用戶保護法實施後首起大型黑客事件，交易所制裁力度成焦點

Source: DigitalToday Original Title: 이용자보호법 시행 후 첫 대형 해킹 사고…업비트 '제재 수위' 주목 Original Link:

事件概況

交易所在7月用戶保護法實施後首次遭遇大型黑客攻擊。該交易所在27日凌晨4時42分發現其Solana鏈錢包向未授權外部錢包轉移約445億韓元規模的數字資產。泄露資產涉及包括Solana在內的24個幣種，共165個錢包。發現異常交易後，該交易所於凌晨5時27分暫停Solana類資產的出入金，隨後於上午8時55分中止所有數字資產的出入金服務。

金融監管機構、網路安全機構和警方網路犯罪部門隨即啓動調查，重點檢查黑客入侵經過、損失規模以及內部控制和安全義務的執行情況。

信息披露延遲引發質疑

關鍵問題在於該交易所發現黑客跡象的時間與正式公布事實的時間存在巨大時差。交易所最初僅以"網路維護"和"緊急服務器檢查"爲由發布通告，直到中午12時33分才發布包含"黑客"表述的正式聲明。從發現到公布用時約8小時。

值得注意的是，當天上午9時恰好舉行了該交易所運營公司與某大型互聯網公司的股權交換發布會。黑客事實在這一重要會議後才公開，引發了"是否在合並宣布前隱瞞事故"的質疑。

監管框架與處罰前景

業界認爲此次事故可能成爲用戶保護法實施以來首個罰款和重處處罰案例。該法規要求數字資產事業者將80%以上用戶資產存放在冷錢包中，並強制投保或建立準備金應對黑客和系統故障。特別是在因黑客或系統故障風險而暫停出入金時，必須向用戶說明原因並立即向金融委員會報告。

法律界人士指出，相比過去缺乏制裁依據的情況，如今有了明確的法律追究基礎。區塊鏈法學會負責人表示：“這是用戶保護法核心內容——用戶保護的失敗案例，有充分理由討論法律責任，國內資產過度集中於特定交易所的結構仍是風險因素。”

不過，用戶保護法對黑客和系統事故的"事發即刻報告和披露義務"並無直接規定，留下了解釋空間。相關修訂案已於今年1月提出，但在國會財政經濟委員會擱置一年多。金融監管部門也承認現有規制的局限性，表示"對暫停出入金原因的即刻報告規定存在，但能否將其擴大適用於黑客和系統事故本身的披露義務需要進一步解釋。"

監管三管齊下

事故發生的時點對制裁力度不利。金融委員會9月在定期會議上首次基於用戶保護法對大規模操縱行爲和虛假信息傳播案件課以不公正交易罰款，並將相關人員移送檢察機關。這是該法實施兩個月後的首例處罰。

上月金融情報部門對該交易所運營公司因違反特定金融信息法課以352億韓元罰款，創歷代最大規模。該罰款涉及客戶確認、交易限制、可疑交易報告等反洗錢義務違規。

業界注意到本次事故將成爲安全事故制裁的先例。有關人士表示：“操縱、反洗錢、安全這三大監管領域都已成爲數字資產業權的現實風險。”

積極因素

值得肯定的是，該交易所一直維持超過90%的冷錢包保管比例，高於法律規定的80%標準。泄露損失全部來自熱錢包，大部分用戶存款得到保護。該交易所已表示將用公司資產和準備金彌補全部損失。