本篇文章给大家谈谈当不良资产遇到区块链,以及不良资产领域对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
金融数字化正在替代传统当不良资产遇到区块链的信贷模式。然而,自动化的信贷审批为金融机构带来效率与便利的同时,快速增长的信贷笔数也为其带来当不良资产遇到区块链了后端逾期纠纷处理的压力。
金融机构自行开展的催收效果不佳,而与第三方催收机构合作又难以管理其规范催收,这导致暴力催收时有发生的情况,始终是悬在机构们头上待解的难题。针对这一行业“顽疾”,区块链技术正在尝试提供解决方案。
智能合约改造业务全流程
“小额、分散”是普惠金融深入发展的重要目标,但传统催收模式无论是从成本与操作难度上,显然与当下互联网金融的需求无法匹配。
近十年来,个人消费信贷发展迅速。银保监会2015 2021年数据显示,消费类贷款占整体贷款业务规模的比例长期占据人民币贷款总余额的两成以上,且该占比呈现总体增长趋势。而根据《2021年四季度银行业保险业主要监管指标数据情况》,2021年四季度末,商业银行不良贷款余额2.8万亿元,较上季末增加135亿元。
以代理律师与借款人沟通协商的实践情况为例,一般情况下还款意愿较低的逾期借款人法律意识淡薄,进行财产转移等逃避债务的手段并不少见,因此普通电话、短信催收并无太多效果。但是,在接入法院司法区块链系统后,当事人登录法院网站可以查到区块链上的借款证据存证,无论是从效率还是背书能力上,都会对这一类借款人形成信用惩戒压力。更重要的是,在发生逾期之前,由于区块链存证证据具有不可篡改等特性,可以起到督促链上主体诚信守约的效果。
最高法官方微信公众号披露的一则案例显示,自然人杨某与杭银消费金融股份有限公司(以下简称“杭银消金”)在“杭银金融”App签订个人借款合同。杨某未按时还款,杭银消金多次催讨后向法院提起诉讼。作为杭州互联网法院司法区块链的接入方,杭银消金与杨某签订的合同早已同步至司法区块链。客观事实清晰,承办法官开展异步调解,杨某无法抵赖后同意还款,案件7天内办结。
据最高法介绍,2018年9月,杭州互联网法院正式上线全国首个司法区块链平台。截至2022年4月,上链数据总量超56.9亿条,调取电子证据9700余条,相关案件调撤率超98.7%。
据马上消费金融方面透露,目前该公司已经基于自身区块链技术,对调解平台自动生成的电子律师函、客户在线调解实时确认的调解函材料进行上链存证。“区块链证据的公信力,解决了司法诉讼过程中取证难、存证难、认证难的问题,支撑企业高效清收不良资产,尤其能提升小额批量的赋强公证、调解,甚至提升执行查控环节的存证、处理、审理效率。”
跨链互通有待进一步落地
该负责人介绍,目前公司采取的模式是,与工业和信息化部许可设立的电子认证服务机构开展合作,为消费金融公司的贷款业务提供全流程电子存证服务,立案时提供电子存证报告以证明全流程数据的真实未篡改。“这也是当前常见的模式,其优势在于适应面广,可在符合管辖权规定的多家法院或仲裁委开展诉讼或仲裁服务。不足之处在于,初期需要与法院及仲裁委沟通确认电子存证报告的有效性,具体立案时复核每个案件对应的电子存证报告需要时间。”
同时,上述负责人也不掩饰他们对新兴技术的期待:对于司法区块链,消费金融业务与法院主导的司法区块链结合,在逾期还款纠纷提交法院立案时,消费金融公司可直接授权法院上链获取业务全流程的资料,有效简化证据资料提交流程,确保证据资料真实性,提高证据链效力及证据资料复核效率,实现快速立案、高效审理。“通过该技术实现资料提交与对接,有望进一步加大实现对个人信息的有效保护力度。”
这则新闻昨天刷了屏当不良资产遇到区块链:
9 月 18 日,中信国际资产管理有限公司与银河数字资产管理有限公司签署协议,通过对银河资管的入股和业务重组,借助其发行的资产通证 WIT Wealth in Token 及其管控体系,将正式进入数字资产管理业务领域。在得到新股东的资源和牌照支持后,银河资管将在香港加速资产通证化的扩展力度,合规运营,全面发展。
让大家兴奋的是,这条新闻的发布者同时说:
WIT 作为一种加密数字凭证,在以太坊体系上自由流通。WIT 在和银河资管进行兑换时,锚定的法定货币是离岸人民币 CNH,按照 1:1 进行兑付。
所以许多媒体的解读是:
香港首家离岸人民币稳定币将合规出场当不良资产遇到区块链!
链闻 ChainNews 必须提醒各位小心,这条新闻很有可能背后有鬼当不良资产遇到区块链!
该新闻来源于哪里?
该新闻中很容易让人产生联想的是,「中信集团」这样的国字头企业对「离岸人民币稳定币」的支持。
新闻中提及的 「中信国际资产管理有限公司」 ,英文简称为「CIAM」,确实为中国中信集团成员之一,是于 2002 年自中信嘉华银行分拆出来的一个子公司,其原业务是处理不良资产为主,后逐步转型为从事直接投资及资产管理业务的资产管理公司,总部设于香港。
在该公司的官方网站上,也没有关于和「银河数字资产管理有限公司」合作推出「离岸人民币稳定币」的任何公告。
链闻 ChainNews 联系了中信国际资产管理有限公司香港总部的工作人员,该公司通过邮件回复链闻:该新闻中涉及的公司,「不是中信国际资产管理有限公司」。
那么,该新闻究竟来源哪里?
不过,如果现在检索格隆汇的网站,并没有该条新闻。早期有一些中文报道提供了格隆汇源发报道的链接。现在,这个来自格隆汇的新闻来源的链接已经失效。
该新闻的主角到底是家什么样的公司?
既然该新闻中的一个主角「中信国际资产管理有限公司」是否参与尚且存疑,另一个主角 「银河数字资产管理有限公司」 又是什么来头?
按照该则新闻中的信息,所谓的「离岸人民币稳定币」即是「资产通证 WIT」 ,其发行方是「银河数字资产管理有限公司」。单这家公司从名称看,似乎与大名鼎鼎的前华尔街对冲基金大佬迈克尔·诺沃格拉茨 Mike Novogratz 创立的「银河数字资本管理公司 Galaxy Digital Capital Management 」系出同门?
诺沃格拉茨创立的「银河数字资本管理公司 Galaxy Digital Capital Management 」是加密投资领域最大的投资机构之一,是全球第一家明确提出,要为加密行业提供全方位金融服务的机构,目标是要成为「加密世界的高盛」。关于诺沃格拉茨传奇经历的详细报道,可以参看链闻之前的报道 《华尔街传奇人物 all in 比特币,他相信运气来了》 。
尽管都以英文的「Galaxy Digital」命名,但是,显然两家公司不是一回事。从两家公司的 Logo 可以清楚看出:
链闻 ChainNews 获得的信息显示,发行「资产通证 WIT」的这家「银河数字资本管理公司 」是一家注册在香港的公司,成立于今年 3 月。
这家 3 月份成立的公司,除了发行「资产通证 WIT」这个被称为「离岸人民币稳定币」的数字资产之外,还做过些什么?链闻 ChainNews 的发现让人大跌眼镜。
所谓的「离岸人民币稳定币」的发行方原来还搞了色情代币!
通过新闻检索,原来这家「银河数字资本管理公司 」还真是家区块链公司。不过,这家公司之前运作的项目,是这样的:
看清楚了吗:
PAO FUND 与银河数字资产管理有限公司在台湾推出专属于成人娱乐区块链的虚拟货币 PAO 币,可在线下享受成人娱乐或是在线上观赏成人直播等服务。
该项目的白皮书和网站就不贴图了,因为,确实是限制级的。换句话说,这是一个成人娱乐项目。
链闻 ChainNews 在「PAO 币」项目的电报群中,和该项目官方管理员获得了确认,注册在香港的这家「银河数字资产管理有限公司」,正是这个色情代币项目的投资方和孵化方。
「首家离岸人民币稳定币」究竟是什么东西?
「首家离岸人民币稳定币」是一个挺刺激眼球的说法,因为最近稳定币正是加密货币市场上的热点。
实际上,这个被炒作为「香港首家离岸人民币稳定币」的代币,真实的名字叫做「万宝通」,英文为「WIT」,取之「Wealth in Token」的缩写,这是一个在以太坊上发行的 ERC20 代币。
至于其怎么实现「稳定币」的功能?不妨看看这个项目白皮书的解释:
看上去很复杂?那不妨我们用最简单的语言翻译一下:
这个「万宝通」的稳定机制实际上很简单——你用离岸人民币购买 ERC20 代币「WIT」,这个团队「保证」回头还能以原兑换比例把这个 WIT 代币兑换成人民币,而其「稳定机制」,只不过是在现金基础上增加了「数字租约」资产,作为数字代币的资产保障。
至于这些「数字租约资产」,是和一个名为「信元链 Trust Credit Power,简称 TCP」的区块链项目相挂钩的。这个名为「TCP」的区块链项目,实际上是一个「去中心化房地产金融租赁项目」。
听上去,这个「稳定机制」实际上是最单纯的信用铸币机制。
再接着看这个「万宝通」的介绍:
原来,这个「万宝通」不仅仅支持人民币的兑换。按照该项目官方的说法,这个代币已经支持了包括港币、日元、美元、欧元在内的 12 种主流法币的兑换!
看来,热门新闻里仅仅传播了这个代币是「人民币稳定币」,真是太小看这个代币产品了——按照该项目官方的介绍,这俨然已经超越了市面上最流行的稳定币产品。
这个「万宝通」背后团队究竟是谁?
链闻 ChainNews 获得的独家消息显示,这个被炒作成「离岸人民币稳定币」的「万宝通」,其背后运转团队其实来自中国,和所谓的「去中心化房地产金融租赁项目」 信元链 Trust Credit Power 都是源于一个项目团队。
而之前在台湾推出的成人娱乐虚拟货币 PAO 币也是这个团队早期孵化的产品。
根据「信元链 Trust Credit Power」项目网站介绍,该项目的创始人为 常博 ,他同时也是总部位于深圳的房地产租赁行业金融服务商优联金服的创始人。
据项目方的介绍,常博,英文名为「Jeff Chang」,毕业于清华大学和纽约大学,除了创立「优联金服」和区块链项目「信元链 Trust Credit Power」之外,也是 NEBULA 数字资产基金的创立者,曾就职于美国房利美、美林证券,也担任过内蒙古矿业集团海外投融资负责人。
知情人士向链闻 ChainNews 透露,「万宝通其实是从 Trust Credit Power 剥离出去的一个项目。」尽管在不少区块链项目中,Trust Credit Power 创始人的名字以「常博」出现,实际其真名为 「常波」 ,其创立的「优联金服」主要提供房产租赁金融服务、房地产信托基金以及金融数据服务,去年 11 月曾经获得过英诺天使基金的投资。
事已至此,水落石出。
这样的「离岸人民币稳定币」项目,你相信其币值稳定吗?
不是。法证链是一家用区块链技术作为驱动的法律科技公司。法证链以区块链、大数据、人工智能等高新技术的研发支撑为基础,形成五大模式(电子证据存证模块、多元调解模块、批量审判模块、电子送达模块、辅助执行模块)四个能力(法律科技、多元调解、仲裁+执行、批量诉讼)的运营模式,实现一个资产从生成到处置的全链条服务。
法证链项目上游接入银行、消费金融公司、信托等持牌金融机构;中游法证链整合技术资源、数据资源并形成技术解决方案;下游对接法院、检察院、仲裁委、律师事务所、公证处和人民调解委员会等司法资源。
法证链打通行业壁垒,实现三方联动,一方面通过更经济、更快捷的方式解决争议,为金融机构提供了合规合法合理的贷后处置途径,从而实现小额金融风险化解。另一方面,以技术手段为基础缓解法院“人少案多”的难题,帮助法院工作人员提质增效。
法证链以科技赋能司法创新,通贯产业链。从成立伊始,法证链紧跟国家政策步伐、紧抓机遇,利用国家授权的电子签名以及电子证书服务,依托区块链的不可篡改等特性,通过对证据链的存证,实现了一步出证,一键申请,批量立案,快速审判,辅助执行等方面的能力,构建起一站式对接金融机构和司法机关的司法辅助系统。
近年来,随着经济社会的快速发展,整个消费金融行业也在不断发展,随之而来的大量不良资产也是爆发式增长。在这种情况下,如何高效便捷地解决金融类纠纷就给司法体系带来了巨大压力。而法证链专注于做司法辅助工作,通过多元调解、批量智审、辅助执行等多元化方式来帮助司法体系提高办案效率,实现不良纠纷案件的高效处置。
扎实的业务能力、给力的技术支持、团结一心的团队,组成了法证链这支强大队伍,让法证链在不良资产处置这条道路上走的更宽、更远、更好。
近年来,数字钱包安全事件频发。
2019年11月19日,Ars Technica报道称两个加密货币钱包数据遭泄露,220万账户信息被盗。安全研究员Troy Hunt证实,被盗数据来自加密货币钱包GateHub和RuneScape机器人提供商EpicBot的账户。
这已经不是Gatehub第一次遭遇数据泄露了。据报道,去年6月,黑客入侵了大约100 个XRP Ledger钱包,导致近1000万美元的资金被盗。
2019年3月29日,Bithumb失窃事件闹得沸沸扬扬。据猜测,这次事件起因为Bithumb拥有的g4ydomrxhege帐户的私钥被黑客盗取。
随即,黑客将窃取的资金分散到各个交易所,包括火币,HitBTC,WB和EXmo。根据非官方数据和用户估计,Bithumb遭受的损失高达300万个EOS币(约1300万美元)和2000万个XRP币(约600万美元)以上。
由于数字货币的匿名性及去中心化,导致被盗资产在一定程度上难以追回。因此,钱包的安全性至关重要。
2020年8月9日,CertiK的安全工程师在DEF CON区块链安全大会上发表了演讲主题为:Exploit Insecure Crypto Wallet(加密钱包漏洞利用与分析)的主题报告,分享了对于加密钱包安全的见解。
加密钱包是一种帮助用户管理帐户和简化交易过程的应用程序。
有些区块链项目发布加密钱包应用程序来支持本链的发展——比如用于CertiK Chain的Deepwallet。
此外,还有像Shapeshift这样的公司,其构建了支持不同区块链协议的钱包。
从安全的角度来看,加密钱包最需重视的问题是防止攻击者窃取用户钱包的助记词和私钥等信息。
近一年来,CertiK技术团队对多个加密钱包进行了测试和研究,并在此分享针对基于软件不同类型的加密钱包进行安全评估的方法及流程。
加密钱包基础审计清单
要对一个应用程序进行评估,首先需要了解其工作原理→代码实现是否遵循最佳安全标准→如何对安全性不足的部分进行修正及提高。
CertiK技术团队针对加密钱包制作了一个基础审计清单,这份清单反映了所有形式的加密钱包应用(手机、web、扩展、桌面),尤其是手机和web钱包是如何生产和储存用户私钥的。
应用程序如何生成私钥?
应用程序如何以及在何处存储原始信息和私钥?
钱包连接到的是否是值得信任的区块链节点?
应用程序允许用户配置自定义区块链节点吗?如果允许,恶意区块链节点会对应用程序造成什么影响?
应用程序是否连接了中心化服务器?如果是,客户端应用会向服务器发送哪些信息?
应用程序是否要求用户设置一个安全性高的密码?
当用户试图访问敏感信息或转账时,应用程序是否要求二次验证?
应用程序是否使用了存在漏洞且可被攻击的第三方库?
有没有秘密(比如:API密钥,AWS凭证)在源代码存储库中泄漏?
有没有明显的不良代码实现(例如对密码学的错误理解)在程序源代码中出现?
应用服务器是否强制TLS连接?
手机钱包
相比于笔记本电脑,手机等移动设备更容易丢失或被盗。
在分析针对移动设备的威胁时,必须考虑攻击者可以直接访问用户设备的情况。
在评估过程中,如果攻击者获得访问用户设备的权限,或者用户设备感染恶意软件,我们需要设法识别导致账户和密码资产受损的潜在问题。
除了基础清单以外,以下是在评估手机钱包时要增加检查的审计类目:
应用程序是否警告用户不要对敏感数据进行截屏——在显示敏感数据时,安卓应用是否会阻止用户截屏?iOS应用是否警告用户不要对敏感数据进行截屏?
应用程序是否在后台截图中泄漏敏感信息?
应用程序是否检测设备是否越狱/root?
应用程序是否锁定后台服务器的证书?
应用程序是否在程序的log中记录了敏感信息?
应用程序是否包含配置错误的deeplink和intent,它们可被利用吗?
应用程序包是否混淆代码?
应用程序是否实现了反调试功能?
应用程序是否检查应用程序重新打包?
(iOS)储存在iOS Keychain中的数据是否具有足够安全的属性?
应用程序是否受到密钥链数据持久性的影响?
当用户输入敏感信息时,应用程序是否禁用自定义键盘?
应用程序是否安全使用“webview”来加载外部网站?
Web钱包
对于一个完全去中心化的钱包来说,Web应用程序逐渐成为不太受欢迎的选择。MyCrypto不允许用户在web应用程序中使用密钥库/助记词/私钥访问钱包,MyEtherWallet也同样建议用户不要这样做。
与在其他三种平台上运行的钱包相比,以web应用程序的形式对钱包进行钓鱼攻击相对来说更容易;如果攻击者入侵了web服务器,他可以通过向web页面注入恶意的JavaScript,轻松窃取用户的钱包信息。
然而,一个安全构建并经过彻底测试的web钱包依旧是用户管理其加密资产的不二之选。
除了上面常规的基础审计类目之外,我们在评估客户端web钱包时,还列出了以下需要审计的类目列表:
应用程序存在跨站点脚本XSS漏洞吗?
应用程序存在点击劫持漏洞吗?
应用程序有没有有效的Content Security Policy?
应用程序存在开放式重定向漏洞吗?
应用程序存在HTML注入漏洞吗?
现在网页钱包使用cookie的情况很少见,但如果有的话,应检查:
Cookie属性
跨站请求伪造(CSRF)
跨域资源共享(CORS)配置错误
该应用程序是否包含除基本钱包功能之外的其他功能? 这些功能存在可被利用的漏洞吗?
OWASP Top 10中未在上文提到的漏洞。
扩展钱包
Metamask是最有名和最常用的加密钱包之一,它以浏览器扩展的形式出现。
扩展钱包在内部的工作方式与web应用程序非常相似。
不同之处在于它包含被称为content script和background script的独特组件。
网站通过content script和background script传递事件或消息来与扩展页面进行交流。
在扩展钱包评估期间,最重要的事情之一就是测试一个恶意网站是否可以在未经用户同意的情况下读取或写入属于扩展钱包的数据。
除了基础清单以外,以下是在评估扩展钱包时要增加检查的审计类目:
扩展要求了哪些权限?
扩展应用如何决定哪个网站允许与扩展钱包进行交流?
扩展钱包如何与web页面交互?
恶意网站是否可以通过扩展中的漏洞来攻击扩展本身或浏览器中其他的页面?
恶意网站是否可以在未经用户同意的情况下读取或修改属于扩展的数据?
扩展钱包存在点击劫持漏洞吗?
扩展钱包(通常是background script)在处理消息之前是否已检查消息来源?
应用程序是否实现了有效的内容安全策略?
Electron桌面钱包
在编写了web应用程序的代码之后,为什么不用这些代码来建造一个Electron中桌面应用程序呢?
在以往测试过的桌面钱包中,大约80%的桌面钱包是基于Electron框架的。在测试基于Electron的桌面应用程序时,不仅要寻找web应用程序中可能存在的漏洞,还要检查Electron配置是否安全。
CertiK曾针对Electron的桌面应用程序漏洞进行了分析,你可以点击访问此文章了解详情。
以下是基于Electron的桌面钱包受评估时要增加检查的审计类目:
应用程序使用什么版本的Electron?
应用程序是否加载远程内容?
应用程序是否禁用“nodeIntegration”和“enableRemoteModule”?
应用程序是否启用了“contextisolation”, “sandbox” and “webSecurity”选项?
应用程序是否允许用户在同一窗口中从当前钱包页面跳转到任意的外部页面?
应用程序是否实现了有效的内容安全策略?
preload script是否包含可能被滥用的代码?
应用程序是否将用户输入直接传递到危险函数中(如“openExternal”)?
应用程序会使不安全的自定义协议吗?
服务器端漏洞检查列表
在我们测试过的加密钱包应用程序中,有一半以上是没有中心化服务器的,他们直接与区块链节点相连。
CertiK技术团队认为这是减少攻击面和保护用户隐私的方法。
但是,如果应用程序希望为客户提供除了帐户管理和令牌传输之外的更多功能,那么该应用程序可能需要一个带有数据库和服务器端代码的中心化服务器。
服务器端组件要测试的项目高度依赖于应用程序特性。
根据在研究以及与客户接触中发现的服务器端漏洞,我们编写了下文的漏洞检查表。当然,它并不包含所有可能产生的服务器端漏洞。
认证和授权
KYC及其有效性
竞赛条件
云端服务器配置错误
Web服务器配置错误
不安全的直接对象引用(IDOR)
服务端请求伪造(SSRF)
不安全的文件上传
任何类型的注入(SQL,命令,template)漏洞
任意文件读/写
业务逻辑错误
速率限制
拒绝服务
信息泄漏
总结
随着技术的发展,黑客们实施的欺诈和攻击手段也越来越多样化。
CertiK安全技术团队希望通过对加密钱包安全隐患的分享让用户更清楚的认识和了解数字货币钱包的安全性问题、提高警惕。
现阶段,许多开发团队对于安全的问题重视程度远远低于对于业务的重视程度,对自身的钱包产品并未做到足够的安全防护。通过分享加密钱包的安全审计类目,CertiK期望加密钱包项目方对于产品的安全标准拥有清晰的认知,从而促进产品安全升级,共同保护用户资产的安全性。
数字货币攻击是多技术维度的综合攻击,需要考虑到在数字货币管理流通过程中所有涉及到的应用安全,包括电脑硬件、区块链软件,钱包等区块链服务软件,智能合约等。
加密钱包需要重视对于潜在攻击方式的检测和监视,避免多次受到同一方式的攻击,并且加强数字货币账户安全保护方法,使用物理加密的离线冷存储(cold storage)来保存重要数字货币。除此之外,需要聘请专业的安全团队进行网络层面的测试,并通过远程模拟攻击来寻找漏洞。
关于当不良资产遇到区块链和不良资产领域的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
评论