SharkTeam：2024年上半年度Web3安全報告

2024-07-08 16:07:11

一、概述

2024 年上半年因黑客攻擊、釣魚攻擊、Rugpull 詐騙造成的損失約為 14.92 億美元，相較於 2023 年上半年（約 6.90 億美元）同比增長 116.23% 。本報告旨在對全球 2024 年上半年Web3行業安全狀況、熱門事件以及加密行業關鍵監管政策進行整理分析。我們期望這份報告為讀者提供有益的信息和思路，為促進Web3的安全、健康發展貢獻力量。

二、趨勢分析

根據 SharkTeam 鏈上智能風險識別平臺 ChainAegis 數據， 2024 年上半年Web3領域共發生了 551 起安全事件（如圖 1），損失金額累計超過 14.92 億美元（如圖 2），與去年同期相比，安全事件數量增加 25.51% ，損失金額增幅達到了 116.23% 。

Figure 1 Total Count of Security Incidents in 2024 H 1

Figure 2 Total Loss of Security Incidents in 2024 H 1

2024 年上半年黑客攻擊類型的安全事件總計發生 134 起，同比 2023 年 H 1 增加 103.03% ，損失金額達到 10.80 億美元，佔比達到 73% （如圖 3），相對 2023 年 H 1 （4.36 億）同比上升 147.71% 。

Rug Pull 在上半年總共發生 243 起，同比 2023 年 H 1 共 61 起激增 331.15% ，損失金額增加 258.82% ，共計 1.22 億美元，佔整個 H 1 損失金額的 8% 。

釣魚攻擊在 H 1 總共發生 174 起，同比增漲 40.32% ，損失金額高達 2.90 億美元，佔比 19% 。

Figure 3 Amount of Loss by Attack Type in 2024 H 1

Figure 4 Amount of Count by Attack Type in 2024 H 1

H 1 分月來看（如圖 5 ，圖 6）， 5 月的損失最為嚴重，約 6.43 億美元，安全事件 92 起，其中包含 31 起黑客攻擊事件、 34 起 Rugpull 事件、 27 起釣魚攻擊事件。

Figure 5 Web3 Security Incidents Loss Overview in 2024 H 1

Figure 6 Web3 Security Incidents Count Overview in 2024 H 1

2.1 黑客攻擊

上半年共發生黑客攻擊 134 起，共計損失金額達 10.80 億美元。（具體數據見圖 7）

2024 年 5 月 21 日，以太坊上的 Gala Games 協議遭到黑客攻擊，損失 2180 萬美元，攻擊發生後項目方立即採取行動，並將黑客的地址拉進黑名單，凍結關於更多代幣出售的權限。

2024 年 5 月 31 日日本證券公司 DMM.com 旗下子公司 DMM Bitcoin 交易所發生未經授權的巨額比特幣流出，外流金額約為 480 億日元（約 3 億美元），是史上第七大損失的加密貨幣攻擊事件，也是自 2022 年 12 月以來損失最大的一次攻擊。

Figure 7 Overview of Hacking by Month in 2024 H 1

2.2 Rugpull & Scams

如下圖（圖 8）所示，Rugpull & Scam 事件 3 月發生頻率高達 63 起， 6 月發生頻率最低，共 24 起；4 月損失金額最高，約為 4745 萬美元，其中，ZKasino 項目方跑路事件為造成 4 月損失最高的主要原因。

Figure 8 Overview of Rugpull&Scam by Month in 2024 H 1

2.3 釣魚攻擊

如下圖（圖 9）所示,釣魚攻擊在 1 月發生頻率最高共 39 起，造成損失金額約 4415 萬美元；2 月發生頻率最低共 21 起，造成損失金額約 2834 萬美元。5 月雖然釣魚事件僅發生 27 起，但造成損失金額為上半年歷月最高，達到 1.08 億美元。其中， 2024 年 5 月 3 日，有用戶因地址污染釣魚手法被釣魚 1155 WBTC，價值超過 7 千萬美元。

Figure 9 Overview of Phishing by Month in 2024 H 1

三、典型案例分析

3.1 Sonne Finance 攻擊事件分析

2024 年 5 月 15 日，Sonne Finance 遭受攻擊，項目方損失超過 2 千萬美元。

攻擊者：0xae4a7cde7c99fb98b0d5fa414aa40f0300531f43

攻擊交易：

0x9312ae377d7ebdf3c7c3a86f80514878deb5df51aad38b6191d55db53e42b7f0

攻擊過程如下：

1.閃電貸 35, 569, 150 VELO，並將這些 VELO Token 轉移(transfer)至 soVELO 合約中

因為是直接轉账（捐贈），沒有鑄造 soVELO Token。因此，soVELO 合約中，totalCash 增加了 35, 569, 150 VELO， soVELO 的 totalSupply 不變。

2. 攻擊者新建合約0xa16388a6210545b27f669d5189648c1722300b8b，在新合約中對目標合約發起攻擊，攻擊過程如下：

（1）向新合約中轉入 2 soVELO

（2）將 soWETH 和 soVELO 聲明為抵押物

（3）從 soWETH 借貸 265, 842, 857, 910, 985, 546, 929 WETH

從以上 borrow 函數的執行過程中，根據 getAccountSnapshot 函數的返回值，發現：

對於 soWETH 合約，新合約余額為 0 ，借貸額為 0 ，兌換率(exchangeRate)為 208, 504, 036, 856, 714, 856, 032, 085, 073

對於 soVELO 合約，新合約余額為 2 ，即抵押了 2 wei 的 soVELO，借貸額為 0 ，兌換率(exchangeRate)為 17, 735, 851, 964, 756, 377, 265, 143, 988, 000, 000, 000, 000, 000, 000

exchangeRate 計算如下：

抵押 1 wei 的 soVELO，可以借貸不超過 17, 735, 851, 964, 756, 377, 265, 143, 988 VELO，而借貸 265, 842, 857, 910, 985, 546, 929 WETH，至少需要抵押 265, 842, 857, 910, 985, 546, 929 soWETH,

soWETH 的價格：soWETHPrice = 2, 892, 868, 789, 980, 000, 000, 000 ，

soVELO 的價格：soVELOPrice = 124, 601, 260, 000, 000, 000

抵押 1 wei 的 soVELO 可借貸的 WETH 數量如下：

1 * exchangeRate * soVELOPrice / soWETHPrice = 763, 916, 258, 364, 900, 996, 923

約 763 WETH。僅需 1 wei 的 soVELO 抵押就足以支持本次借貸。

借貸 265, 842, 857, 910, 985, 546, 929 WETH（約 265 WETH）換算成抵押物 soVELO，至少需要抵押的 soVELO 數量為：

265, 842, 857, 910, 985, 546, 929 * soWETHPrice / soVELOPrice / exchangeRate = 0.348

即 1 wei 的 soVELO 抵押物即可。

實際上 2 wei 的 soVELO 抵押物，在借貸時只用到了 1 wei

（4）贖回標的資產，即 35, 471, 603, 929, 512, 754, 530, 287, 976 VELO

exchangeRate = 17, 735, 851, 964, 756, 377, 265, 143, 988, 000, 000, 000, 000, 000, 000

贖回 35, 471, 603, 929, 512, 754, 530, 287, 976 VELO 需要的抵押物 soVELO 的數量為

35, 471, 603, 929, 512, 754, 530, 287, 976 * 1 e 18 / exchangeRate = 1.99999436

在計算時，因為計算採用了截斷取整而不是四舍五入，實際計算的所需抵押物為 1 wei 的 soVELO。

實際抵押物為 2 wei 的 soVELO，其中 1 wei 用於上面的借貸 265 WETH，剩下的 1 wei 用於贖回 35 M VELO

（5）將借貸的 265 WETH 以及贖回的 35 M VELO 轉账給攻擊合約

3. 反復 3 次（共 4 次）創建新合約，重復攻擊。

4. 最後，償還閃電貸。

5.漏洞分析

以上攻擊過程中利用了 2 個漏洞：

（1）捐贈攻擊：向 soVELO 合約直接轉账（捐贈）VELO Token，改變了 exchangeRate，使得攻擊者可以在只有 1 wei soVELO 的抵押物的情況下，借貸出約 265 WETH

（2）計算精度問題：利用計算過程中的精度損失以及被修改的 exchangeRate，在只抵押了 1 wei soVELO 的情況下，可以贖回 35 M VELO

6.安全建議

針對本次攻擊事件，我們在开發過程中應遵循以下注意事項：

（1）項目在設計和开發過程中，要保持邏輯的完整性和嚴謹性，尤其存款、質押、更新狀態變量以及計算過程中乘除法計算結果的取舍問題，要盡可能多考慮一些情況，使得邏輯完整，沒有漏洞。

（2）項目上线前，需要由第三方專業的審計公司進行智能合約審計。

3.2 Web3常見釣魚方式分析及安全建議

Web3釣魚是一種針對Web3用戶的常見攻擊手段，通過各種方式竊取用戶的授權、籤名，或誘導用戶進行誤操作，目的是盜竊用戶錢包中的加密資產。

近年來，Web3釣魚事件不斷出現，且發展出釣魚即服務的黑色產業鏈（Drainer as a Service, DaaS）,安全形勢嚴峻。

本文中，SharkTeam 將對常見的Web3釣魚方式進行系統分析並給出安全防範建議，供大家參考，希望能幫助用戶更好的識別釣魚騙局，保護自身的加密資產安全。

Permit 鏈下籤名釣魚

Permit 是針對 ERC-20 標准下授權的一個擴展功能，簡單來說就是你可以籤名批准其他地址來挪動你的 Token。其原理是你通過籤名的方式表示被授權的地址可以通過這個籤名來使用你的代幣，然後被授權的地址拿着你的籤名進行鏈上 permit 交互後就獲取了調用授權並可以轉走你的資產。Permit 鏈下籤名釣魚通常分為三步：

（1）攻擊者僞造釣魚鏈接或釣魚網站，誘導用戶通過錢包進行籤名（無合約交互，不上鏈）。

（2）攻擊者調用 permit 函數，完成授權。

（3）攻擊者調用 transferFrom 函數，將受害者資產轉出，完成攻擊。

在這裏先說明一下 transfer 和 transferFrom 的區別，當我們直接進行 ERC 20 轉账的時候，通常是調用 ERC 20 合約中的 transfer 函數，而 transferFrom 通常是在授權第三方將我們錢包內的 ERC 20 轉移給其他地址時使用。

這種籤名是一個無 Gas 的鏈下籤名，攻擊者拿到後會執行 permit 和 transferFrom 鏈上交互，所以在受害人地址的鏈上記錄中看不到授權記錄，在攻擊者地址中可以看到。一般來說這種籤名是一次性的，不會重復或持續產生釣魚風險。

Permit 2 鏈下籤名釣魚

Permit 2 是 Uniswap 為了方便用戶使用，在 2022 年底推出的一個智能合約，它是一個代幣審批合約，允許代幣授權在不同的 DApp 中共享和管理，未來隨着越來越多的項目與 Permit 2 集成，Permit 2 合約可以在 DApp 生態系統中實現更加統一的授權管理體驗，並且節約用戶交易成本。

Permit 2 出現之前，在 Uniswap 上進行代幣兌換需要先授權（Approve）再兌換（Swap），需要操作兩次，也需要花費兩筆交易的 Gas 費。在 Permit 2 推出後，用戶一次性把額度全部授權給 Uniswap 的 Permit 2 合約，之後的每次兌換只需要進行鏈下籤名即可。

Permit 2 雖然提高了用戶的體驗，但隨之而來是針對 Permit 2 籤名的釣魚攻擊。和 Permit 鏈下籤名釣魚類似，Permit 2 也是鏈下籤名釣魚，此種攻擊主要分為四步：

（1）前提條件是用戶的錢包在被釣魚之前已使用過 Uniswap 並將代幣額度授權給了 Uniswap 的 Permit 2 合約（Permit 2 默認會讓用戶授權該代幣的全部余額的額度）。

（2）攻擊者僞造釣魚鏈接或釣魚頁面，誘導用戶進行籤名，釣魚攻擊者獲取所需的籤名信息，和 Permit 鏈下籤名釣魚類似。

（3）攻擊者調用 Permit 2 合約的 permit 函數，完成授權。

（4）攻擊者調用 Permit 2 合約的 transferFrom 函數，將受害者資產轉出，完成攻擊。

這裏攻擊者接收資產的地址通常有多個，通常其中一個金額最大的接收者是實施釣魚的攻擊者，另外的則是提供釣魚即服務的黑產地址（釣魚即服務 DaaS 的供應商地址，例如 PinkDrainer、InfernoDrainer、AngelDrainer 等）。

eth_sign 鏈上盲籤釣魚

eth_sign 是一種开放式籤名方法，可以對任意哈希進行籤名，攻擊者只需構造出任意惡意需籤名數據（如：代幣轉账，合約調用、獲取授權等）並誘導用戶通過 eth_sign 進行籤名即可完成攻擊。

MetaMask 在進行 eth_sign 籤名時會有風險提示，imToken、OneKey 等Web3錢包均已禁用此函數或提供風險提示，建議所有錢包廠商禁用此方法，防止用戶因缺乏安全意識或必要的技術積累被攻擊。

personal_sign/signTypedData 鏈上籤名釣魚

personal_sign、signTypedData 是常用的籤名方式，通常用戶需要仔細核對發起者、域名、籤名內容等是否安全，如果是有風險的，要格外警惕。

此外，如果像上面這種情況 personal_sign、signTypedData 被用成“盲籤”，用戶看不到明文，容易被釣魚團夥利用，也會增加釣魚風險。

授權釣魚

攻擊者通過僞造惡意網站，或者在項目官網上掛馬，誘導用戶對 setApprovalForAll、Approve、Increase Approval、Increase Allowance 等操作進行確認，獲取用戶的資產操作授權並實施盜竊。

地址污染釣魚

地址污染釣魚也是近期猖獗的釣魚手段之一，攻擊者監控鏈上交易，之後根據目標用戶歷史交易中的對手地址進行惡意地址僞造，通常前 4 ～ 6 位和後 4 ～ 6 位與正確的對手方地址方相同，然後用這些惡意僞造地址向目標用戶地址進行小額轉账或無價值代幣轉账。

如果目標用戶在後續交易中，因個人習慣從歷史交易訂單中復制對手地址進行轉账，則極有可能因為大意將資產誤轉到惡意地址上。

2024 年 5 月 3 日就因為此地址污染釣魚手法被釣魚 1155 WBTC，價值超過 7 千萬美元。

正確地址：0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91

惡意地址：0xd9A1C3788D81257612E2581A6ea0aDa244853a91

正常交易：

https://etherscan.io/tx/0xb18ab131d251f7429c56a2ae2b1b75ce104fe9e83315a0c71ccf2b20267683ac

地址污染：

https://etherscan.io/tx/0x87c6e5d56fea35315ba283de8b6422ad390b6b9d8d399d9b93a9051a3e11bf73

誤轉交易：

https://etherscan.io/tx/0x3374abc5a9c766ba709651399b6e6162de97ca986abc23f423a9d893c8f5f570

更隱蔽的釣魚，利用 CREATE 2 繞過安全檢測

目前，各錢包和安全插件已逐步實現對釣魚黑名單和常見釣魚方式的可視化風險提醒，對籤名信息也展示的愈發完整，提高了普通用戶識別釣魚攻擊的能力。但攻防技術總是在相互對抗又不斷發展的，更隱蔽的釣魚方式也在不斷出現，需要提高警惕。利用 CREATE 2 繞過錢包和安全插件的黑名單檢測就是近期比較常見的方式。

Create 2 是以太坊'Constantinople'升級時引入的操作碼，允許用戶在以太坊上創建智能合約。原來的 Create 操作碼是根據創建者的地址和 nonce 來生成新地址的，Create 2 允許用戶在合約部署前計算地址。Create 2 對以太坊开發者來說是一個非常強大的工具，可以實現先進和靈活的合約交互、基於參數的合約地址預計算、鏈下交易和特定分布式應用的靈活部署和適配。

Create 2 在帶來好處的同時也帶來了新的安全風險。Create 2 可以被濫用來生成沒有惡意交易歷史的新地址，繞過錢包的黑名單檢測和安全告警。當受害者籤署惡意交易時，攻擊者就可以在預先計算的地址上部署合約，並將受害者的資產轉账到該地址，且這是一個不可逆的過程。

該攻擊特點：

允許預測性創建合約地址，使攻擊者能夠在部署合約之前欺騙用戶授予權限。

由於授權時合約尚未部署，因此攻擊地址是一個新地址，檢測工具無法基於歷史黑名單來進行預警，具有更高的隱蔽性。

以下是一個利用 CREATE 2 進行釣魚的示例：

https://etherscan.io/tx/0x83f6bfde97f2fe60d2a4a1f55f9c4ea476c9d87fa0fcd0c1c3592ad6a539ed14

在這筆交易中，受害者把地址中的 sfrxETH 轉給了惡意地址（0x 4 D 9 f 77），該地址是一個新的合約地址，沒有任何交易記錄。

但是打开這個合約的創建交易可以發現，該合約在創建的同時完成了釣魚攻擊，將資產從受害者地址轉出。

https://etherscan.io/tx/0x77c79f9c865c64f76dc7f9dff978a0b8081dce72cab7c256ac52a764376f8e52

查看該交易的執行情況，可以看到0x4d9f7773deb9cc44b34066f5e36a5ec98ac92d40是在調用 CREATE 2 之後創建的。

另外，通過分析 PinkDrainer 的相關地址可以發現，該地址每天都在通過 CREATE 2 創建新的合約地址進行釣魚。

https://etherscan.io/address/0x5d775caa7a0a56cd2d56a480b0f92e3900fe9722#internaltx

釣魚即服務

釣魚攻擊日益猖獗，也因不法獲利頗豐，已逐步發展出以釣魚即服務（Drainer as a Service, DaaS）的黑色產業鏈，比較活躍的如：

Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa 等，釣魚攻擊者購买這些 DaaS 服務，快速且低門檻的構建出成千上萬釣魚網站、欺詐账號等，如洪水猛獸衝進這個行業，威脅着用戶的資產安全。

以 Inferno Drainer 為例，這是一個臭名昭著的網絡釣魚團夥，他們通過在不同網站上嵌入惡意腳本來實現釣魚。例如，他們通過傳播 seaport.js、coinbase.js、wallet-connect.js 僞裝成流行的 Web3 協議功能（Seaport、WalletConnect 和 Coinbase）誘導用戶集成或點擊，在得到用戶確認後，會自動將用戶資產轉到攻擊者地址中。目前已發現超過 14, 000 個包含惡意 Seaport 腳本的網站，超過 5, 500 個包含惡意 WalletConnect 腳本的網站，超過 550 個包含惡意 Coinbase 腳本的網站，以及超過 16, 000 個與 Inferno Drainer 有關的惡意域名，超過 100 個加密品牌的品牌名稱受到影響。

在釣魚即服務框架下，通常 20% 的被盜資產被自動轉移給 Inferno Drainer 的組織者地址，釣魚實施者保留剩余的 80% 。除此之外，Inferno Drainer 定期提供創建和托管網絡釣魚網站的免費服務，有時釣魚服務也會要求收取被騙資金的 30% 的費用，這些網絡釣魚網站是為那些能夠吸引受害者訪問但缺乏創建和托管網站的技術能力或根本不想自己執行此任務的釣魚攻擊者設計的。

那么，這種 DaaS 騙局是如何運行的，下圖是 Inferno Drainer 的加密詐騙方案的分步描述：

1) Inferno Drainer 通過名為 Inferno Multichain Drainer 的 Telegram 頻道推廣他們的服務，有時攻擊者也通過 Inferno Drainer 的網站訪問該服務。

2) 攻擊者通過 DaaS 服務功能，設置並生成屬於自己的釣魚網站，並通過 X（Twitter）、Discord 和其他社交媒體進行傳播。

3) 受害者被誘導並掃描這些釣魚網站上包含的二維碼或其他方式來連接他們的錢包。

4) Drainer 檢查受害者最有價值、最容易轉移的資產，並初始化惡意交易。

5) 受害者確認了這筆交易。

6) 資產被轉移給犯罪分子。在被盜資產中， 20% 轉移給 Inferno Drainer 开發商， 80% 轉移給釣魚攻擊者。

安全建議

（1）首先，用戶一定不要點擊僞裝成獎勵、空投等利好消息的不明鏈接；

（2）官方社媒账戶被盜事件也越來越多，官方發布的消息也可能是釣魚信息，官方消息也不等於絕對安全；

（3）在使用錢包、DApp 等應用時，一定要注意甄別，謹防僞造站點、僞造 App；

（4）任何需要確認的交易或籤名的消息都需要謹慎，盡量從目標、內容等信息上進行交叉確認。拒絕盲籤，保持警惕，懷疑一切，確保每一步操作都是明確和安全的。

（5）另外，用戶需要對本文提到的常見釣魚攻擊方式有所了解，要學會主動識別釣魚特徵。掌握常見籤名、授權函數及其風險，掌握 Interactive（交互網址）、Owner（授權方地址）、Spender（被授權方地址）、Value（授權數量）、Nonce（隨機數）、Deadline（過期時間）、transfer/transferFrom（轉账）等字段內容。

四、 FIT 21 法案解析

2024 年 5 月 23 日，美國衆議院以 279 票贊成、 136 票反對的結果正式通過 FIT 21 加密法案（Financial Innovation and Technology for the 21 st Century Act）。美國總統拜登宣布，他不會否決該法案，並呼籲國會就“數字資產全面、平衡的監管框架”進行合作。

FIT 21 旨在為區塊鏈項目在美國的安全有效啓動提供途徑，明確美國證券交易委員會（SEC）與商品期貨交易委員會（CFTC）之間的職責界限，區分數字資產是證券還是商品，加強對加密貨幣交易所的監管，以更好地保護美國消費者。

4.1 FIT 21 法案包含哪些重要內容

數字資產的定義

法案原文：IN GENERAL.—The term ‘digital asset’ means any fungible digital representation of value that can be exclusively possessed and transferred, person to person, without necessary reliance on an intermediary, and is recorded on a cryptographically secured public distributed ledger.

法案中定義“數字資產”為一種可交換的數字表徵形式，可以在不依賴中介的情況下由個人到個人轉移，並且在密碼學保護的公共分布式账本上進行記錄。這種定義包含了廣泛的數字形態，從加密貨幣到代幣化的實體資產。

數字資產的分類

法案提出了幾個關鍵要素用於區分數字資產屬於證券還是商品：

（1）投資合同（The Howey Test）

如果一個數字資產的購买被視為投資，且投資者期待通過企業家或第三方努力獲得利潤，該資產通常被視為證券。這是根據美國最高法院在 SEC v. W.J. Howey Co.案中制定的標准，通常稱為 Howey 測試。

（2）使用與消費

如果數字資產主要被用作消費品或服務的媒介，而不是作為投資來期待資本增值，如代幣可用於購买特定服務或產品，雖然在實際市場中，這些資產也可能被投機性購买和持有，但從設計和主要用途的角度來看，它可能不會被歸類為證券，而是作為一種商品或其他非證券資產。

（3）去中心化程度

法案特別強調了區塊鏈網絡的去中心化程度。如果某個數字資產背後的網絡高度去中心化，沒有中心化權威控制網絡或資產，這種資產可能更傾向於被視為商品。這一點很重要，因為“商品”與“證券”的定義之間存在關鍵差異，這對它們的監管方式產生了影響。

美國商品期貨交易委員會（CFTC）將把數字資產作為一種商品進行監管，“如果它運行的區塊鏈或數字账本是功能性的和去中心化的”。

美國證券交易委員會（SEC）將把數字資產作為一種證券進行監管，“如果其相關的區塊鏈是功能性的，但不是嚴格去中心化的”。

該法案將去中心化定義為，“除其他要求外，沒有人擁有單方面控制區塊鏈或其使用的權力，並且沒有發行人或關聯人控制數字資產 20% 或更多的所有權或投票權”。

以去中心化程度界定的具體標准有以下幾點：

控制權和影響力：在過去 12 個月內，沒有任何個人或實體具有單方面的權力，直接或通過合約、安排或其他方式，來控制或實質性改變區塊鏈系統的功能或運作。

所有權分布：在過去 12 個月內，沒有任何與數字資產發行者相關的個人或實體，在合計中擁有超過 20% 的數字資產發行總量。

投票權和治理：在過去 12 個月內，沒有任何與數字資產發行者相關的個人或實體能夠單方面指導或影響超過 20% 的數字資產或相關去中心化治理系統的投票權。

代碼貢獻和修改：在過去 3 個月內，數字資產發行者或相關人員沒有對區塊鏈系統的源代碼進行過實質性的、單方面的修改，除非這些修改是為了解決安全漏洞、維護常規、防範網絡安全風險或其他技術改進。

市場營銷和推廣：在過去 3 個月內，數字資產發行者及其關聯人沒有將數字資產作為一種投資來向公衆市場營銷。

在這些界定標准中，比較硬性的標准是，所有權和治理權分布， 20% 的邊界线對於數字資產定義為證券或商品意義重大，同時因為受益於區塊鏈的公开透明、可追溯、不可篡改的特性，這個界定標准的量化也會變得更加清晰和公平。

（4）功能與技術特性

數字資產與底層區塊鏈技術的聯系也是決定監管方向的重要原因之一，這種聯系通常包括數字資產如何被創建、發行、交易和管理：

資產發行：許多數字資產是通過區塊鏈的程序化機制發行的，這意味着它們的創建和分配基於預設的算法和規則，而不是人工幹預。

交易驗證：數字資產的交易需要通過區塊鏈網絡中的共識機制來驗證和記錄，確保每一筆交易的正確性和不可篡改性。

去中心化治理：部分數字資產項目實現了去中心化治理，持有特定代幣的用戶可以參與到項目的決策過程中，比如對項目未來發展方向的投票。

這些特徵直接影響資產如何被監管。如果數字資產主要是通過區塊鏈的自動化程序提供經濟回報或允許投票參與治理，它們可能被視為證券，因為這表明投資者在期待通過管理或企業的努力獲得利益。如果數字資產的功能主要是作為交換媒介或直接用於商品或服務的獲取，則可能更傾向於被分類為商品。

數字資產的推廣與銷售

數字資產如何在市場上推廣和銷售也是 FIT 21 中的重要內容，如果數字資產主要通過投資的預期回報進行市場營銷，它可能會被視為證券。這裏的內容極其重要，因為它的意義在於規範了數字資產的監管框架，並且會影響到下一個可能通過現貨 ETF 的數字資產是什么。

（1）注冊和監管的責任

數字資產有兩種定義方向，分別是數字商品和證券。法案規定，根據定義方向不同，數字資產的監管由兩個主要機構共同負責：

商品期貨交易委員會（CFTC）：負責監管數字商品交易和相關的市場參與者。

證券交易委員會（SEC）：負責監管那些被視為證券的數字資產及其交易平臺。

（2）代幣內部人士的鎖定期限

法案原文："A restricted digital asset owned by a related person or an affiliated person may only be offered or sold after 12 months after the later of— (A) the date on which such restricted digital asset was acquired; or (B) the digital asset maturity date." .

該條款規定了內部人士的代幣持有從獲得日期起至少需要鎖定 12 個月，或從被定義的“數字資產成熟日期”起鎖定 12 個月，以較晚的日期為准。

這種延遲銷售的能力，有助於防止內部人士利用未公开信息獲利，或不公平地影響市場價格。通過使內部人士的利益與項目的長期目標一致，於避免投機和操縱市場的行為，有助於營造一個更穩定公正的市場環境。

（3）數字資產關聯人銷售限制

法案原文："Digital assets may be sold by an affiliated person under the following conditions: ( 1) The total volume of digital assets sold by the person does not exceed 1% of the outstanding volume in any three-month period; ( 2) the affiliated person must immediately report to the Commodity Futures Trading Commission or the Securities and Exchange Commission any order to sell more than 1% of the outstanding volume."

數字資產可由關聯人士在以下情況下出售：

在任何 3 個月期間內，所售出的數字資產總量不得超過存量的 1% ；
關聯人士在出售超過存量 1% 的訂單後，需立即向商品期貨交易委員會或證券交易委員會報告。

這一措施通過限制關聯人士在短時間內出售的數量，防止市場操縱和過度投機，確保市場的穩定和健康。

（4）項目信息披露要求

法案原文："Digital asset issuers must disclose the information described in Section 43 on a public website prior to selling digital assets under Section 4(a)( 8)."

項目信息披露所要求的具體信息在提供的摘錄中未詳細說明，但通常會包括：

數字資產的性質：數字資產代表什么（例如，公司的股份、未來收益的權利等）；

相關風險：投資該數字資產涉及的潛在風險。；

發展狀態：與數字資產相關的項目或平臺的當前狀態，如發展裏程碑或市場准備情況；

財務信息：與數字資產相關的任何財務細節或預測；

管理團隊：項目或發行數字資產的公司背後的人員信息。

法案要求數字資產發行人提供詳細的項目信息，包括資產的性質、風險、發展狀態等，以便投資者做出明智的投資決策。此舉增強了市場的透明度，保護了投資者的利益。

（5）客戶資金安全隔離原則

法案原文："Digital commodity exchanges shall hold customer funds, assets, and property in a manner that minimizes the risk of loss or unreasonable delay in access by customers to their funds, assets, and property."

這一規定要求數字資產服務提供商必須採取措施確保客戶資金的安全，防止因服務提供商的操作問題導致客戶資金損失或訪問延遲。

（6）客戶資金與公司運營資金不得混合

法案原文："Funds, assets, and property of a customer shall not be commingled with the funds of the digital commodity exchange or be used to secure or guarantee the trades or balances of any other customer or person."

這意味着服務提供商必須將客戶的資金與公司運營資金嚴格分开管理，確保客戶資金的獨立性，避免使用客戶資金進行非授權的活動，增強了資金的安全性和透明度。

在某些操作上，如出於結算便利性考慮，允許在符合規定的情況下將客戶資金與其他機構的資金存放在同一账戶，但必須保證這些資金的分離管理和適當記錄，確保每位客戶的資金和財產安全。

4.2 鼓勵創新、支持創新

在 FIT 21 法案中，也存在諸多鼓勵創新、支持創新的內容。

建立 CFTC-SEC 聯合咨詢委員會

成立 CFTC-SEC 數字資產聯合咨詢委員會，其目的是：

就委員會與數字資產相關的規則、法規和政策向委員會提供建議；
進一步促進委員會之間數字資產政策的監管協調；
研究和傳播描述、衡量和量化數字資產的方法；
研究數字資產、區塊鏈系統和分布式账本技術在提高金融市場基礎設施運營效率和更好地保護金融市場參與者方面的潛力；
討論委員會對本法案及其修正案的實施情況。

這個委員會的目標是促進兩大監管機構在數字資產監管方面的合作和信息共享。

加強和擴展 SEC 的創新和金融科技战略中心(FinHub)

法案提議加強和擴展 SEC 的創新和金融科技战略中心（FinHub），其目的是：

協助制定委員會應對技術進步的方法；
考察市場參與者的金融技術創新；
協調委員會對金融、監管和監督系統中的新興技術的響應。

其職責是：

在委員會內部促進負責任的技術創新和公平競爭，包括圍繞金融技術、監管技術和監督技術；
為委員會提供有關金融科技的內部教育和培訓；
就服務於委員會職能的金融技術向委員會提供建議；
分析技術進步和監管要求對金融科技公司的影響；
就金融科技的規則制定或其他機構或工作人員的行動向委員會提供建議；
向新興金融科技領域的企業提供有關委員會及其規則和條例的信息；
鼓勵從事新興技術領域的公司與委員會合作並就潛在監管問題獲得委員會的反饋。

FinHub 的主要任務是促進與金融科技相關的政策制定，並為市場參與者提供關於新興技術的指導和資源。需要每年向國會提供一份關於 FinHub 在上一財政年度活動的報告。並且還需要提供確保 FinHub 能夠充分查閱委員會和任何自律組織的文件和信息，以履行 FinHub 的職能。委員會應建立詳細的記錄系統（根據美國法典第 5 篇第 552 a 節定義），以協助 FinHub 與相關方溝通。