作者 | TaxDAO
吴说区块链在 7 月 28 ⽇报道了《离奇案件全文: Bybit 发薪负责人大量盗取 USDT 新加坡法院详解加密货币财产属性》这⼀事件,引起业内不少讨论。本文将从财管角度进行分析与总结。
事件概要
加密交易所 Bybit 起诉负责公司内支付⼯资的 Ho 女士滥用职权,将大量 USDT 转移到她秘密拥有和控制的地址。新加坡⾼等法院普通庭 7 月 25 ⽇维持判决 Ho女士立即向 Bybit 支付所有转移的款项与利息。
事件细节分析
1、ByBitFintechLimited(“ByBit”)寻求对第⼀被告,名为HoKaiXin(“Ho女士”)的判决。对她的指控是,她违反了她的雇佣合同,滥⽤了她的职务,将⼀些USDT转移到了她秘密拥有和控制的“地址”,以及⼀些法币转移到了她自己的银行账户。寻求的主要救济是声明Ho女士为 ByBit 托管 USDT 和法定货币。因此, ByBit 要求退还相同的或可追溯的收益,或⽀付等价值的金额。
从上述细节可得出:
1、Ho 一人完全控制薪酬有关加密货币账户和法币账户,无多级授权;
2、资金控制流程存在较⼤漏洞(与账户有关的内控缺失即使只损失 1 美⾦也是较大漏洞)。
2、作为她的职责的⼀部分,Ho女士维护了⼀份微软Excel表格,该表格记录了每个月应支付给ByBit员⼯的现⾦和加密货币支付(分别为“法币Excel文件”和“加密货币Excel文件”)。ByBit 的员工可以并且确实经常通过向 Ho 女士传达新的地址来更改他们指定的地址,然后 Ho女士会更新加密货币 Excel文件。只有 Ho女士能够更新加密货币 Excel文件,并且只有她能访问这些文件,除了每个⽉需要将加密货币 Excel文件提交给她的直接上级 Casandra Teo 审批。
从上述细节可得出:
1、发薪地址的收集流程较为随意,可以随意修改,没有留痕;
2、发薪地址的审核不仅是形式上的,而且审核资料是单⼀来源,没有办法确认接收地址是否真实或者被造假。
3、2022 年 9 ⽉ 7 ⽇ , ByBit 发现在 2022 年 5 ⽉ 31 ⽇⾄ 8 ⽉ 31 ⽇之间发生了八笔不寻常的加密货币⽀付(“异常交易”) ,涉及向四个地址(我将其简单地称为地址 1 、2 、3 和 4)转⼊大量的 USDT 。总共转移了 4,209,720 个 USDT ( “加密资产”)。USDT 之所以得名,是因为它的价值与美元挂钩,每个 USDT 都赋予其持有者(即发行人 Tether Limited 的“验证客户”)以合同权利,可以⽤美元兑换他们的 USDT 。这些异常交易被编⼊⼀个 Excel 电子表格 ( “对账 Excel 文件”),Ho 女士被指派负责解释这些差异。Ho 女士最初将异常交易归咎于无意的错误或技术错误,并提出计算需要从 ByBit 的员⼯那⾥收回的金额。
从上述细节可得出:
1、Bybit 内部应该有对账过程,但时间相对滞后,可能与业务量较多中后台⽀持无法跟上的原因有关;
2、事后补坑的成本远远大于事前规划的成本。
4、ByBit 还发现 Ho 女士在 2022 年 5 月导致 117,238.46 美元 ( “法币资产”)被支付入她的个⼈银⾏账户。无可争议的是, Ho 女士无权得到法币。
从上述细节可得出:
1、法币账户也沦陷,百思不得其解,法币发薪这样传统的⼯作,不管是流程还是工具案例应该数不胜数;
2、即使出于薪资保密的原因需要交由 HR进行支付和授权(部分⼯作脱离财务控制),但是基本的工资表制作、银行支付动作和授权三者也需要分离。
适用于 Web3 的财管理念
Web3 经过多年发展除了涌现不少商业巨头,也在吸引越来越多 Web2 的⼈⼠进⼊,结合最近两年监管和合规环境的演变,必要的财管思路和⼿段需要引起越来越多的 Web3 公司重视。
1、保护加密&法币账户的安全:隔离风险,分离基础信息收集节点、操作节点和授权节点,并且在每⼀个节点验证不同来源的同⼀信息,避免信息源只有⼀处并无法对比溯源。
2、财务核验机制:如定期对账、记账,同样的验证不同来源的同⼀信息,避免信息源只有⼀处并无法对比溯源,频率不应超过⼀个月。核验机制保证了“业务闭环”(没想到更好的词替代“闭环”),即事项的发生和是否发生的正确和在轨相互验证。
3、会计记录-包括加密货币:完整有效的会计记录以及可回溯的证据链将⼤⼤降低内控失效的风险,并且利用会计记录进行经营管理和应对外部合规义务( FTX 的崩溃与其混乱的会计记录也存在⼀定关系)。
4、内控的必要性:重要的是要有经营管理和内控的 Sense ,如果能配合内化了内控、会计、税务大量实操经验的优秀自动化管理软件,可以最大化保证你的加密事业行稳致远。