“Bybit 薪酬负责人自盗分析:区块链企业财务管理漏洞及改进”
"Bybit 薪酬负责人自盗分析":区块链企业财务管理漏洞及改进。
离奇案件全文: Bybit 发薪负责人滥用职权
作者 | TaxDAO
事件概要
加密交易所Bybit的一名负责公司内支付工资的员工被指控滥用职权,将大量USDT转移到自己的地址,引发了业内的广泛讨论。新加坡高等法院对此案件进行了审理,并判决该员工立即向Bybit支付所有转移款项及利息。
事件细节分析
根据Bybit对第一被告Ho Kai Xin的指控,她违反了雇佣合同,滥用职权,将部分USDT转移到了自己控制的地址,以及将部分法币转移到了自己的银行账户。Bybit的主要救济请求是将该员工定为Bybit的托管人,要求退还相同或可追溯收益,或支付相应金额。
从以上细节可以得出以下结论: – Ho完全控制与加密货币和法币账户相关的工资账户,缺乏多级授权。 – 资金控制流程存在较大漏洞,即使只丢失1美元也是严重的漏洞。 – Ho女士维护了一份Excel表格,记录了应支付给Bybit员工的现金和加密货币支付。员工可以通过更新指定地址来改变发薪地址,而只有Ho可以更新加密货币Excel文件。
从以上细节可以得出以下结论: – 发薪地址的收集流程较为随意,可以随意修改,没有留痕。 – 发薪地址的审核形式上存在问题,审核资料单一来源,无法确认接收地址的真实性。 – Bybit在2022年9月发现了八笔异常交易,涉及向四个地址转入大量USDT。这些异常交易被记录在一个Excel电子表格中,Ho被指派负责解释这些差异。
从以上细节可以得出以下结论: – Bybit内部应该有对账过程,但时间上存在滞后,与中后台支持无法跟上业务量较多的原因有关。 – 事后补救的成本远远大于事前规划的成本。 – Bybit还发现Ho女士将117,238.46美元的法币资产支付到自己的个人银行账户。
从以上细节可以得出以下结论: – 法币账户也出现问题,让人难以理解,法币发薪这样传统的工作案例应该数不胜数。 – 即使基于薪资保密的考虑需要交由HR进行支付和授权,但基本的工资表制作、银行支付和授权三者也需要分离。
适用于Web3的财务管理念
随着Web3的不断发展,越来越多的Web2人士进入其中,结合近年来监管和合规环境的演变,Web3公司越来越需要重视必要的财务管理思路和手段。
- 保护加密和法币账户的安全:隔离风险,分离基础信息收集节点、操作节点和授权节点,并在每个节点验证不同来源的同一信息,避免信息源只有一处且无法对比溯源。
- 财务核验机制:定期对账、记账,并保证不同来源的同一信息能够进行验证,避免信息源只有一处且无法对比溯源,核验机制实现了事项的发生和是否发生的正确和在轨相互验证。
- 会计记录包括加密货币:完整有效的会计记录和可回溯的证据链将大大降低内控失效的风险,并利用会计记录进行经营管理和应对外部合规义务。
- 内控的必要性:具备经营管理和内控意识很重要,配合经验丰富的自动化管理软件,可以最大化保证加密事业行稳致远。
