題?

Blue:目前,有很多 DeFi 項目找我們做審計。DeFi 項目裏也有很多騙局,存在用戶資產被盜的風險,比如一些項目方有權限直接把資金池裏的錢轉走。另外現在行業裏有很多的跑路項目,相當於用戶投錢給一個項目結果錢丟了,也算是詐騙的一種。

在 DeFi 世界裏,用戶資產受損的主要還是資產被盜導致的。最近各條公鏈上的項目方被盜事件層出不窮,當用戶參與某個 DeFi 項目時,其實是把自己的資產授權給了這個項目。對這一點,用戶可能存在一個理解上的誤區,他認爲資產是存放在 imToken 的錢包裏,無法理解爲什麼項目方被黑了,他的資產也會丟失。實際上,當你參與一個 DeFi 項目時,你需要把資金授權給這個項目方,相當於你把自己的資產掌控權給了項目方。

當你被一個項目的年化收益率吸引時,項目方和黑客可能都在盯着你的本金,現在不少黑客都把 DeFi 當成了提款機。現在大部分項目方都願意花錢去做安全審計,所以因爲技術漏洞導致資產被盜的事件比以前少了。

5. 公安機關對於區塊鏈行業中這些猖獗的詐騙現象是怎麼應對的?公安機關的辦案流程是怎麼樣的?

徐隊:我看到直播間裏有網友反映自己參與了某個項目被騙了,問警方會不會立案調查。我先介紹我們的辦案流程吧。

對於所有詐騙案件、盜竊案件,我們都建議受害人第一時間向警方報案,特別是涉及到傳統資金領域的案件,在受騙後第一時間報案,有助於警方馬上查明或凍結相關的資金資產,挽回受害人的損失。

對於涉及區塊鏈的這類案件,流程也一樣,受害人儘早報案,可以讓警方有更多時間展開工作。另外,在報案前,我們建議受害人準備儘可能詳細的信息,比如詐騙案件,受害人最好能提供相關平臺信息或應用信息、資金流向、聊天記錄(如圖片、二維碼、鏈接)等等。受害者提供越多信息,對於警方來說,在後續案件的偵辦過程中,就有越多可以查詢分析的渠道。

現在我們針對這一類詐騙案件其實全國警方從上至下都非常重視,從公安部到各級省市縣的公安機關,都在大力進行宣傳防範。我們意識到現在這類犯罪的打擊難度與日俱增。隨着我們警方的不斷打擊,犯罪的生態也在不斷變化。

對於這類案件,我們有一個深切的感受,早前傳統詐騙案件比較簡單,我們通過查資金流,基本上就可以看到嫌疑人的所在地,比如他在某個 ATM 機取款了,這段時間我們警方基本上全年在出差抓捕嫌疑人。但現在,犯罪嫌疑人洗錢的手段方法不斷升級,資金的追查難度也越來越大。隨着境內可打擊犯罪對象都被各地公安機關打擊掉後,越來越多的犯罪嫌疑人藏匿在了境外,而且受疫情影響,我們即便是和有警務合作的國家,也很難出去進行跨境的有效打擊。

所以從警方角度來看,我們希望更多地從防範入手,更加重視防範教育。所以這幾年,警方在推廣宣傳防詐騙和加強公民的防騙意識上做了很多工作。大家應該在現實生活中,線上線下都看到過相關的宣傳標語和視頻,以及警方製作了各種各樣的宣傳素材,而且我們和犯罪分子也在做技術上的對抗,通過一些技術手段去攔截犯罪相關的資金或犯罪分子的通訊,在這方面,我們也在技術領域做更多探索和嘗試。總體來說是這樣子。

潘致雄:你們現在有對區塊鏈鏈上數據的做分析和統計嗎,還是主要從銀行資金流向着手?

徐隊:鏈上的數據統計我們近幾年都是一直在嘗試進行的,對於主流的幾條鏈上的數據分析,各地警方也都比較熟悉了。對於鏈上的資金追查,我們也還在想更多辦法,除了警方自己進行數據分析,我們也在和區塊鏈行業內的相關機構進行合作。

6. 國家現在對於這類犯罪的定性是怎麼定的?定性的標準與範疇有哪些?量刑是怎麼樣的?

徐隊:區塊鏈領域的犯罪案件不僅僅是對我們公安機關,對於公檢法來說都是一次新的挑戰。

因爲在這類新的數字資產範疇的犯罪中,傳統的關於價值的定義、定損、對真僞的判斷、包括證據體系的建立都受到了一定的衝擊。比如說最基礎的,我們都知道鏈上數據是公開的,人人可查,那麼如何把鏈上數據作爲一種證據的形式固定下來,提供給檢察院或法院進行起訴。對於這點,各地公安機關都還在探索。

前面我們介紹到各類區塊鏈犯罪的時候,有一類是仿冒知名代幣的案件。比如假 USDT,那麼如何區分真假?首先真假 USDT 都是基於同一個技術標準發行的代幣,即使是真的 USDT,我們目前的法律體系內也沒有很明確的定義他的價值,很難找到相關的估價機構去定義哪個真那個假。

對這類案件,我們也在做一些嘗試和探索,有點類似於摸着石頭過河,但隨着這類犯罪的增多,各地警方應該都會形成自己的方法來打擊或偵辦這類犯罪。等到法律上有明確定義,或是以政策會議紀要等等形式出臺,可以有效幫助我們在區塊鏈案件中進行司法實踐。

7. 不論是安全團隊還是錢包方,都會與警方有很多的配合,有哪些比較記憶深刻的案例?有沒有三方聯合處理什麼案件?

小胖:從 imToken 的角度來講,不管是對用戶還是對警方,只要需要我們的幫助,我們肯定是有求必應的。在警方這邊,我們主要是提供兩方面的幫助,一方面是做區塊鏈知識科普,另一方面是提供我們能查詢到的一些線索。

具體案件方面,比如之前的 PlusToken 和搬磚套利騙局等,我們也有協助警方進行一些工作。

關於搬磚套利的騙局,我們早期發現後,都會向社區做一個風險告知,同時主動去封禁一些同名的假幣。在產品方面,imToken 2.0 的用戶應該可以感到到我們在安全方面的更多工作。

早期 imToken 中顯示的代幣是通過代幣的名稱和代幣的 Logo 做區分的,後來爲了給用戶更明確的提示,對於同名代幣,比如對 USDT,我們會對之後的同名 USDT 代幣後綴添加「Unknown」標記來幫助區分代幣,如果確認一些同名代幣是假幣,我們就會把它標記成風險代幣。

對於那些風險 DApp 的鏈接,我們在接到用戶的舉報後,會有安全部門的同事負責檢查對應的 DApp 是否安全,比如是否涉及到傳銷、賭博等,如果確認存在風險,我們會第一時間對這類鏈接進行封禁。

給我印象比較深的一件事是,之前有一個很大的傳銷盤,叫 Fosage。我們在確認它是傳銷項目後,第一時間就把這個鏈接封禁了。但是有很多用戶不理解,有些用戶甚至發郵件指責我們違背了去中心化的原則,不該主觀給一些項目做判斷。但其實從我們的角度來講,我們肯定是將用戶的資產安全放在第一位的。

所以在安全方面,imToken 一直都是有投入的,只是大部分情況下,我們做的幕後工作,很多時候不會主動向社區或對外告知。但是喜歡 imToken 或者關注 imToken 的用戶,應該能夠發現 imToken 的點滴改變。

Blue:對於小胖說的這些我也深有感觸。從 18 年初到 20 年底,我也是在 imToken 負責安全。

imToken 在安全上爲用戶考慮的是非常多的,imToken 一直的理念都是把安全放在第一位的,任何的產品改進或技術研發,如果遇到安全問題的話,都是以安全爲先。剛纔提到風險代幣識別、風險 DApp 封禁,你現在去 imToken 打開一個 DApp,就可以看到它會優先提示你即將跳轉到第三方網站,提醒注意風險。

慢霧作爲安全公司,如果公安需要配合,我們肯定是第一時間協助。比如一些和鏈上數據分析相關的、分析資產如何被盜的,黑客是如何進行技術攻擊的等等,這些方面我們都會積極和警方配合,另外還會和警方做一些區塊鏈方面的知識普及。

潘致雄:我注意到最近慢霧還上了央視。

Blue:確實國家層面或者說央視都注意到了區塊鏈行業,比如我們剛纔提到的假幣詐騙,幾乎是零成本的。如果你想在以太坊上,或者一些智能合約鏈(BSC、Heco)上做發行,這是非常簡單的。

現在智能合約很多,詐騙分子拿個模版,改個名字就直接搞定了。所謂代幣發行,在 Uniswap 上無非是添加一個交易對,然後就可以有價格了。這也算是配合央視做了防詐騙的用戶教育。

8. 當下區塊鏈安全領域中,你覺得最重要的問題是什麼,我們該如何去解決它?以及給大家一些安全建議

徐隊:先分享一句話,君子不立危牆之下。區塊鏈領域讓人一夜暴富的故事在挑逗着每個人的貪心。區塊鏈領域可以說是新鮮事物萌發最多、最快的一個領域,投資者一定要多學多看多瞭解,時刻保持一顆警惕之心。不管我們警方做了多少防騙宣傳,其實最後一點總結下來就是每個人要控制自己的貪心。

我比較喜歡一句話是,不要賺自己認知範圍之外的錢。很多投資者或者受騙者,其實對那個領域並不瞭解,也不熟悉這個東西到底值不值錢,能不能賺錢。千萬不要去賺自己認知範圍之外的錢,這就是我的忠告。

小胖:我覺得防騙反詐從來不是單獨一家公司的事情,而是整個行業的參與者,包括用戶、公司甚至是執法機構,需要共同努力的。

用戶需要主動去學習一些知識,跟上技術的發展腳步。其實騙子是比普通用戶更「努力」地在學習相關知識的,因爲他只有瞭解更多,才能把你誆進他的騙局。如果識破這些騙局的話,用戶就要比他更聰明,更瞭解這個行業,懂得更多。

行業的從業者要有原則有底線,不要去賺黑心錢,你的所作所爲遲早會被別人知道,到時在這個行業也就沒有立足之地了。

執法機構這段時間一直在積極地學習區塊鏈知識。我在 18、19 年跟公安機關交流時,他們還不瞭解數字資產,認爲區塊鏈行業就是一個騙子行業。但到了 20、21 年我再跟警方去溝通交流的時候,發現有一些地方的警方或者刑偵經偵,他們對這個行業的理解是非常深入的,甚至緊跟着這個行業的熱點。

普通用戶、行業機構和執法機構需要一起行動,才能減少安全事件的發生,而不是單靠某一個人或單靠公安的監管和宣傳。

Blue:首先天下肯定沒有免費的午餐,沒有人會平白無故給你空投代幣。如果你能夠買到七折 ETH 或者九折的 USDT,那騙子爲什麼不自己去賺這個差價呢。如果你不想受騙,那就多看警方提供的防詐宣傳片,多看 imToken 提供的防詐小知識。

其次,高額收益的背後也是巨大的風險,你參加的一個項目方,如果它的收益率達到了百分之幾十萬,是會被黑客盯上的。所以在參與項目時,一定要想一下盈利背後你要承擔的本金被盜的風險。

最後講下針對個人安全的防護。你去領空投或者參與項目進行轉賬時,最好是使用一些更安全的助記詞、私鑰的保管方法,比如硬件錢包或知名的數字資產錢包。

9. 不同地方警方對於數字資產被盜的立案標準不同,用戶無法立案時,該怎麼辦

徐隊:大家對這個有所誤解,覺得好像是警方不願意去立案。其實從公安的角度來看,這種情況是很少見的。因爲我們對案件的受理和立案是有嚴格的檢查機制的。如果的確有案件發生,而民警因個人原因不去受理,他是要承擔相應責任的。

直播間裏有很多人說自己所在地不予立案,這個一方面是全國各地的警方對區塊鏈的瞭解還不一致。發達地區的警方對這類案件受理比較多,對區塊鏈和數字資產有所瞭解,受害人去報案,警方會更理解他被盜或者被騙的一個過程。對於其他地區的警方而言,可能就比較難辨別受害者投資行爲的真假。

另一方面,警方針對投資類的案件立案會更謹慎一點,會先判斷是因爲受害者自己投資失敗導致了資金損失,還是因爲這個平臺的確是詐騙性質的。所以大家在報案之前,要把這些可以幫助案件定性的證據材料準備齊全,提供給警方。比如項目方一開始承諾了一個收益率,但你並沒有拿到錢。從這個角度出發,可能更能幫助警方把這個案件定性爲一個詐騙案件。