作者| TaxDAO
吳說區塊鏈在7 月28 ⽇報導了《離奇案件全文: Bybit 發薪負責人大量盜取USDT 新加坡法院詳解加密貨幣財產屬性》這⼀事件,引起業內不少討論。本文將從財管角度進行分析與總結。
事件概要
加密交易所Bybit 起訴負責公司內支付⼯資的Ho 女士濫用職權,將大量USDT 轉移到她秘密擁有和控制的地址。新加坡⾼等法院普通庭7 月25 ⽇維持判決Ho女士立即向Bybit 支付所有轉移的款項與利息。
事件細節分析
1、ByBitFintechLimited(“ByBit”)尋求對第⼀被告,名為HoKaiXin(“Ho女士”)的判決。對她的指控是,她違反了她的僱傭合同,濫⽤了她的職務,將⼀些USDT轉移到了她秘密擁有和控制的“地址”,以及⼀些法幣轉移到了她自己的銀行賬戶。尋求的主要救濟是聲明Ho女士為ByBit 託管USDT 和法定貨幣。因此, ByBit 要求退還相同的或可追溯的收益,或⽀付等價值的金額。
從上述細節可得出:
1、Ho 一人完全控制薪酬有關加密貨幣賬戶和法幣賬戶,無多級授權;
2、資金控制流程存在較⼤漏洞(與賬戶有關的內控缺失即使只損失1 美⾦也是較大漏洞)。
2、作為她的職責的⼀部分,Ho女士維護了⼀份微軟Excel表格,該表格記錄了每個月應支付給ByBit員⼯的現⾦和加密貨幣支付(分別為“法幣Excel文件”和“加密貨幣Excel文件”)。 ByBit 的員工可以並且確實經常通過向Ho 女士傳達新的地址來更改他們指定的地址,然後Ho女士會更新加密貨幣Excel文件。只有Ho女士能夠更新加密貨幣Excel文件,並且只有她能訪問這些文件,除了每個⽉需要將加密貨幣Excel文件提交給她的直接上級Casandra Teo 審批。
從上述細節可得出:
1、發薪地址的收集流程較為隨意,可以隨意修改,沒有留痕;
2、發薪地址的審核不僅是形式上的,而且審核資料是單⼀來源,沒有辦法確認接收地址是否真實或者被造假。
3、2022 年9 ⽉ 7 ⽇ , ByBit 發現在2022 年5 ⽉ 31 ⽇⾄ 8 ⽉ 31 ⽇之間發生了八筆不尋常的加密貨幣⽀付(“異常交易”) ,涉及向四個地址(我將其簡單地稱為地址1 、2 、3 和4)轉⼊大量的USDT 。總共轉移了4,209,720 個USDT ( “加密資產”)。 USDT 之所以得名,是因為它的價值與美元掛鉤,每個USDT 都賦予其持有者(即發行人Tether Limited 的“驗證客戶”)以合同權利,可以⽤美元兌換他們的USDT 。這些異常交易被編⼊⼀個Excel 電子表格( “對賬Excel 文件”),Ho 女士被指派負責解釋這些差異。 Ho 女士最初將異常交易歸咎於無意的錯誤或技術錯誤,並提出計算需要從ByBit 的員⼯那⾥收回的金額。
從上述細節可得出:
1、Bybit 內部應該有對賬過程,但時間相對滯後,可能與業務量較多中後台⽀持無法跟上的原因有關;
2、事後補坑的成本遠遠大於事前規劃的成本。
4、ByBit 還發現Ho 女士在2022 年5 月導致117,238.46 美元( “法幣資產”)被支付入她的個⼈銀⾏賬戶。無可爭議的是, Ho 女士無權得到法幣。
從上述細節可得出:
1、法幣賬戶也淪陷,百思不得其解,法幣發薪這樣傳統的⼯作,不管是流程還是工具案例應該數不勝數;
2、即使出於薪資保密的原因需要交由HR進行支付和授權(部分⼯作脫離財務控制),但是基本的工資表製作、銀行支付動作和授權三者也需要分離。
適用於Web3 的財管理念
Web3 經過多年發展除了湧現不少商業巨頭,也在吸引越來越多Web2 的⼈⼠進⼊,結合最近兩年監管和合規環境的演變,必要的財管思路和⼿段需要引起越來越多的Web3 公司重視。
1、保護加密&法幣賬戶的安全:隔離風險,分離基礎信息收集節點、操作節點和授權節點,並且在每⼀個節點驗證不同來源的同⼀信息,避免信息源只有⼀處並無法對比溯源。
2、財務核驗機制:如定期對賬、記賬,同樣的驗證不同來源的同⼀信息,避免信息源只有⼀處並無法對比溯源,頻率不應超過⼀個月。核驗機制保證了“業務閉環”(沒想到更好的詞替代“閉環”),即事項的發生和是否發生的正確和在軌相互驗證。
3、會計記錄-包括加密貨幣:完整有效的會計記錄以及可回溯的證據鏈將⼤⼤降低內控失效的風險,並且利用會計記錄進行經營管理和應對外部合規義務( FTX 的崩潰與其混亂的會計記錄也存在⼀定關係)。
4、內控的必要性:重要的是要有經營管理和內控的Sense ,如果能配合內化了內控、會計、稅務大量實操經驗的優秀自動化管理軟件,可以最大化保證你的加密事業行穩致遠。