4月20日,國家互聯網金融安全技術專家委員會發文警惕遊戲理財平臺詐騙陷阱。國家互金專委會表示,投資者進行投資理財之前應仔細衡量平臺風險,認真審核平臺資質,切實保障自身權益。
根據統計,截至2018年4月,國家互聯網金融風險分析技術平臺(以下簡稱“技術平臺”)已累計監測發現疑似詐騙平臺數百家。近期,技術平臺發現遊戲理財平臺三十余家,其中多數屬於詐騙平臺,遊戲理財平臺是詐騙平臺的高發業態之一,投資者在進行投資理財時,應註意規避。
根據監測結果,遊戲理財主要有拆分盤模式和任務返利兩種模式。
拆分盤的遊戲理財模式是投資者在繳納一定入門費後,會獲得一定的初始積分、“股票”或“代幣”等其它獎勵,此類平臺宣稱積分、“股票”和“代幣”可兌換成人民幣,用戶以少量的資金投入後可以得到高額盈利。
與此同時,其通過不斷的拆分裂變,如養雞繁殖、種樹長果實等等,短時間內會產生更多的積分和“股票”,部分平臺還可能存在惡意提高積分或“股票”的價格,造成投資者資產暴漲的錯覺。但實際上平臺可能任意修改交易規則,延長提現期限,收取高額提現費用,最終導致用戶提現困難,無法收回資金。
任務返利模式的經營模式則較為簡單,投資者初期需繳納一定入門費用後,獲得遊戲試玩資格,此類平臺往往宣稱試玩指定遊戲或完成指定任務(如觀看新聞、使用指定APP)後用戶能夠獲得大量獎勵。同時,平臺宣稱獎勵可與人民幣掛鉤,用戶可以“自由提取”。技術平臺發現,此類平臺會不斷提高遊戲難度,惡意修改提現規則或封禁用戶賬戶,實則為詐騙平臺。
技術平臺認為,遊戲理財平臺主要存在業務模式存疑、涉嫌非法開展虛擬貨幣、龐氏騙局、資金安全性較差的風險。
在業務模式上,以拆分盤或做任務返利的模式不具有可持續性,資金運轉和返利關系難以長期維持。同時,一些遊戲理財平臺涉嫌非法開展假虛擬貨幣或證券業務。部分平臺通過出售“股票”、“代幣”的形式進行集資,實質上是一種假虛擬貨幣或非法開展證券業務。根據《關於防範代幣發行融資風險的公告》,這種行為本質上是一種未經批準非法公開融資的行為,涉嫌非法發售代幣票券、非法發行證券以及非法集資、金融詐騙、傳銷等違法犯罪活動。
技術平臺還指出,“拆分盤”式的經營模式涉嫌“龐氏騙局”。此類平臺以拉人頭的方式進行經營,以新收取的資金作為獎勵支付原有投資者,涉嫌金融詐騙。另外,資金安全性較差。根據技術平臺監測,投資者基本無法提現,平臺卷款跑路概率極高。
近日,國家互聯網金融風險分析技術平臺(以下簡稱“互金專委會”)發現“信用卡代還”和互聯網金融相結合的業務模式。互金專委會表示,此類業務涉及信用卡違規套現、平臺收取高額費用、用戶信用卡信息安全等問題,具有潛在風險,值得關註。
互金專委會表示,發現的代還信用卡平臺主要以網站和APP兩種形式存在,並且存在部分平臺同時運營網站和APP的現象。目前,監測到140余家代還平臺。其中,相關網站平臺70余家,在運營APP有80余款。主要業務模式分為“套現貸”模式、平臺代償模式、信用卡套現模式。
“套現貸”模式是指,代還平臺利用信用卡賬單日和還款日的時差(賬單日之後的消費全部為下一期賬單還款金額,還款日之前的存款都算本期還款),用戶只需要在信用卡中存入少量資金,代還平臺循環刷取資金返給用戶,從而達到全額還款的目的。
也就是說,用戶在使用前需設置還款期限、還款次數、還款金額等信息,並預先在信用卡中存入部分現金,代償平臺就會按照用戶設置進行刷卡-返現循環操作設置,套取用戶消費金額,並用於支付本期信用卡賬單,將本期賬單過渡到下個月,平臺在此過程中收取一定的手續費,手續費在賬單金額的0.8%-1%左右。
平臺代償模式本質為平臺代償,但與“套現貸”模式不同的是,借款人不再欠款信用卡,而是欠款代償平臺。具體來說,是信用卡代還平臺墊付用戶信用卡欠款,並取得對用戶的債權,用戶需定期向代還平臺償還貸款。互金專委會監測到,用戶還款周期可以為1周至24個月不等,月利率為0.55%-1%左右,同時部分平臺還收取每月0.1%-0.8%服務費和2%-3%手續費。
一些用戶有多張信用卡,利用信用卡刷卡消費存在免息期的漏洞,循環刷多張卡來維持免息借款,這種模式為信用卡套現模式。具體來說就是用戶通過在平臺刷取信用卡B,平臺收取手續費後將刷卡金返還用戶,進而用戶可以將信用卡B中的資金來償還信用卡A。
近年來,以比特幣、萊特幣、以太坊等為代表的虛擬貨幣受到持續關註,一些不法分子打著虛擬貨幣的幌子從事金融詐騙或傳銷,假虛擬貨幣(或稱“傳銷幣”)平臺頻現,致使投資者遭受重大損失。
5月17日,國家互聯網金融安全技術專家委員會(以下簡稱“互金專委會”)與互聯網金融安全技術工業和信息化部重點實驗室發布報告,警惕假虛擬貨幣平臺詐騙陷阱。互金專委會認為,假虛擬貨幣主要存在涉嫌非法集資等違規行為、存在高度跑路風險、受害者維權困難等風險。
互金專委會表示,經持續監測,截至2018年4月,專委會累計發現假虛擬貨幣421種,其中60%以上的假虛擬貨幣網站服務器部署在境外,此類平臺難發現、難追蹤。
技術平臺監測發現,此類平臺多呈現出三大特性。
一是包括具有金字塔式發展會員的經營模式。這種模式的主要特點為,采用金字塔式的發展會員經營模式的假虛擬貨幣平臺,宣稱其虛擬貨幣或積分幣可產生高額回報。此類平臺多以“拉人頭”、“高額返利”等模式吸引投資者,涉嫌進行傳銷。
二是涉嫌資金盤,人為拆分代幣。據悉,假虛擬貨幣大多沒有真實代碼,無法產生區塊或在區塊上運行,因此多采用人為拆分的方式進行代幣獎勵,通過在短期內不斷拆分,產生大量積分或代幣,造成財富暴漲的錯覺。互金專委會發現,有平臺公然宣稱“拆分10次,只漲不跌”,平臺宣傳“投資代幣越多,拆分得到的收益越高”。
三是受到機構或個人控盤,無法自由交易。此類平臺發行的假虛擬貨幣多無法在虛擬貨幣交易所交易,因此多采用場外交易或自有交易所交易。同時,價格還存在受到機構或個人的高度控制的現象,容易造成價格快速上漲的錯覺,但用戶往往無法進行交易或提現。例如,平臺發行的假虛擬貨幣只能在其網站交易,且交易系統較為粗糙,安全性極差。
互金專委會表示,假虛擬貨幣無任何價值,以拉人頭、高額返利的模式進行經營,本質為非法集資和傳銷活動。同時,一些平臺無研發能力和技術,跑路概率極高。另外,此類平臺多無經營場所和工商信息,且服務器多部署在境外,受害者很難進行維權。
區塊鏈作為當下備受關註的技術,各方爭相推動,行業熱點層出不窮。
6月1日,國家互聯網金融安全技術專家委員會發布了區塊鏈行業動態月報(下稱“月報”),就5月份區塊鏈行業整體情況和重點熱點事件進行梳理報告。
在主流數字貨幣行情方面,5月份,比特幣價格呈下行走勢,市值由月初的1573億美元跌至月末的1274億美元,跌幅19%,日均活躍地址44.4萬個,日均轉賬19.7萬筆。近一年,比特幣每日活躍地址數、轉賬筆數以及價格走勢如下圖所示。從走勢上看,活躍地址數和每日轉賬數與交易價格呈較大的正相關,5月份,整體呈現震蕩下行走勢。
在其他幣方面,以太坊價格亦呈下降走勢,市值由月初的664億美元跌至月末的565億美元,跌幅15%。值得註意的是,以太坊活躍地址呈現出超越比特幣的趨勢。比特幣現金、瑞波幣、萊特幣等整體走勢與比特幣類似,跌幅分別為36%、39%和23%。
隨著對區塊鏈技術的認識逐漸深入,國內各大企業紛紛布局區塊鏈技術、平臺和應用,包括百度、騰訊、阿里、京東、網易等互聯網企業,各大銀行、中國平安等金融企業,以及華為等。在應用方面,國內積極探索和推動聯盟鏈、私有鏈等形式的區塊鏈+應用,輔助解決相關行業的痛點問題,提升效率,降低成本。
在區塊鏈安全方面,隨著區塊鏈應用的範圍和深度逐漸擴大,安全是必須重視的課題。區塊鏈系統的安全受多個層面的影響,包括基礎設施、算法設計、協議設計、代碼實現、安全管理等。近年來,已經發生了為數不少的安全事件,主要集中在數字貨幣交易平臺被攻擊、智能合約漏洞、個人密鑰丟失或竊取等方面。
從發展形勢上看,攻擊手段日益升級,損失不斷增加。隨著公有鏈架構的區塊鏈影響範圍進一步擴大,以聯盟鏈、私有鏈架構基礎的區塊鏈應用深入到金融、社會管理等關鍵領域,一旦出現安全事件,極易造成重大損失。
5月29日,360發表文章稱,發現EOS平臺的高危安全漏洞,部分漏洞可以在EOS節點上遠程執行任意代碼,即可以通過遠程攻擊直接控制和接管EOS上運行的所有節點。據EOS項目組稱該漏洞早前已被修複。
區塊鏈技術迅速發展,虛擬貨幣漸漸走入大眾視線,虛擬幣交易平臺也如雨後春筍一般興起。然而交易平臺背後的經營者能力,以及平臺的自身安全性並無法得到很好的保障。
2017年6月,韓國最大交易所Bithumb被盜數十億韓元,三萬用戶信息被泄露;2017年12月,斯洛文尼亞加密挖礦網站Nicehash被盜約4700個比特幣,價值約6200萬美元。在區塊鏈和虛擬貨幣領域,此類由於交易所安全性導致損失的案件頻頻發生。
8月8日,國家互聯網金融安全技術專家委員會(下稱“互金專委會”)發布《區塊鏈技術安全概述報告》(下稱《報告》)指出,區塊鏈技術目前的發展方興未艾,大多的技術和應用處於試驗階段。目前,發生的安全事件多集中出現於加密資產相關領域,給用戶造成了較大的經濟損失,其安全問題日益受到行業關註。
區塊鏈安全環環相扣
區塊鏈應用從架構上分為三層,基礎網絡、平臺層和應用層。三個層面相互影響,每一個環節出現的安全問題,都將給下個環節帶來更多的安全問題。
互金專委會表示,在進行區塊鏈項目開發的過程中,從設計到實現,從驗證到響應,不僅僅需要考慮到單個環節的安全性問題,也需要將其放入到整體的層面中去判斷可能出現的風險點。
以基礎網絡層為例,基礎網絡由數據層及網絡層組成,是區塊鏈的基礎部分,該部分封裝了區塊鏈的底層數據,對區塊鏈的數據采用非對稱性加密,利用P2P網絡並設置了傳播、驗證機制等。目前,主要面臨的安全問題為信息攻擊與加密算法攻擊、節點傳播與驗證機制風險。
《報告》指出,從數據區塊信息攻擊風險來看,一方面寫入區塊鏈後的信息很難刪除,不法分子將某些有害信息、病毒特征碼、淫穢信息等寫入區塊中,影響區塊鏈生態環境。另一方面,大量的垃圾交易數據攻擊會堵塞區塊鏈,使得有效交易和信息遲遲無法被處理。
P2P網絡風險方面,區塊鏈信息傳播采用P2P的模式,節點之間的信息傳播,會將包含自身IP地址的信息發送給相鄰節點。由於節點安全性參差不齊,較差的節點容易受到攻擊,目前可進行攻擊的方式包括:日食攻擊、竊聽攻擊、BGP劫持攻擊、節點客戶端漏洞、拒絕服務(DDoS)攻擊等。
據悉,2018年3月以太坊網絡就爆出“日食攻擊”。“日食攻擊”是其他節點實施的網絡層面攻擊,其攻擊手段是囤積和霸占受害者的點對點連接時隙,將該節點保留在一個隔離的網絡中。這類攻擊旨在阻止最新的區塊鏈信息進入到日食節點,從而隔離節點。而比特幣網絡很容易受到日食攻擊。
加密資產交易平臺六類隱患
近幾月,數起針對交易平臺的攻擊事件發生。2018年1月,日本的加密資產交易平臺Coincheck被入侵,損失超過5億美元;韓國交易平臺Coinrail也證實在2018年6月被黑客攻擊,入侵損失達3690萬美元。
互金專委會表示,加密資產是數字經濟中重要的組成部分,但針對加密資產交易平臺展開的頻繁網絡攻擊不斷沖擊著用戶對於數字資產的信任。
目前看來,加密資產交易平臺主要有六類常見隱患和漏洞,即拒絕服務攻擊、網絡釣魚事件、熱錢包防護問題、內部攻擊、軟件漏洞和交易可鍛性。
拒絕服務攻擊是目前最主要的針對交易平臺的攻擊方式。攻擊者通過拒絕服務攻擊使得交易平臺無法正常訪問,用戶因為無法準確分辨攻擊程度,往往會造成恐慌性的資產轉移,從而給交易平臺帶來損失。
互金專委會表示,目前即使是最好的技術措施也無法保護加密資產交易平臺免受網絡釣魚攻擊。欺詐者往往通過虛假域名或者仿冒頁面的方式迷惑受害者,受害者如無法分辨交易平臺的真實性便會遭受資產上的損失。
許多交易平臺使用單個私鑰來保護熱錢包,如果犯罪分子可以訪問單個私鑰,他們將能夠破解與私鑰相關的熱錢包。例如,2017年首爾交易所Yapizon的攻擊,攻擊者一年內前後兩次對交易平臺發起了針對平臺上熱錢包的盜取,總共造成交易平臺近50%的資產損失,並最終導致了交易平臺破產。
另外,由於沒有完善的風險隔離措施或對於員工權限監督不力,導致部分擁有平臺操作權限的員工利用內部信任監守自盜。例如,2016年交易平臺ShapeShift發生的員工盜取比特幣事件,通過私下盜取和將敏感信息轉賣給他人的方式給交易平臺共造成23萬美元損失。
軟件漏洞則包括單點登陸漏洞、oAuth協議漏洞等。互金專委會表示,目前各國都有法律要求銀行或其他金融機構實施信息安全措施,以保護客戶的存款。但由於區塊鏈領域還處於起步階段,目前缺少適用於加密資產的此類規範。因此,許多交易平臺在缺乏安全規範約束的條件下,存在大量漏洞並非偶然。
據悉,Mt.Gox是曾經占據世界交易總額80%的世界第一大比特幣交易平臺,然而,“Mt.Gox事件”成為加密資產歷史上最大的攻擊之一,共造成4.73億美元的損失,這次攻擊事件便是由黑客在初始交易發布之前向公共賬本提交代碼更改進行的。
互金專委會指出,區塊鏈的技術支持者常常認為區塊鏈交易是高度安全的,因為它們被記錄在據稱不可更改的記錄上。但是每個交易都需要有相應簽名,而在交易最終確認之前,記錄是可以被暫時偽造的。
針對上述風險與隱患,互金專委會建議,平臺應在技術開發方面持續投入,抵禦日益增長的黑客攻擊,切實的增強系統的安全性;同時,確保員工保護安裝在專業工作計算機或個人計算機上軟件應用程序相關的登錄憑據,並完善安全培訓,提高安全意識;另外,應定期進行安全測試,建立完善的應急響應機制;進行網絡安全隔離,謹慎進行服務端口開放,並選擇具備完善防護的能力的服務供應商。
互金專委會指出,行業需要統一的治理機制,引入第三方監管與合作,在出現問題時及時與外部協同工作。
此內容為第一財經原創。未經第一財經授權,不得以任何方式加以使用,包括轉載、摘編、複制或建立鏡像。第一財經將追究侵權者的法律責任。 如需獲得授權請聯系第一財經版權部:人工智能和區塊鏈都是近年的科技熱點,“區塊鏈+AI”更是概念十足。對於“區塊鏈+AI”的技術理念創新,8月20日,國家互聯網金融安全技術專家委員會(下稱“互金專委會”)發布行業研究報告稱,“區塊鏈+AI”結合優勢眾多,但同時也面臨著不可控性等四大方面的風險。
互金專委會認為,“區塊鏈+AI”是新興技術相互賦能的良好應用結合,區塊鏈技術在人工智能這一垂直領域的探索,有助於加速新興技術的落地,並在實踐過程中不斷完善。
區塊鏈與人工智能技術的結合可以提高人工智能的數據安全性、解決數據收集時的數據隱私問題、區塊鏈使人工智能更加可信等眾多優勢,但與此同時,“區塊鏈+AI”也面臨著兩方面主要矛盾。
一方面是AI和區塊鏈自身的缺點,在結合後仍無法有效解決;另一方面是AI和區塊鏈結合過程中可能造成原有優勢被破壞。具體表現在政策性、技術融合的不確定性、大規模的社會應用面臨挑戰、不可控性四方面風險。
互金專委會表示,區塊鏈目前部分的衍生應用在世界各地存在著一定的政策風險。例如,未來是否采用區塊鏈技術伴生的通證(Token,可流通的加密數字權益證明,狹義上可指代幣)來激勵人工智能開發或節點管理,但無論是在經濟上還是在政策上如何定義通證仍有很大的不確定性。
目前區塊鏈技術發展總體階段處於類似於互聯網發展的初期階段,距離大規模的應用落地仍然需要時間積累,大部分“區塊鏈+AI”項目仍處於概念驗證階段或早期應用階段。
在技術融合方面,作為兩個前沿的新興技術,且都處於尚未完全成熟的階段。無論是從當前區塊鏈的技術指標,還是從人工智能的實際落地性來講,距離兩者真正的結合並實現落地,需要面對的不確定性因素仍然存在。“目前區塊鏈的主要問題為擴容、隱私、和計算能力,主流的公有鏈難以支撐人工智能的鏈上實現。”互金專委會指出。
另外,技術的大規模社會應用面臨挑戰,數據共享威脅大型企業利益。互金專委會認為,通過弱化數據中心化,降低了大型企業相對小公司的競爭優勢。如果任何人都可以訪問這些數據,那麽任何人都有機會與世界上最大的公司競爭。共享市場的嘗試可能會讓大公司感到不安。因此,大公司可能會反對數據去中心化,並可能遊說維持AI模型開發方面集中式數據集的現狀。
互金專委會還表示,當使用了“一旦運行不可停止”的智能合約時,如果合約代碼存在漏洞被黑客利用,黑客將通過智能合約漏洞牟利,因為在區塊鏈上運行的事務和交易不可撤銷,可能會給企業和個人造成不可挽回的損失。
此內容為第一財經原創。未經第一財經授權,不得以任何方式加以使用,包括轉載、摘編、複制或建立鏡像。第一財經將追究侵權者的法律責任。 如需獲得授權請聯系第一財經版權部: