區塊鏈:放任套利機器人攻擊 Transit Swap，技術中立能否免責？

2022年10月2日凌晨，鏈上閃兌協議TransitSwap遭到黑客攻擊，大量用戶總價值超過2500萬美元的加密貨幣被多個黑客地址非法盜取，引起加密社區廣泛恐慌。幣追Bitrace團隊第一時間介入并協同官方調查。經查，被盜原因系TransitSwap的核心代碼漏洞被黑客利用獲取用戶地址資產無限授權，進而導致用戶資產被批量歸集轉移。

此次安全事故除受害者規模與受損資金規模龐大外，部分直接參與攻擊的地址也十分特別，據慢霧安全團隊首次披露，非法獲利者中竟存在多個搶跑套利者與攻擊攻擊模仿者。而如何給這類特殊攻擊行為定性，顯然也值得嚴肅的討論。

一、什么是搶跑機器人？

ConsenSys拋售1.5萬枚RPL換取約48萬枚USDC:7月21日消息，據Spot On Chain監測顯示，ConsenSys在6小時前拋售了1.535萬枚RPL，以換取47.794萬枚USDC。據悉，ConsenSys在2021年12月21日至2023年7月1日期間從OracleDAO獎勵中獲得這些RPL，并在過去一周價格下跌時全部賣出。[2023/7/21 11:08:50]

Frontrunning是在一個已知的未來事務發生之前，在執行隊列中第一個獲取事務的行為。

在區塊鏈上，搶跑可以理解為通過提高交易費，來讓節點優先打包自己提交的交易的行為，以爭取某個唯一利潤機會。例如某人發現DEX資金池中某個代幣存在明顯的套利空間，當他將套利交易提交到區塊鏈網絡，便有可能被套利者監聽，后者能夠采用更高的手續費提交同筆交易，進而實現搶先。結果則是套利者取走利潤，最初提交交易的人失敗，且白白浪費手續費。

英國網球天才新秀Felix Mischker通過FANtium募集5萬美元:金色財經報道，英國網球天才新秀Felix Mischker宣布通過體育資產代幣化平臺FANtium募集5萬美元資金，FANtium于去年10月完成200萬歐元天使輪融資，The Sandbox聯創等參投，該平臺使運動員能夠將他們未來收入的一部分代幣化，并將其提供給球迷，如果運動員成功登頂并成為職業選手，球迷們將獲得他們在錦標賽獎金中的所有權份額。(wfmz)[2023/3/1 12:36:52]

當前，鏈上套利者們已經在區塊鏈網絡中建立起許多智能合約，用以識別有利可圖的交易并自動執行搶跑。

廣東省金管局副局長：積極開展多類型場景化試點，打造符合金融業務場景的區塊鏈基礎設施:6月27日消息，6月24日，國家區塊鏈創新應用試點項目發布會暨金融科技沙龍活動在第11屆中國（廣州）國際金融交易博覽會上成功舉辦。廣東省地方金融監督管理局倪全宏副局長表示，廣州在廣東省發展區塊鏈產業、推動產業數字化轉型發揮了積極引領作用，充分肯定廣州在申報國家區塊鏈創新應用試點過程中付出的努力，要求廣州繼續深入貫徹落實中央網信辦、國家金融監管部門等有關部門關于試點工作的相關要求，加快推進試點項目建設和任務落實，積極開展多類型場景化試點，打造符合金融業務場景的區塊鏈基礎設施，充分發揮區塊鏈可溯源、數據不可篡改等技術特性，推動更多維度的數據上鏈，提升金融服務效能，加強金融風險防范，確保試出成效，形成廣州經驗和模式。[2022/6/27 1:32:47]

二、鏈上搶跑違法嗎？

北京盈科律師事務所曹世勇律師認為：利用區塊鏈網絡的公開透明特性，自動執行搶跑交易的智能合約，在某種程度上，可以說是一種純粹的中立技術，在很多技術開發方或者提供方看來，是不可能觸犯刑法的。但是，技術無罪論的觀點其實只是技術方的一廂情愿而已，一旦技術不加分別地開啟作惡，那部署技術的技術方也會存在極大的刑事法律風險。

黑客因被搶跑而失敗的盜幣交易

本次事件中，由最主要攻擊者發起，意圖非法獲取他人加密資產的某筆交易，被套利程序自動識別并搶先執行，導致大量無辜用戶總價值超過一百萬美元的$BUSD被轉入至部署套利程序的套利者的錢包地址。

套利者主觀上對套利程序會造成鏈上他人的加密資產損失存在間接故意，客觀上又放任了機器人的搶先執行行為，最終導致他人資產秘密轉移至自己的地址，其非法性是顯而易見的，甚至會觸犯我國刑法。

三、盜幣侵犯了哪些法益？

曹世勇律師認為：加密貨幣本質是一種計算機數據，同時也具備一定的財產屬性。非法獲取他人加密貨幣侵犯了計算機信息系統安全管理秩序和財產法益，既涉嫌構成非法獲取計算機信息系統數據罪，同時，也涉嫌構成盜竊罪。

套利者搶跑造成的損害

而在本次TransitSwap被攻擊事件中：

1）被盜加密貨幣的計算機數據屬性與財產屬性無可辯駁；

2）套利者/黑客/模仿攻擊者侵入他人計算機信息系統，并修改系統中儲存的數據；

3）套利者/黑客/模仿攻擊者大量多次盜取不特定對象加密貨幣，情節嚴重。

顯然已基本滿足非法獲取計算機信息系統數據罪與盜竊罪的構成要件，黑客、模仿攻擊者與套利者在直接或間接的主觀故意支配下，非法獲取他人加密資產，事后還拒不歸還的，將很有可能受到我國刑法規制和處罰。

最后

TransitSwap官方在最新的公告中表示，希望所有參與該事件的黑客、攻擊模仿者、搶跑套利者，根據漏洞賞金及退款獎勵進行友好協商，在10月8日前退回用戶資產的地址也將不被視為攻擊者，并免遭法律規制。

截至目前，盜取最大資金的黑客已歸還超1890萬美元的被盜資金，占其盜取金額80%以上，占總被盜金額約65%。幣追Bitrace團隊也呼吁所有善意取得者及時通過郵件service@transit.finance或鏈上地址與TransitSwap取得聯系，共同維護區塊鏈安全與信任。

Tags：區塊鏈TRATRANSANS區塊鏈dapp開發合法嗎Metavault TradeData TransactionFans of Doge

以太坊交易所