Bybit 薪酬负责人自盗分析:区块链企业财务管理存在的漏洞与改进
作者 | TaxDAO
吴说区块链在 7 月 28 日报道了《离奇案件全文: Bybit 发薪负责人大量盗取 USDT 新加坡法院详解加密货币财产属性》这⼀事件,引起业内不少讨论。本文将从财管角度进行分析与总结。
事件概要
加密交易所 Bybit 起诉负责公司内支付⼯资的 Ho 女士滥用职权,将大量 USDT 转移到她秘密拥有和控制的地址。新加坡高等法院普通庭 7 月 25 日维持判决 Ho 女士立即向 Bybit 支付所有转移的款项与利息。
事件细节分析
ByBit Fintech Limited (“ByBit”) 寻求对第一被告,名为 Ho Kai Xin (“Ho 女士”)的判决。对她的指控是,她违反了她的雇佣合同,滥用了她的职务, 将⼀些 USDT 转移到了她秘密拥有和控制的“地址”,以及⼀些法币转移到了她自己的银行账户。寻求的主要救济是声明 Ho 女士为 ByBit 托管 USDT 和法定货币。因此,ByBit 要求退还相同的或可追溯的收益,或支付等价值的金额。
从上述细节可得出:
1、Ho 一人完全控制薪酬有关加密货币账户和法币账户,无多级授权。
2、资金控制流程存在较大漏洞(与账户有关的内控缺失即使只损失 1 美金也是较大漏洞)。
3、作为她的职责的⼀部分,Ho 女士维护了⼀份微软 Excel 表格,该表格记录了每个月应支付给 ByBit 员工的现金和加密货币支付 ( 分别为“法币 Excel 文件”和“加密货币 Excel 文件”)。ByBit 的员工可以并且确实经常通过向 Ho 女士传达新的地址 来更改他们指定的地址, 然后 Ho 女士会更新加密货币 Excel 文件。只有 Ho 女士能够更新加密货币 Excel 文件,并且只有她能访问这些文件,除了每个月需要将加密货币 Excel 文件提交给她的直接上级 Casandra Teo 审批。
从上述细节可得出:
1、发薪地址的收集流程较为随意,可以随意修改,没有留痕。
2、发薪地址的审核不仅是形式上的,而且审核资料是单⼀来源,没有办法确认接收地址是否真实或者被造假。
3、2022 年 9 月 7 日,ByBit 发现在 2022 年 5 月 31 日至 8 月 31 日之间发生了八笔不寻常的加密货币支付(“异常交易”) ,涉及向四个地址(我将其简单地称为地址 1 、2 、3 和 4) 转入大量的 USDT。总共转移了 4,209,720 个 USDT ( “加密资产”)。USDT 之所以得名,是因为它的价值与美元挂钩,每个 USDT 都赋予其持有者(即发行人 Tether Limited 的“验证客户”)以合同权利,可以用美元兑换他们的 USDT 。这些异常交易被编入一个 Excel 电子表格 ( “对账 Excel 文件” ) ,Ho 女士被指派负责解释这些差异。Ho 女士最初将异常交易归咎于无意的错误或技术错误, 并提出计算需要从 ByBit 的员⼯那里收回的金额。
从上述细节可得出:
1、Bybit 内部应该有对账过程,但时间相对滞后,可能与业务量较多中后台支持无法跟上的原因有关。
2、事后补坑的成本远远大于事前规划的成本。
3、ByBit 还发现 Ho 女士在 2022 年 5 月导致 117,238.46 美元 ( “法币资产” ) 被支付入她的个人银行账户。无可争议的是,Ho 女士无权得到法币。
从上述细节可得出:
1、法币账户也沦陷,百思不得其解,法币发薪这样传统的⼯作,不管是流程还是工具案例应该数不胜数。
2、即使出于薪资保密的原因需要交由 HR 进行支付和授权(部分工作脱离财务控制),但是基本的工资表制作、银行支付动作和授权三者也需要分离。
适用于 Web3 的财管理念
Web3 经过多年发展除了涌现不少商业巨头,也在吸引越来越多 Web2 的⼈⼠进⼊, 结合最近两年监管和合规环境的演变,必要的财管思路和手段需要引起越来越多的 Web3 公司重视。
1、保护加密 & 法币账户的安全:隔离风险,分离基础信息收集节点、操作节点和授权节点,并且在每⼀个节点验证不同来源的同⼀信息,避免信息源只有⼀处并无法对比溯源。
2、财务核验机制:如定期对账、记账,同样的验证不同来源的同⼀信息,避免信息源只有⼀处并无法对比溯源,频率不应超过⼀个月。核验机制保证了“业务闭环”(没想到更好的词替代“闭环”),即事项的发生和是否发生的正确和在轨相互验证。
3、会计记录-包括加密货币:完整有效的会计记录以及可回溯的证据链将⼤⼤降低内控失效的风险,并且利用会计记录进行经营管理和应对外部合规义务( FTX 的崩溃与其混乱的会计记录也存在⼀定关系)。
4、内控的必要性:重要的是要有经营管理和内控的 Sense ,如果能配合内化了内控、会计、税务大量实操经验的优秀自动化管理软件,可以最大化保证你的加密事业行稳致远。
比推快讯
更多 >>- BTC-e运营商Alexander Vinnik承认共谋洗钱罪
- 美财长耶伦:基本面仍然指向通胀放缓
- Q1 Coinbase 国际交易所永续期货名义合约交易量超 760 亿美元
- 风投Q1向加密和区块链公司投资 24.9 亿美元,环比增长 29%
- 马斯克:需要对我们的国家债务采取行动,否则美元将一文不值
- MakerDAO计划引入两种新代币NewStable和NewGovToken
- 盗走1,155枚WBTC的团伙已将代币全部售出,换成 22,960 ETH
- LayerZero建议女巫地址主动报告,截止日期是 5 月 17 日
- 链上数据API开发商Airstack完成400万美元种子轮融资,Red Beard Ventures领投
- 一巨鲸过去两天逢低买入1500枚BTC,价值约8825万美元
- SEC推迟对7RCC现货比特币和碳信用期货ETF做出决议
- 今日美国9只现货比特币ETF总计减持2350枚BTC,价值约 1.4亿美元
- LayerZero:将在两小时内将发布一项公告
- 盗走1155枚WBTC的地址正在将代币兑换成ETH
- 数据:约74%的BTC在过去6个月未发生移动
- Coinbase:比特币近期走势更多地与全球市场有关
- CFTC专员:在区块链生态中部署AI给监管、风险管理、合规性等带来新的问题
- 美联储理事Michelle Bowman:仍预计利率维持在当前水平
- 两家香港资管公司持有1.12亿美元的美国现货比特币ETF
- BTC突破62000美元
比推专栏
更多 >>- 每月动态 | Web3 安全事件总损失约 9081 万美元
- 脱水大字报:牛市行情或延迟类似2016年
- 矿工日收入突破亿创纪录,比特币符文能否接力铭文?
- 获比特大陆投资且被币安首个接入的BTC L2项目BEVM有何亮点?
- 为什么这轮牛市无法复制 2021 年的山寨季?
- 独家!种子轮融资200万美金+AI叙事的项目
- IOSG Weekly Brief|MKR的涅槃重生:新公链和RWA稳定币与Spark借贷独角兽 #223
- Kusama 上的 Coretime 交易已开始,平行链时代谢幕
- 100亿美元开发投资,红杉资本入局,特斯拉要搞波大的…
- Chainlink Q1产品更新;CCIP正式进入全面可用阶段;Consensus2024来啦|Chainlink 周报
观点
项目
比推热门文章
- 宏观风暴来袭,加密市场竟逆势看多?灰度最新4月市场报告解读
- 【比推每日新闻精选】第一季度风投向加密和区块链公司投资 24.9 亿美元,环比增长 29%;MakerDAO计划引入两种新代币NewStable和NewGovToken;美财长耶伦:基本面仍然指向通胀放缓
- BTC-e运营商Alexander Vinnik承认共谋洗钱罪
- 【比推每日市场动态】降息预期”死灰复燃“?加密市场喜迎反弹
- 美财长耶伦:基本面仍然指向通胀放缓
- Q1 Coinbase 国际交易所永续期货名义合约交易量超 760 亿美元
- 风投Q1向加密和区块链公司投资 24.9 亿美元,环比增长 29%
- 马斯克:需要对我们的国家债务采取行动,否则美元将一文不值
- MakerDAO计划引入两种新代币NewStable和NewGovToken
- 盗走1,155枚WBTC的团伙已将代币全部售出,换成 22,960 ETH