开宗明义,Web3 行业在国内法律环境下风险较大。国内对其主流监管基调为「全面封堵金融属性,有限容忍技术创新」,这意味着 Web3 即便作为技术栈本身不会被直接封禁,但一旦触及 Token 发行、融资、交易、矿池运营等高风险场景,便会极容易受到行政乃至刑事打击。
Web3 的核心法律风险 #
相关核心法律风险可以分为四个方面,我按照自己的熟悉感来重新排列了一次:
(1)「虚拟货币兑换」或涉及场外交易中的非法经营与洗钱风险 #
虚拟货币在场外交易环节常被用作规避监管的「地下换汇」工具。我们前两天在认识区块链和以太坊的过程中认识了代币——代币有许多种,目前我认识的就有比特币和以太币两种。境内人可以使用人民币购买这些虚拟货币,然后再通过链上或者境外平台来兑换美元、欧元等外币,从而形成了跨境资金流转链条。该过程不仅绕过外汇监管,还使得虚拟货币成为规避外汇管制的「桥梁资产」。根据我国《外汇管理条例》和刑法,未经许可反复组织撮合人民币与外币的虚拟币交易,可能构成非法经营外汇业务。
此外,如果交易方或资金来源与电信诈骗、赌博、毒品交易等犯罪活动相关,参与者极可能被控洗钱罪掩饰隐瞒犯罪所得罪,甚至在不知情的情况下被卷入“协助洗钱”的刑事链条。因此,在参与虚拟币兑换时必须谨慎,对交易对手的信息、背景、资金来源进行审核,避免成为非法资金链条中的一环。
(2)代币发行与交易行为的法律风险 #
国内法律禁止任何单位或个人通过 ICO、IEO、IDO 来进行融资,不论代币是否命名为积分、凭证或治理 token,只要具备融资功能或可流通性,便可能构成非法金融行为。
值得注意的是,技术人员如果参与代币模型设计、空投逻辑配置、合约部署等环节,也会被视为「共同行为人」,无法以「只是写代码」免责。
(3)赌博、传销、洗钱 #
Web3 项目的设计与经济激励模型直接影响风险等级。
部分链游存在「充值—抽奖—提现」的闭环结构,玩家投入法币或 USDT 购买盲盒、转盘机会,随机获得稀有 NFT 或 Token,后续可在平台提现或转售。这种「下注—随机收益—兑现」的机制容易被认定为开设赌场罪。
NFT 项目、DAO 社群、挖矿平台中常见的「邀请返利」「算力挂靠」「多级推广」模式,一旦涉及团队计酬、多层级返佣,可能触犯组织、领导传销活动罪。
(4)民商事争议 #
虚拟货币买卖、委托他人投资在 Web3 中是常见的交易形式,但我国目前的政策态度和司法实践对此并不认可,认定为无效,风险需要自担。
Web3 的入职法律风险 #
(1)新型雇佣关系形态 #
- 分布式办公模式
- 普遍采用境外注册方式,并在境外设立控股实体。
- 通过 Telegram、Zoom 等方式进行线上面试与协作。
- Web3 项目方在国内无注册公司,不具备用工主体资格,因而无法签订有效《劳动合同》,也无法缴纳五险一金。一旦发生薪资争议或因公受伤,难以根据《劳动合同法》享受合法保障。
工作方式、生活方式的取舍:灵活用工还是保障?
(2)薪酬结构 #
- 「人民币 + Token」或「全 USDT」模式。
- 《劳动法》:工资应以法定货币(即人民币)支付,不得以实物或虚拟币等形式代替。
- 如果薪酬中 Token 或 USDT 部分被认定为工资支付,可能导致支付行为无效。如果该部分未被明确纳入工资范围,则会拉低员工的平均工资基数,影响其社保缴纳、经济补偿计算等,间接损害劳动者合法权益。
(3)虚拟货币出金与合规风险 #
-
出金:将虚拟货币兑换为人民币来满足日常支出的行为。
-
出金主流方式:C2C 交易,包括场内挂单、场外担当保交易、OTC 交易群。
-
出金风险:
- 若交易对手使用涉赌、涉诈资金购币,收款方可能因接收非法资金而遭遇银行卡冻结,甚至要退赔全部涉案金额。
- 参与高价出 U 交易、协助他人洗钱、绕开监管等行为,还可能构成「帮信罪」或「掩饰、隐瞒犯罪所得罪」。
-
建议
- 与公司协商薪资发放方式,若日常需要法币支出,保留一部分法币收入。
- 通过可信渠道出金,避免灰色交易。
- 定期留存相关资金合法来源记录,以证清白。
(4)项目合法性审查 #
- 入职前必须审查 Web3 项目是否合法。
- Web3 整体项目若涉嫌非法金融活动也会牵连员工受到调查。
- 查阅项目白皮书、Token 分发机制、收益模型、是否面向中国大陆用户、是否含有返利结构、投资承诺等。
Web3 项目风险 #
- 开设赌场罪、赌博罪
- 非法经营罪
- 涉及通过虚拟货币作为媒介工具实现人民币和外币的兑换。
- 利用虚拟货币进行外汇买卖的非法经营活动。
- 利用虚拟货币进行支付结算的非法经营活动。
- 非法吸收公众存款罪
- 诱使公众支付资金并提供「挖矿」服务。
- 直接吸收公众手中所拥的虚拟货币。
- 组织、领导传销活动罪
- 洗钱罪
- 虚拟货币风险
- 国内整体监管对虚拟货币为禁止态度。
- 代币发行风险
- 法规规定,ICO(首次代币发行)是未经批准非法公开融资的行为。
- 代币不具有货币属性。
- 各类代币交易所的兑换、买卖、定价和信息中介服务被禁止。
- 挖矿风险
- 虚拟货币挖矿行为被法律定义为高能耗、高排放和低贡献的淘汰类产业。
- 虚拟货币相关全部业务活动均属于非法金融活动。
网络安全风险与攻击方式 #
(1)钓鱼攻击 #
- 攻击者通过伪造官方网站、社交账号、邮件、短信等,诱导受害者点击恶意链接,输入敏感信息(助记词、私钥、账号密码),或下载恶意软件。
- 伪造邮件/网站
- 仿冒知名企业、学校等的邮箱或网站发送面试通知、账号异常、奖学金通知等诱导点击钓鱼链接。
- 社交平台钓鱼
- 在微信群、qq群、telegram等社群中冒充官方人员、HR、学长学姐发布虚假招聘、空投、福利活动。
- 假冒好友/客服
- 通过盗号或伪造头像等方式冒充信任的人,诱导转账或泄露信息。
- 伪造邮件/网站
(2)恶意软件/木马 #
- 伪装成面试/学习软件,诱导下载安装
- 剪贴板劫持
- 木马常驻后台,监控剪贴板内容,检测到钱包地址即自动替换为攻击者地址。
- 浏览器扩展/插件后门
- 伪装成热门插件,窃取浏览器中的敏感数据。
- 远程控制
- 木马获取系统权限后,可以远程操控电脑,窃取文件、录频和键盘记录。
(3)社交工程攻击 #
冒充信任的人通过社交平台、邮件、电话等方式进行诱导。
(4)供应链/第三方依赖攻击 #
- 恶意浏览器插件/扩展-在商店平台中得到上传,诱导用户安装。
- 开源库后门-攻击者在开源库、依赖包中植入恶意代码。
- 官方渠道被劫持-正规商店的软件也可能被感染。
(5)地址污染与扫描木马 #
- 剪贴板劫持
- 木马监控剪贴板,检测到钱包地址即自动替换为攻击者地址。
- 输入框监听
- 恶意软件监听浏览器或输入法,实时获取输入内容。
(6)传统隐私与账号风险 #
- 弱密码及其复用:多个平台使用相同秘密。
- 邮箱/SIM 卡劫持:通过运营商漏洞等手段劫持邮箱或手机号,重置所有账号密码。
- 双因素认证(2FA)缺失。
Co-Learning 讨论 #
wachi:
Web3 对技术的要求:
1、写文档——AI也能看懂的。
2、写 demo。
3、能经营好开发者关系——把开发者社群建设起来。
夜晚分享会 #
(1)安全 #
2025 年 Web3 领域发生了超过 1200 起较严重的安全事件,总损失金额超过 35 亿美元。
- 精准猎杀
- 广撒网
Web3 天生具有金融属性。
不要随便点进链接,别人的链接可能总有风险,要有独立验证的习惯。这是 UXLINK 的案例教训。
EIP-7702 带来了新技术,但骗局也更新了,没有天上掉馅饼。
AI-Coding 时代,许多代码能力委托给了 AI。这个过程很容易引入恶意的代码或插件——这是一种软件供应链攻击。Trust Wallet 浏览器钱包 2.68.0 版本就被植入了恶意后门,波及大量用户,损失七百万美元。这里的启示是在开发过程中,一定要进行人工review,不要全程委托给 AI 或 IDE。
建议「不点、不签、不装、不转」。
安装安全插件,警惕钓鱼链接。
妥善保管私钥/助记词,冷热钱包分离。
GoPlus 有相关网站可以检测风险。
(2)合规 #
入职 Web3 咨询相关律师十分重要……
曼昆(深圳)律师事务所的邓小宇律师进行了今晚的分享,最后的 Q&A 环节涉及了许多付费内容,期间律师似乎有些为难,但是看在 ETHPanda 的面子上还是讲了。
中国内地三个负面清单:ICO公开融资、虚拟货币交易所、虚拟货币挖矿。
公安沟通方式——南方一般温和一些,北方的可能强硬一些。例如除新疆、内蒙的公安,其他地区的公安一般会提前让准备好证明材料,证明自己不知资金上流的来源,还有商量余地。
随着国内 Web3 用户合规意识的增强,海外发起入金攻击。
背调清楚是否拿到了牌照——如果只是拿到美国 MSB 牌照还不够。
是否向大陆展业?
不用翻墙的情况下能否登录上交易所?
在大陆是否能下载这些交易所的app?
合规风险点:Web3 行业处处都是风险,哪怕只是玩玩钱包,没去去中心化的交易所都有风险。具体到工作开展,工作赚到钱出入金都有风险。额外受到莫名其妙的钱也要尽快向当局反映。
合规和风控意识是动态的,待得越久才越能意识到哪里有问题。
不过大多数人都是简简单单地玩,简简单单地赚到一些钱。
总的来说都是人心。
出金的合规方式——很难。真能找到合规的方式,这也相当于一个难得的项目了。
邓律举了好多法务实例,突然觉得法律知识对以后的社会生活是多么重要……