全球首例:黑客攻击交易所智能合约获利是否构成诈骗罪?

'全球首例:黑客攻击交易所智能合约是否构成诈骗罪?'

详解USA Vs. SHAKEEB AHMED案

2023年7月11日,美国司法部对外发布新闻通稿,宣称将对一起黑客攻击虚拟资产交易所的案件提起刑事诉讼。根据该新闻通稿可知,纽约南区联邦检察官Damian Williams会同美国国土安全调查局、美国国税局等执法机关,对该案进行了详细的调查取证,并通过起诉书指控被告人Shakeeb Ahmed(以下简称A先生)涉嫌“电汇欺诈”(wire fraud)和“洗钱”(money laundering)两项犯罪。A先生已于当地时间7月11日上午在纽约州被逮捕。

引人注目的是,该案是全球第一起黑客通过攻击虚拟货币交易所获利后被以“电汇欺诈”指控的案件。飒姐团队认为,该案被告(黑客)如果最终被认定构成电信诈骗相关犯罪,很可能会在法律上开创一个危险而迷人的先例——机器或者说程序也可以被骗。

A先生是一家国际区块链技术公司的高级安全工程师,具有丰富的区块链及智能合约相关知识并熟悉智能合约和区块链审计。2022年7月,A先生(居住于纽约曼哈顿的一位美国公民)策划并实施了一项针对某个虚拟货币交易所智能合约的网络攻击,A先生从该项网络攻击中共获取了价值约900万美元的虚拟货币。

具体而言,A先生攻击的是一家在海外成立,并在Solana链上通过智能合约来控制和运营的去中心化虚拟货币交易所,也可将其称为“自动做市商”。这种自动做市商与某安等最大的区别就在于无需人的参与或仅需要极少工作量的维护,就可依据智能合约在链上持续运营,为用户提供虚拟货币兑换或其他特定的服务。

A先生利用自己的技术优势发现了该虚拟货币交易所智能合约中的重大漏洞,通过篡改数据的方式“欺骗”了智能合约,使得该智能合约在错误认识下将交易所和交易所资金池中其他用户的资产转移给了A先生。A先生的具体操作非常专业和复杂,为了大家好理解,飒姐团队举个例子来说明:A先生的行为就类似某人通过银行系统程序的漏洞和虚假资金流,欺骗了银行系统,让该系统“误以为”他的账户里有1000亿存款,并以此为依据为该账户持有人结算了利息(即使利率低,但只要存款基数够大,利息数额也会非常巨大),A先生骗的就相当于这个“利息”。

随后,A先生迅速地将自己通过欺诈虚拟货币交易所智能合约获得的约900万美元的虚拟货币通过一系列操作“洗白”:

  • 将欺诈获得的虚拟货币在其他交易平台上交易;
  • 将交易后的代币通过跨链的方式兑换为以太坊代币;
  • 再将以太坊代币兑换为更不易追查的Monero币;
  • 使用海外加密货币交易所交易和兑换Monero币。

飒姐团队认为,A先生除了没有使用混币器和NFT辅助实施洗钱外,几乎已经使用了一个普通人能使用的所有洗钱手段来掩饰和转移自己的犯罪所得,但由于该智能合约漏洞被较早发现,导致A先生没能成功转移涉案资产。案件发生后,A先生还曾经与该虚拟货币交易所进行谈判,其愿意归还大部分犯罪所得(要求留下150万美元)以换取加密货币交易所不将此事上报执法机关。

智能合约是否能成为诈骗罪的犯罪对象?

在美国法项下,电汇欺诈(wire fraud)指的是行为人使用某种形式的电信或互联网实施了欺诈行为,骗取他人财物的一种犯罪。具体而言,电汇欺诈要求行为人利用电话、传真、电子邮件、短信、互联网或社交媒体等,对被害人实施欺诈,骗取被害人财物。电汇欺诈作为一种联邦犯罪,如被法院定罪最高可判处20年的监禁和25万美元的巨额罚款。

智能合约是否能构成诈骗罪的犯罪对象这个问题争议较大。持否定说的学者认为,只有人或由人组成的法人、非法人组织可以成为诈骗罪的犯罪对象,单纯的机器或程序是不能“被骗”的,因为机器是根据预先设定的条件,根据输入数据的不同而产生对应的结果,机器不可能“陷入认识错误”,也就不存在被骗的可能。但是也有部分学者认为,虽然机器不能被骗,但“机器人”却可以被骗,因为此时欺骗的对象其实是机器背后的人,机器可以视为人的意识的延伸。

实际上,“机器不能被骗”的结论是建立在“欺诈的意义在于使对方就事实产生错误的认识”这一前提之上的,如果欺诈的行为对象根本没有思维能力,那就不可能对事实有认识,进而不存在所谓“正确的认识”或“错误的认识”,因此,该理论认为,欺诈的对象仅限于“人”或由人组成的“组织”。

随着人工智能的快速发展,这一基本认知和刑法学通说正在受到挑战,机器是否能成为欺诈对象这一议题又将成为未来一段时间法学家们争论的焦点。

若本案发生在中国,构成何种犯罪?

如果该起极具争议的案件发生在中国,犯罪嫌疑人可能涉嫌构成三种犯罪:诈骗罪、盗窃罪和信息网络犯罪。

诈骗罪

根据我国《刑法》对诈骗罪的规定,犯罪嫌疑人需要以非法占有为目的,实施了欺诈行为并使受害者陷入错误认识,自愿处分财物使犯罪嫌疑人获利。我国诈骗罪的犯罪对象基本还是限定在自然人或法人、非法人组织中。近年来,由于人工智能和线上支付的快速发展,也有判例某种程度上突破了诈骗罪犯罪对象的限制。

例如,大学生薅连锁快餐店肯爷爷“羊毛”案。行为人利用了肯爷爷自主点餐机和App的漏洞,通过多个客户端同时登录相同账号,在一个客户端进入点餐待支付的状态下,使用另一个客户端对兑换券进行退款,做到成功吃霸王餐。后续行为人还将利用该漏洞取得的肯爷爷套餐取餐码通过某海鲜市场二手交易平台出售给他人非法获利。

在该案中,行为人通过发起虚假交易后又退券退款的行为,主要是利用了肯爷爷App客户端和某社交平台客户端点餐系统数据不同步的漏洞,使得点餐程序发生了错误认识,从而非法获利。最终该案犯罪嫌疑人被法院以诈骗罪定罪处罚。

如果SHAKEEB AHMED案发生在中国,也有一定的概率以诈骗罪对犯罪嫌疑人定罪处罚。

盗窃罪 or 信息网络犯罪

盗窃罪和信息网络犯罪在币圈中已经有了一定的应用。在2017年前后,比特币等虚拟货币逐渐普及,盗窃或骗取他人虚拟货币的行为比比皆是。在司法实践中,对这类行为的处理方式主要是以盗窃罪或信息网络犯罪(非法获取计算机信息系统数据罪、破坏计算机信息系统罪等)论处。

在SHAKEEB AHMED案中,犯罪嫌疑人A先生实施的是一个网络攻击行为,虽然通过欺骗智能合约使其陷入错误认识,但从行为本身来看,攻击智能合约是一个非法入侵计算机信息系统、非法获取计算机数据以及破坏计算机信息系统的黑客行为。因此,将其以信息网络犯罪定罪处罚也无不妥,甚至可与诈骗罪构成想象竞合犯,从一重罪论处。至于盗窃罪,其获取虚拟货币的行为是通过“欺骗”智能合约而达成的,若以盗窃罪论处则有违罪刑法定原则。

写在最后

随着AI技术的发展及人机交互的普遍应用,法律作为一种上层建筑必将跟随技术的发展而发展。在强人工智能时代,突破诈骗罪的犯罪对象并非不可能之事。

同时,作为新时代的法律从业者和研究者,我们应以包容和进取之心来看待问题、解决问题。闭门造车、抱残守缺永远不如睁眼看世界,积极面对新技术带来的法律挑战。