安全與合規

約 13024 字大约 43 分鐘

2025-06-11

作為 Web3 的新手，在參與到 Web3 專案前，請務必通讀本合規指南，確保在行動前不會觸犯法律的底線，仔細甄別下述案例的情形，有所防範。

一、 Web3 合規性要求與常見法律風險

Web3 行業法律環境概覽

自 2017 年以來，中國監管部門已陸續釋出多項針對虛擬貨幣的限制政策，主要包括：

禁止 ICO（首次代幣發行）；
禁止虛擬貨幣交易所運營與提供撮合服務；
明確虛擬貨幣不具有法償性，不得作為支付工具；
禁止境外交易平臺向中國境內居民提供服務；
打擊以虛擬貨幣為載體的非法集資、傳銷、洗錢、賭博等活動。

當前主流監管基調為“全面封堵金融屬性，有限容忍技術創新”。雖然 Web3 作為技術棧本身不被禁止，但一旦觸及 Token 發行、融資、交易、礦池運營等高風險場景，便極易受到行政乃至刑事打擊。

1. 核心法律風險梳理

代幣發行與交易行為的法律風險
當前，中國法律明令禁止任何單位或個人透過 ICO、IEO、IDO 等方式進行融資活動。不論代幣是否命名為“積分”“憑證”或“治理 Token”，只要具備融資功能或可流通性，即可能構成非法金融行為。
例如，一些專案透過“空投”或“白名單”的方式分發代幣，實質上仍是面向公眾籌資。一旦籌資規模擴大，專案方將可能被追究非法吸收公眾存款罪。
技術人員若參與代幣模型設計、空投邏輯配置、合約部署等環節，也會被視為“共同行為人”，無法以“只是寫程式碼”為由免責。
賭博、傳銷、洗錢等刑事風險
Web3 專案的設計與經濟激勵模型直接影響風險等級。例如，部分鏈遊存在“充值—抽獎—提現”的閉環結構，玩家投入法幣或 USDT 購買盲盒、轉盤機會，隨機獲得稀有 NFT 或 Token，後續可在平臺提現或轉售。這種“下注—隨機收益—兌現”的機制容易被認定為開設賭場罪。
NFT 專案、DAO 社群、挖礦平臺中常見的“邀請返利”“算力掛靠”“多級推廣”模式，一旦涉及團隊計酬、多層級返傭，可能觸犯組織、領導傳銷活動罪。
場外交易中的洗錢與非法經營風險
虛擬貨幣在場外交易環節常被用作規避監管的“地下換匯”工具。境內個人先用人民幣購買 USDT、ETH 等虛擬幣，再透過鏈上或境外平臺兌換美元、歐元等外幣，形成跨境資金流轉鏈條。此過程不僅繞過外匯監管，還使虛擬貨幣成為規避外匯管制的“橋樑資產”。根據《外匯管理條例》和刑法，未經許可反覆組織撮合人民幣與外幣的虛擬幣交易，可能構成非法經營外匯業務。
更為嚴重的是，部分交易對手或資金來源與電信詐騙、賭博、毒品交易等犯罪活動相關，參與者極有可能被控洗錢罪、掩飾隱瞞犯罪所得罪，甚至在不知情的情況下被捲入“協助洗錢”的刑事鏈條。因此，在參與虛擬幣兌換時必須謹慎，對交易對手的資訊、背景、資金來源進行稽核，避免成為非法資金鍊條中的一環。
民商事爭議
在 Web3 生態中，虛擬貨幣買賣、委託他人投資是常見的交易形式。根據我國目前的政策態度和司法實踐，這類交易大機率被認定無效，即風險自擔。
以虛擬貨幣買賣為例，由於國家禁止虛擬貨幣作為法償工具，涉及“幣幣交易”的合同，法院通常不予支援。因價格波動、對價不明、交付失敗產生的糾紛，極可能遭遇“合同無效”或“法院不受理”的局面。
委託代投方面，投資人基於友情或信任接受他人資金代為投資，行情波動、投資虧損或資金去向不明時，即使雙方無惡意，也可能被追究民事賠償責任，甚至面臨涉嫌非法經營或非法集資的法律風險。委託方應在建立代投關係前，明確權利義務、委託範圍及投資限制，並妥善保留協議及操作憑證，實時監督資金流向和賬戶變動，防止出現“全權委託”後的管理真空。
受託方則必須嚴守許可權，不得擅自擴大投資範圍，例如僅授權操作現貨時，禁止擅自進行槓桿或合約交易。同時，不應輕易接受陌生資金，或公開宣傳接受公眾的資金，避免因資金安全、投資虧損等引發風險事件。

2. 全球監管背景與趨勢

全球監管背景

近年來，全球加密貨幣合規化趨勢日益明顯，監管框架穩步推進：歐盟的 MiCA 正在逐步落地；新加坡出臺新規，將反洗錢/反恐怖融資要求與 FATF 標準接軌；美國國會今年也出臺了《穩定幣法案》（GENIUS Act）和《穩定幣法案》（STABLE Act），為穩定幣發行、反洗錢和消費者保護等提供了清晰的框架。

更健全的監管框架能夠提供更清晰的指導方針，降低風險，增強使用者信心，從而為加密貨幣行業釋放新的增長機遇。越來越多的機構正在轉變對合規的認識，不再將其視為障礙，而是將其視為戰略優勢。透過積極採取 KYC、客戶盡職調查、地址篩選和交易監控等措施，他們正在全面顯著提升合規能力。

然而，區塊鏈的匿名性和鏈上互動（尤其是跨鏈活動）的複雜性對機構在風險評估、團隊協作和報告生成方面提出了重大挑戰。

什麼是 FATF？
FATF（Financial Action Task Force，金融行動特別工作組）是一個政府間組織，成立於 1989 年，總部位於法國巴黎。它是全球反洗錢和反恐怖融資標準的制定者。
1. FATF 的核心職能：
- 制定國際標準：制定反洗錢（AML）和反恐怖融資（CFT）的國際標準
- 評估成員國：對成員國進行合規性評估，釋出"灰名單"和"黑名單"
- 協調全球行動：協調各國監管機構打擊金融犯罪
2. 對 Web3 的影響：
Travel Rule（旅行規則）是 FATF 對加密貨幣行業最重要的監管要求：
- 要求虛擬資產服務提供商（VASP）在轉賬時收集和傳輸傳送方、接收方資訊
- 適用於超過 1000 美元/歐元的轉賬
- 對 DeFi 協議和 DEX 提出了合規挑戰
穩定幣監管的意義
1. 為什麼需要監管穩定幣？
系統性風險：
- 穩定幣已成為 DeFi 生態的基礎設施，總市值超過 1500 億美元
- 如果主要穩定幣（如 USDT、USDC）出現問題，可能引發系統性風險
- 2022 年 Terra UST 崩盤事件就是典型案例
貨幣政策影響：
- 穩定幣可能影響傳統金融體系的貨幣供應
- 對央行數字貨幣（CBDC）構成競爭
- 跨境支付可能繞過傳統銀行系統
2. 監管目標：
- 保護投資者：確保穩定幣有足夠的儲備資產支援
- 維護金融穩定：防止穩定幣風險傳導到傳統金融體系
- 反洗錢合規：防止穩定幣被用於非法活動
全球主要監管趨勢
1. 美國監管框架
SEC（證券交易委員會）
- 將大部分代幣視為證券進行監管
- 對 Coinbase、Binance 等交易所提起訴訟
- 重點關注 DeFi 協議的證券屬性
CFTC（商品期貨交易委員會）
- 監管加密貨幣期貨和衍生品
- 將比特幣和以太坊視為商品
OCC（貨幣監理署）
- 允許銀行提供加密貨幣託管服務
- 支援穩定幣在銀行體系中的應用
2. 歐盟監管框架
MiCA（加密資產市場法規）：
- 2024 年正式生效，是全球首個全面的加密貨幣監管框架
- 對穩定幣發行商提出嚴格的資本和流動性要求
- 要求加密貨幣服務提供商獲得許可證
關鍵要求：
- 穩定幣發行商必須持有等值儲備資產
- 大型穩定幣（超過 100 萬使用者）面臨更嚴格監管
- 禁止演算法穩定幣（如 Terra UST）
3. 香港監管框架
虛擬資產服務提供商（VASP）制度
- 2023 年 6 月生效，要求加密貨幣交易所獲得許可證
- 對零售投資者開放加密貨幣交易
- 要求平臺實施嚴格的 KYC/AML 措施
穩定幣監管
- 計劃在 2024-2025 年推出穩定幣監管框架
- 要求穩定幣發行商獲得香港金管局許可
- 對儲備資產和風險管理提出要求
4. 監管趨勢以及對 Web3 從業者的影響總結

3. Web3 入職法律風險防範指南

對於轉型進入 Web3 行業的求職者而言，入職階段需要瞭解到 Web3 領域的勞動關係與傳統行業有非常大的不同，尤其是當專案註冊地、薪酬結構、用人主體不明確時，新型的僱傭關係、社保的繳納、工資的發放形式等等都可能影響到自身的生活、未來的職業發展。

僱傭關係新形態
Web3 專案普遍採用境外註冊方式，如在新加坡、開曼群島、BVI 等設立控股實體，並透過 Telegram、Zoom 等方式線上面試及協作。這種分散式辦公模式雖帶來了靈活性，卻也打破了傳統勞動關係的邊界。
由於許多專案方在中國境內無註冊公司，不具備用工主體資格，因此難以與員工簽訂有效的《勞動合同》，也無法依法繳納五險一金。一旦發生薪資爭議或因公受傷，員工將難以依照《勞動合同法》享受合法保障。
⚠️ 需注意的是，我國社會保障體系與諸多生活事項緊密掛鉤，包括落戶、購房、貸款、子女教育、婚育福利等，缺失社保公積金的僱傭結構將直接影響個人生活。即使簽署了書面合同，也可能因主體資格缺失被認定為無效，成為“白紙黑字”。
為彌補上述漏洞，有些專案方會透過 EOR（名義僱主）模式，委託國內合規公司與員工簽署合同。透過這種方式可以解決勞動關係裡的部分問題，但在發生糾紛的情況下，勞動關係的認定仍然是需要關注的重點。
因此，入職前應結合自身情況審慎評估：
- 是否可以接受靈活用工？
- 能否接受沒有社保公積金的工作安排？如不確定，建議尋求專業律師幫助排雷。
薪酬結構及風險提示
Web3 企業的薪酬結構常見“人民幣 + Token”或“全 USDT”模式，儘管從收入上看更具吸引力，但其背後存在多重法律與稅務風險。
根據我國《勞動法》規定，工資應以法定貨幣（即人民幣）支付，不得以實物或虛擬幣等形式代替。這意味著，如果薪酬中 Token 或 USDT 部分被認定為工資支付，可能導致支付行為無效。
相反，如果該部分未被明確納入工資範圍，則會拉低員工的平均工資基數，影響其社保繳納、經濟補償計算等，間接損害勞動者合法權益。
更需注意的是，用自發 Token 支付薪資的專案，其代幣價值波動劇烈，甚至可能在專案失敗後徹底歸零，員工收入將大打折扣。
虛擬貨幣出金與合規風險
由於薪酬中常含虛擬貨幣，員工通常需要透過“出金”將其兌換為人民幣以滿足日常支出。目前主流方式為 C2C 交易，包括場內掛單、場外擔保交易、OTC 交易群等。
然而，出金過程中極易捲入刑事風險。若交易對手使用涉賭、涉詐資金購幣，收款方極可能因接收非法資金而遭遇銀行卡凍結，甚至被要求退賠全部涉案金額。與此同時，參與高價出 U 交易、協助他人洗錢、繞開監管等行為，還可能構成 “幫信罪” 或 “掩飾、隱瞞犯罪所得罪”。
因此求職者可以根據自身的經濟情況和消費習慣，若日常需要法幣支出，可以和公司協商薪資發放的方式，保留一部分法幣收入。在出金時，務必透過可信渠道進行出金，避免參與灰色交易，並定期留存相關資金合法來源記錄，以便自證清白。
專案合法性需提前審查
入職前還應重點審查專案是否合法。即便員工非主導方，若整體專案涉嫌非法金融活動，也可能被牽連調查。建議主動要求查閱專案白皮書、Token 分發機制、收益模型、是否面向中國大陸使用者、是否含有返利結構、投資承諾等。

4. Web3 專案的刑事風險及案例介紹

Web3 專案常常透過跨境分割槽的方式來規避境內的監管風險，通常為在境外開展敏感業務部分，境內主要負責技術研發。

但需要注意的是，中國刑法中不僅規定了屬地管轄，同時也規定了屬人管轄，也即即便境外部分在中國境外犯罪的，中國刑法也具有管轄權，屆時境內的主體和個人可能需要承擔相應的刑事責任，即便不是主犯，也可能會被認定為共同犯罪或者幫助犯罪。

在刑事犯罪中，各位尤其需要警惕構成賭博、非法經營、非法集資、傳銷等的風險。

開設賭場罪、賭博罪
《刑法》第三百零三條第二款規定： “開設賭場的，處五年以下有期徒刑、拘役或者管制，並處罰金；情節嚴重的，處五年以上十年以下有期徒刑，並處罰金。” 一般認為，賭博是指就偶然的輸贏以財物進行賭事或者博戲的行為，而開設賭場則是行為人開設在其支配下供他人賭博的場所的行為。
最高法、最高檢、公安部《關於辦理網路賭博犯罪案件適用法律若干問題的意見》進一步規定：“利用網際網路、移動通訊終端等傳輸賭博影片、資料，組織賭博活動，具有下列情形之一的，屬於刑法第三百零三條第二款規定的‘開設賭場’行為：
（一）建立賭博網站並接受投注的；
（二）建立賭博網站並提供給他人組織賭博的；
（三）為賭博網站擔任代理並接受投注的；
（四）參與賭博網站利潤分成的。”
實踐中，虛擬貨幣的身影大量出現於開設賭場刑事案件中。此外，2021 年最高檢召開的“依法履行檢察職能，從嚴懲治開設賭場犯罪”新聞釋出會中，最高檢第一檢察廳副廳長張曉津表示“涉嫌賭博的應用軟體，有一個顯著的特徵，就是具有相關的提現功能”，因此如果參與的應用專案涉及提現的應當格外注意。
案例 1
2018 年 6 月至 2020 年 12 月期間，被告人謝某非、劉某功等人經胡某宇（未歸案）召集，在 EOS 區塊鏈上開發名為 BigGame 的賭博平臺並接受投注。
具體分工如下：
- 謝某非負責平臺運營和推廣；
- 劉某功負責平臺技術開發和維護；
- 被告人王某負責平臺服務端使用者模組程式碼編寫和維護；
- 被告人周某情、吳某等分別負責平臺產品設計、合約程式碼編寫；
- 被告人黃某豪、林某蟬負責平臺客戶端程式碼編寫；
- 被告人李某儀負責英文翻譯、英文客服和平臺推廣；
- 被告人餘某棷負責中文客服和平臺推廣。
謝某非等人在 BigGame 賭博平臺執行期間，先後開發推出“擲骰子”“紅黑大戰”等賭博遊戲。2019 年 9 月 2 日至 2020 年 12 月 13 日，共有 2 萬餘使用者在該賭博平臺投注賭博，賭資累計達 3.3 億餘個 EOS 幣（虛擬貨幣），平臺總盈利為 322 萬餘個 EOS 幣。其中，謝某非分得 30 萬餘個 EOS 幣，劉某功分得 22 萬餘個 EOS 幣。
江蘇省建湖縣人民法院於 2023 年 8 月 25 日作出（2022）蘇 0925 刑初 266 號刑事判決，認定被告人謝某非、劉某功等 10 人均構成開設賭場罪，其中，謝某非、劉某功為主犯，分別判處有期徒刑五年九個月、四年六個月，並處罰金人民幣六十萬元、四十五萬元；其餘 8 名被告人為從犯，分別判處有期徒刑二年四個月至三年不等，適用緩刑三年至四年不等，並處罰金人民幣六萬至八萬不等。宣判後，謝某非、劉某功提出上訴。江蘇省鹽城市中級人民法院於 2023 年 12 月 19 日作出（2023）蘇 09 刑終 372 號刑事裁定：駁回上訴，維持原判。
相關資料參考：https://mp.weixin.qq.com/s/lO3la_KujJG7BPgV64Z7SQ
非法經營罪
《刑法》第二百二十五條規定：“違反國家規定，有下列非法經營行為之一，擾亂市場秩序，情節嚴重的，處五年以下有期徒刑或者拘役，並處或者單處違法所得一倍以上五倍以下罰金；情節特別嚴重的，處五年以上有期徒刑，並處違法所得一倍以上五倍以下罰金或者沒收財產：
（一）未經許可經營法律、行政法規規定的專營、專賣物品或者其他限制買賣的物品的；
（二）買賣進出口許可證、進出口原產地證明以及其他法律、行政法規規定的經營許可證或者批准檔案的；
（三）未經國家有關主管部門批准非法經營證券、期貨、保險業務的，或者非法從事資金支付結算業務的；
（四）其他嚴重擾亂市場秩序的非法經營行為。”
跨境支付專案從業者需要謹慎評估自身業務，避免透過虛擬貨幣作為媒介工具實現人民幣和外幣的兌換，利用虛擬貨幣進行外匯買賣的非法經營活動以及利用虛擬貨幣進行支付結算的非法經營活動的，極有可能構成非法經營罪。
案例 2
在郭某釗等人非法經營、幫助資訊網路犯罪活動案中，陳某國（另案處理）、郭某釗等人在 2018 年 1 月至 2021 年 9 月搭建“TW711 平臺”、“火速平臺”等網站，以虛擬貨幣泰達幣為媒介，為客戶提供外幣與人民幣的匯兌服務。換匯客戶在上述網站儲值、代付等業務板塊下單後，向網站指定的境外賬戶支付外幣。網站以上述外幣在境外購買泰達幣後，由範某玭透過非法渠道賣出取得人民幣，再按照約定匯率向客戶指定的境內第三方支付平臺賬戶支付相應數量的人民幣，從中賺取匯率差及服務費。上述網站非法兌換人民幣 2.2 億餘元。其中，範某玭透過操作詹某祥、梁某鑽等人提供的虛擬貨幣交易平臺賬戶及人民幣銀行賬戶，從陳某國處接收泰達幣 600 餘萬個，兌換人民幣 4000 餘萬元。
2022 年 6 月 27 日，上海市寶山區人民法院作出判決，以非法經營罪判處郭某釗有期徒刑五年，並處罰金人民幣二十萬元；判處範某玭有期徒刑三年三個月，並處罰金人民幣五萬元；以幫助資訊網路犯罪活動罪判處詹某祥有期徒刑一年六個月，並處罰金人民幣五千元；判處梁某鑽有期徒刑十個月，並處罰金人民幣二千元。最高檢和國家外管局將該案列入懲治外匯犯罪典型案例：明知他人非法買賣外匯，以兌換虛擬貨幣為媒介提供幫助的，屬於非法經營罪的共犯。
在中國，虛擬貨幣不具有與法定貨幣等同的法律地位，但以虛擬貨幣為媒介幫助他人間接實現本幣和外幣之間的非法兌換，系非法買賣外匯犯罪鏈條中的重要環節，應予依法懲治。提供虛擬貨幣行為人與非法買賣外匯人員事前通謀，或者明知他人非法買賣外匯，仍透過交易虛擬貨幣等方式為其實現本幣與外幣轉換提供實質幫助的，構成非法經營罪的共同犯罪。向非法買賣外匯人員提供虛擬貨幣交易服務，但對所幫助犯罪行為只是概括認識，並沒有具體認識到幫助非法買賣外匯犯罪的，可以幫助資訊網路犯罪活動罪追究刑事責任。
非法吸收公眾存款罪
《刑法》第一百七十六條規定：“非法吸收公眾存款或者變相吸收公眾存款，擾亂金融秩序的，處三年以下有期徒刑或者拘役，並處或者單處罰金；數額巨大或者有其他嚴重情節的，處三年以上十年以下有期徒刑，並處罰金；數額特別巨大或者有其他特別嚴重情節的，處十年以上有期徒刑，並處罰金。”
最高人民法院《關於審理非法集資刑事案件具體應用法律若干問題的解釋》第二條規定：“實施下列行為之一，符合本解釋第一條第一款規定的條件的，應當依照刑法第一百七十六條的規定，以非法吸收公眾存款罪定罪處罰：……（八）以網路借貸、投資入股、虛擬幣交易等方式非法吸收資金的；……”。
誘使公眾支付資金並提供“挖礦”服務以及直接吸收公眾手中所擁的虛擬貨幣的，均存在被認定為非法吸收公眾存款罪的風險。
案例 3
案例：在郜某非法吸收公眾存款案中，2019 年，同案人鄭某、王某3(均另案處理)經密謀後，著手開發 ALLINPAY 系統平臺(以下簡稱 AIP 平臺)，鄭某聘請同案人李某 2 負責開發和維護 AIP 平臺中的“錢包”和“交易所”，聘請同案人陳某 2(另案處理)運營和維護 AIP 平臺中的“商城”……具體模式如下：
一、集資參與人透過 AIP 平臺承兌商進行投資，購買 AIP 平臺“商城”中的“礦機”，後透過“礦機”釋放數倍至數十倍於投資款的 AIP 積分。後集資參與人將其 AIP 積分在 AIP 平臺按照規定比例兌換成 AIP 幣，再將 AIP 幣在 AIP 平臺“交易所”中透過交易買賣的方式兌換成 USDT 幣等虛擬貨幣，最後將其所得的 USDT 幣等虛擬貨幣賣給承兌商以提現獲利。
二、集資參與人透過 AIP 平臺購買商品同時獲贈“礦機”，後透過“礦機”釋放 AIP 積分並按照上述模式的方式獲利。法院認為，中國銀行業監督管理委員會廣東監管局辦公室出具的經營資格認定意見證實廣東 S 有限公司（案涉公司主體）吸收資金行為是未經批准的違法行為。在未取得金融許可的情況下，上訴人郜某幫助同案人王某 3、鄭某等人採用網路直播、線下宣講會等公開宣傳方式，以消費返利和投資返利為誘餌，向社會不特定人群宣傳推廣“AIP”平臺，吸引社會公眾在該平臺購買礦機投資，涉案的大部分資金去向不明。
已報案的佘某等 25 名集資參與人的投入金額共計 7615000 元。經審計，2019 年 10 月至 2020 年 7 月期間，AIP 平臺非法吸收公眾存款共計人民幣 116672044.33 元。上訴人郜某受僱傭任商學院副院長，參與教學和宣傳，並使用其妻子趙某的銀行卡收取會員錢財。上訴人郜某明知同案人實施違法行為，仍幫助同案人非法吸收公眾存款，原判認定上訴人郜某的行為構成非法吸收公眾存款罪並無不當。
組織、領導傳銷活動罪
《中華人民共和國刑法》第二百二十四條之一（組織、領導傳銷活動罪）規定：“組織、領導以推銷商品、提供服務等經營活動為名，要求參加者以繳納費用或者購買商品、服務等方式獲得加入資格，並按照一定順序組成層級，直接或者間接以發展人員的數量作為計酬或者返利依據，引誘、脅迫參加者繼續發展他人參加，騙取財物，擾亂經濟社會秩序的傳銷活動的，處五年以下有期徒刑或者拘役，並處罰金；情節嚴重的，處五年以上有期徒刑，並處罰金。”
《禁止傳銷條例》第二條規定：“本條例所稱傳銷，是指組織者或者經營者發展人員，透過對被髮展人員以其直接或者間接發展的人員數量或者銷售業績為依據計算和給付報酬，或者要求被髮展人員以交納一定費用為條件取得加入資格等方式牟取非法利益，擾亂經濟秩序，影響社會穩定的行為。”
《禁止傳銷條例》對傳銷的界定，並無“以推銷商品、提供服務等經營活動為名”的限制，刑法在《禁止傳銷條例》的基礎上對傳銷行為作了入罪限制。由於鏈遊專案需要購買平臺代幣、道具等才能參與遊戲的，若平臺採用層級性返利的方式發展遊戲使用者、擴大使用者規模，可能涉嫌傳銷犯罪。
案例 4
在陳某等組織、領導傳銷活動案中，被告人陳某以區塊鏈為概念策劃在網際網路設立 PlusToken 平臺，先後聘請被告人鄭某、王某團隊開發、運營維護該 APP 並建立域名為 www.plToken.io 的網站，該平臺 A 某某於 2018 年 5 月 1 日正式上線。同時，被告人陳某、丁某、彭某、谷某等人成立了 PlusToken 平臺最高市場推廣團隊—— S 社群，透過微信群、網際網路、不定期組織會議、演唱會、旅遊等方式釋出 PlusToken 平臺的介紹、獎金制度、運營模式等宣傳資料，虛構、誇大平臺實力及盈利前景進行宣傳推廣。最終法院以組織、領導傳銷活動罪追究陳某等人的刑事責任。
法院的裁判要旨在於：
1. 透過建立專門網站和系統軟體，以區塊鏈、人工智慧、數字貨幣等新技術、新概念作偽裝，利用網際網路進行虛假宣傳推廣，在無實質經營的情況下要求會員交納一定數量的加密數字貨幣作為門檻費，許以高利鼓動繼續發展下線會員，並以發展人員的數量和交納的費用作為返利的依據，本質上屬於以發展會員獲得獎金為目的騙取錢財的傳銷行為。
2. 行為同時符合組織、領導傳銷活動罪與集資詐騙罪的外部行為特徵，無法認定行為人是否具有非法佔有目的，不成立組織、領導傳銷活動罪與集資詐騙罪的競合，應當以組織、領導傳銷活動罪追究刑事責任。組織者、領導者的認定要堅持發展人數與層級的形式判斷與具體作用的實質判斷相結合。
3. 網路技術開發人員明知其開發的軟體所實現的層級體系和獎勵模式被用於傳銷犯罪，仍然予以提供的，已經超出幫助資訊網路犯罪活動罪的規制範疇，應當以組織、領導傳銷活動罪的共犯認定。
洗錢罪
《刑法》第一百九十一條規定：“為掩飾、隱瞞毒品犯罪、黑社會性質的組織犯罪、恐怖活動犯罪、走私犯罪、貪汙賄賂犯罪、破壞金融管理秩序犯罪、金融詐騙犯罪的所得及其產生的收益的來源和性質，有下列行為之一的，沒收實施以上犯罪的所得及其產生的收益，處五年以下有期徒刑或者拘役，並處或者單處罰金；情節嚴重的，處五年以上十年以下有期徒刑，並處罰金：
（一）提供資金帳戶的；
（二）將財產轉換為現金、金融票據、有價證券的；
（三）透過轉帳或者其他支付結算方式轉移資金的；
（四）跨境轉移資產的；
（五）以其他方法掩飾、隱瞞犯罪所得及其收益的來源和性質的。”
由於虛擬貨幣的來源可能無法難以甄別，如果沒有做好 KYC（know-your-customer）和 AML（反洗錢）措施，可能會觸發洗錢等違法行為。
案例 5
在陳某某洗錢案中，陳某某明知是金融詐騙犯罪的所得及其產生的收益，為掩飾、隱瞞其來源和性質，提供資金賬戶，將財產分別轉換成人民幣和虛擬貨幣，透過轉賬協助資金轉移匯往境外，其行為已構成洗錢罪。後最高人民檢察院、中國人民銀行將其列入懲治洗錢罪典型案例，並指出：
1. 利用虛擬貨幣跨境兌換，將犯罪所得及收益轉換成境外法定貨幣或者財產，是洗錢犯罪新手段，洗錢數額以兌換虛擬貨幣實際支付的資金數額計算。雖然中國監管機關明確禁止代幣發行融資和兌換活動，但由於各個國家和地區對比特幣等虛擬貨幣採取的監管政策存在差異，透過境外虛擬貨幣服務商、交易所，可實現虛擬貨幣與法定貨幣的自由兌換，虛擬貨幣被利用成為跨境清洗資金的新手段。
2. 上游犯罪查證屬實，尚未依法裁判，或者依法不追究刑事責任的，不影響洗錢罪的認定和起訴。在追訴犯罪過程中，可能存在上游犯罪與洗錢犯罪的偵查、起訴以及審判活動不同步的情形，或者因上游犯罪嫌疑人潛逃、死亡、未達到刑事責任年齡等原因出現暫時無法追究刑事責任或者依法不追究刑事責任等情形。洗錢罪雖是下游犯罪，但是仍然是獨立的犯罪，從懲治犯罪的必要性和及時性考慮，存在上述情形時，可以將上游犯罪作為洗錢犯罪的案內事實進行審查，根據相關證據能夠認定上游犯罪的，上游犯罪未經刑事判決確認不影響對洗錢罪的認定。

5. 其他風險

虛擬貨幣風險：
中國整體監管對於虛擬貨幣為禁止態度。《關於進一步防範和處置虛擬貨幣交易炒作風險的通知（銀髮〔2021〕 237 號）》：確定（1）“虛擬貨幣”不具有與法定貨幣等同的法律地位，不能作為貨幣在市場上流通使用。（2）“虛擬貨幣”相關業務活動定性為非法金融活動（包括境外“虛擬貨幣”交易所透過網際網路向我國境內居民提供的服務），提示公眾參與“虛擬貨幣”投資交易活動存在的法律風險。（3）嚴厲打擊“虛擬貨幣”相關的非法金融活動以及犯罪活動。在禁止金融機構、非銀支付機構、網際網路企業為“虛擬貨幣”相關業務活動提供服務的同時，要求加強對“虛擬貨幣”相關的市場主體登記和廣告管理。
相關資料參考：https://mp.weixin.qq.com/s/5ZwXQFD9gdAyflrVO3rERg
代幣發行的風險：
《關於防範代幣發行融資風險的公告》規定 ICO 為未經批准非法公開融資的行為，明確了代幣的非貨幣屬性，並禁止各類代幣交易所的兌換、買賣、定價和資訊中介服務。
挖礦的風險：
《關於整治虛擬貨幣“挖礦”活動的通知》《關於進一步防範和處置虛擬貨幣交易炒作風險的通知》規定，虛擬貨幣“挖礦”活動屬於高能耗、高排放、低貢獻的淘汰類產業，被全面禁止。虛擬貨幣相關全部業務活動均屬於非法金融活動。境外交易所向境內居民提供服務同樣非法。
相關資料參考：https://mp.weixin.qq.com/s/Ia6ksDJNyrciEU90n4rV4A

二、常見網路安全風險與防護措施

隨著區塊鏈、Web3 等新興技術的普及，越來越多的學生開始接觸加密貨幣、數字錢包、遠端實習和線上面試。然而，網路空間的“黑暗森林”法則同樣適用於每一位新手：只要你暴露在網路世界，就有可能成為攻擊者的目標。尤其是學生群體，因經驗不足、警惕性不高，極易成為網路攻擊的受害者。
本節將結合真實案例，系統梳理常見的網路安全風險、攻擊方式、攻擊手段與後果，幫助大家建立基本的安全防範意識。

2. 常見網路安全風險與攻擊方式

釣魚攻擊（Phishing）
釣魚攻擊是最常見、最有效的網路攻擊手段之一。攻擊者透過偽造官方網站、社交賬號、郵件、簡訊等，誘導受害者點選惡意連結、輸入敏感資訊（如助記詞、私鑰、賬號密碼），或下載惡意軟體。
- 偽造郵件/網站： 攻擊者會仿冒知名企業、學校、專案方的郵箱或網站，傳送“面試通知”“獎學金髮放”“賬號異常”等緊急資訊，誘導你點選釣魚連結。
- 社交平臺釣魚： 在微信群、QQ 群、Telegram、Discord 等社群中，冒充官方人員、HR、學長學姐，釋出虛假招聘、空投、福利活動。
- 假冒客服/好友： 透過盜號、偽造頭像暱稱等方式，冒充你信任的人，誘導你轉賬或洩露資訊。
典型案例
案例 1：面試釣魚——“請提前安裝我們內部影片軟體”
小劉投遞實習後收到 技術面試助手.zip，被要求提前安裝。木馬執行後立刻彈出面試介面並錄製螢幕，後臺卻上傳瀏覽器 Cookie 與桌面檔案。面試結束第三天，他的校招郵箱被用來群發垃圾，校園統一身份認證也被盜登。
最新真實案例：https://x.com/evilcos/status/1947852713309704687
教訓： 正規企業面試基本使用 Web 會議；若必須安裝客戶端，先在虛擬機器測試；安裝前查詢 SHA256 摘要、閱讀許可權提示。
案例 2：獎學金釣魚——“填寫資訊領取 200 USDT”
在某學習交流群，有人冒充學校合作方，釋出“獎學金空投”表單和網頁。網頁要求連線錢包並簽名“驗證學生身份”。實際上，簽名內容被攻擊者利用，直接盜走了錢包內的全部資產。
攻擊後果
- 錢包資產被盜，無法追回
- 個人資訊、賬號密碼洩露，導致二次受害
- 電腦被植入後門，長期處於被監控、被操控狀態
惡意軟體/木馬（Malware & Trojan）
攻擊方式與手段
- 偽裝成面試/學習軟體： 攻擊者將木馬程式偽裝成“面試專用軟體”“學習資料”“破解工具”等，誘導學生下載安裝。
- 剪貼簿劫持： 木馬常駐後臺，監控剪貼簿內容，一旦檢測到錢包地址，自動替換為攻擊者地址。
- 瀏覽器擴充套件/外掛後門： 透過偽裝成熱門外掛，竊取瀏覽器中的敏感資料。
- 遠端控制： 木馬獲取系統許可權後，可遠端操控電腦，竊取檔案、錄屏、鍵盤記錄等。
典型案例
案例 3：虛假面試軟體投毒
某學生在 BOSS 直聘上收到“區塊鏈公司”面試邀請，對方發來“公司專用視訊會議軟體”。安裝後，電腦被植入木馬，所有錢包檔案、瀏覽器 Cookie、密碼管理器資料被上傳到攻擊者伺服器。幾天後，學生髮現自己的 Telegram、郵箱、交易所賬號全部被盜，資產損失慘重。
案例 4：剪貼簿木馬
學生在網上下載了“免費論文查重工具”，實際為木馬。之後每次複製錢包地址準備轉賬時，地址都會被悄悄替換為攻擊者的地址，導致多次轉賬失敗或資產被盜。
攻擊後果
- 錢包助記詞/私鑰洩露，資產被盜
- 賬號密碼、隱私檔案被竊取
- 電腦被遠端操控，成為“肉雞”或被勒索
社交工程攻擊（Social Engineering）
攻擊方式與手段
- 冒充 HR/導師/同學： 透過社交平臺、郵件、電話等方式，冒充你信任的人，獲取信任後誘導你操作。
- 群聊釣魚： 在微信群、QQ 群、Telegram、Discord 等群聊中，冒充管理員、官方人員，釋出釣魚連結或虛假活動。
- “好友”求助： 盜取你好友賬號後，以“急需用錢”“幫忙測試”“轉發連結”等理由誘導你轉賬或點選惡意連結。
典型案例
案例 5：社交平臺假冒好友
小李在 Telegram 上收到“學長”發來的訊息，稱有一份區塊鏈實習內推機會，需要他填寫表單並連線錢包驗證。小李信以為真，結果錢包被盜，損失慘重。
攻擊後果
- 個人資訊、賬號密碼洩露
- 錢包資產被盜
- 被利用為“跳板”，繼續攻擊他人
供應鏈/第三方依賴攻擊
攻擊方式與手段
- 惡意瀏覽器外掛/擴充套件：攻擊者在 Chrome 商店等平臺上傳帶有後門的外掛，誘導使用者安裝。
- 開源庫後門：攻擊者在常用開源庫、依賴包中植入惡意程式碼，影響大量下游使用者。
- 官方渠道被劫持：即使是“正規商店”下載的軟體，也可能因被攻擊而批次感染。
典型案例
案例 6：瀏覽器外掛後門
某學生在 B 站看到“提高交易效率的外掛”影片，隨文案連結安裝了假外掛。該外掛在每次發起轉賬時將“收款地址”替換為攻擊者地址，造成 ETH 與 NFT 共計 0.8 萬美元損失。
教訓：瀏覽器只認官方商店；更新要核對開發者與下載量；轉賬前仔細校驗地址前後 4 位。
攻擊後果
- 大量使用者同時中招，損失巨大
- 難以追查源頭，防不勝防
地址汙染與掃描木馬（Clipper/Scanning Bots）
攻擊方式與手段
- 剪貼簿劫持：木馬監控剪貼簿，一旦檢測到錢包地址，自動替換為攻擊者地址。
- 輸入框監聽：惡意軟體監聽瀏覽器或輸入法，實時獲取輸入內容。
典型案例
案例 7：轉賬地址被劫持
學生在轉賬學費時，複製貼上錢包地址，實際被木馬替換為攻擊者地址，導致資金直接轉入駭客賬戶，無法追回。
攻擊後果
- 資金轉入錯誤地址，無法找回
- 多次轉賬均被劫持，損失加劇
傳統隱私與賬號安全風險
攻擊方式與手段
- 弱密碼/密碼複用：多個平臺使用相同密碼，一旦某個平臺洩露，其他賬號也被攻破。
- 郵箱/SIM 卡劫持：透過社工、運營商漏洞等手段，劫持你的郵箱或手機號，重置所有賬號密碼。
- 雙因素認證缺失：未開啟 2FA，賬號易被盜。
典型案例
案例 8：郵箱被盜導致全盤失守
學生郵箱被釣魚郵件攻破，攻擊者透過“找回密碼”功能，重置了其所有社交、交易所、錢包等賬號密碼，造成全部資產和隱私資訊洩露。
攻擊後果
- 所有賬號被盜，資產損失
- 個人隱私、學習資料、證件等被洩露

3. 防護清單（學生版）

面試/實習相關
- 只用官方 Zoom/Teams/騰訊會議等公開工具，拒絕安裝任何“專用面試軟體”
- 核實面試邀請郵箱、域名、聯絡人，多渠道確認
- 遇到“提前安裝軟體”“下載資料包”等要求，務必警惕，先查官網/Google/知乎/Reddit 等是否有安全警告
獎學金/空投/福利活動
- 任何要求“連線錢包”“簽名驗證”“輸入助記詞/私鑰”的網頁，99% 是騙局
- 空投、福利只用專門測試錢包，主錢包冷儲存，絕不輕易暴露
- 收到“繳費”“獎學金調整”類訊息時，先撥打官網熱線複核；校園通知留意域名是否官方主域。
社交平臺/群聊
- 不輕信群內“官方人員”“管理員”“學長學姐”的私聊和連結
- 遇到“幫忙測試”“轉發連結”“緊急轉賬”等請求，務必多方核實
軟體/外掛安裝
- 所有軟體、外掛只從官網、官方應用商店下載
- 安裝前先查口碑、使用者數、是否有安全警告
- 瀏覽器外掛控制在 3 個以內，且只用官方錢包、密碼管理器、廣告遮蔽器
- 面試／競賽前索要安裝包時，要求公開 MD5 與官網對比；核查數字簽名頒發者和時間戳。
- 開啟系統防火牆、瀏覽器外掛許可權管理；對攝像頭與麥克風按需授權。
賬號與密碼安全
- 重要賬戶啟用 2FA（簡訊易被劫持，優選谷歌驗證或硬體金鑰）；不要在同一瀏覽器裡儲存助記詞與日常 Cookie。
- 使用密碼管理器（如 1Password、Bitwarden），每個平臺設定獨立強密碼
- 郵箱、手機號安全重於一切，定期更換密碼，防止被劫持
錢包與轉賬
- 轉賬前務必核對地址前 6 位和後 4 位，防止剪貼簿被劫持
- 助記詞/私鑰只離線儲存，絕不截圖、上傳網盤或發給任何人
- 定期檢查錢包授權，及時取消不必要的授權（可用 Revoke.cash、Etherscan 等工具）

重要

遇到疑似攻擊第一時間斷網、截圖、拍照、記錄時間點並尋求校內資訊中心或專業社群幫助。

區塊鏈技術的出現誕生了我們現在所處的行業，無論你如何稱呼這個行業，鏈圈、幣圈、區塊鏈、加密貨幣、虛擬貨幣、數字貨幣、Crypto、Web3 等等，一切的核心幾乎都還是圍繞區塊鏈。最熱鬧的都與金融活動有關，比如幣這個玩意，包括非同質化代幣（NFT，也叫數字藏品）。

這個行業有超凡的活力與吸引力，但存在太多作惡方式。由於區塊鏈的一些獨特性，也出現了些比較獨特的作惡方式。這些作惡方式大體包括：盜幣、惡意挖礦、勒索病毒、暗網交易、木馬的 C2 中轉、洗錢、資金盤、博彩等等。

三、騙局實際案例分享

高階攻擊方式其實真很多，大多在大眾視角下無非就是：我被釣魚了。但這釣魚可真高階了，比如：
https://twitter.com/Arthur_0x/status/1506167899437686784
駭客透過郵件傳送釣魚，郵件裡附帶的文件是： A Huge Risk of Stablecoin(Protected).docx
這確實是一份很有吸引力的文件... 但這份文件開啟後電腦就可能被植入木馬（一般透過 Office 宏指令碼方式或 0day/1day），這類木馬一般都會包括如下常規功能：
- 各種憑證採集，如瀏覽器的，SSH 有關的等，這樣駭客就可以把觸手伸向目標使用者的其他服務。所以中毒後，一般都會建議使用者不僅目標裝置清理乾淨，相關賬號許可權該改的都需要及時更改。
- 鍵盤記錄，尤其採集那些臨時出現的敏感內容，如密碼等。
- 相關截圖、敏感檔案採集等。
- 如果是勒索病毒，進一步的就是將目標裝置上的檔案都高強度加密了，等待受害者來支付贖金，一般是支付比特幣。但這裡不是勒索病毒，畢竟勒索病毒的動作太大了，意圖直接粗暴。
來自“官方”的釣魚
壞人真的善於借勢搞事，尤其是借官方的勢。能仿冒就儘量仿冒得很像很像，如上面提過的假客服。還有如 2022.4 出頭，Trezor 這款知名的硬體錢包的許多使用者就收到來自 trezor.us 的釣魚郵件，實際上 trezor.us 並不是 Trezor 官方域名。Trezor 官方域名只是 trezor.io。僅僅域名字尾不一樣。另外釣魚郵件裡傳播瞭如下域名： https://suite.trẹzor.com
trezor.us 釣魚網站頁面
這個域名是有“亮點”的，仔細看那個 ẹ 並不是英文字母 e。非常的迷惑性，實際上這是 Punycode，標準說明是這樣的：
A Bootstring encoding of Unicode for Internationalized Domain Names in Applications (IDNA) 也就是國際化域名編碼，可以表示 Unicode 碼和 ASCII 碼的有限字符集。
如果把 trẹzor 解開後的樣子是這樣：xn--trzor-o51b，這才是真身！
Punycode 這種釣魚方式，幾年前就有真實利用了，比如 2018 年時，幣安的一些使用者就中招過。
這種域名看去很像的釣魚就可以讓許多人上當，更別提更高階的攻擊方式，比如一些官方郵箱被控制，還有一種使用者郵箱 SPF 配置問題導致的郵件偽造攻擊。在使用者眼裡看到的郵件來源就是一模一樣的官方特徵。
如果是內部人作惡，那使用者就自求多福了。專案方內部的安全風控一定要特別重視人員安全，這永遠是最值得花成本、花精力去建設的。人是最大的那隻特洛伊木馬，但卻最容易被忽視。有的人安全意識實在太差，在安全上又不思進取。這種人，誰招誰倒黴。