随着过去几个月DeFi项目的提速，近日去中心化金融（DeFi）再创里程碑，整个生态中锁定的价值达到90.2亿美元。其中Yearn的YFI代币在前几日飙升了75%，其价格一度达到了38, 883美元。然而，尽管DeFi持续上升，但业内人士仍然认为DeFi社区需要解决一些问题，比如DeFi项目智能合约的安全漏洞问题，DeFi智能合约发生漏洞时法律上的救济手段是什么？怎样才能增强DeFi智能合约的安全和易用性？

DeFi与智能合约

DeFi，即Decentralized Finance，被称为分布式金融或者去中心化金融，去中心化交易所、网络借贷平台、保险平台、去中心化钱包等都是属于DeFi范畴。DeFi产品是散布于世界各地的人以点对点的方式参与金融活动的平台，如消费、借款、贷款、交易，甚至赌博，而无需依赖银行和政府等中介机构。DeFi产品在区块链平台上运作，其大量且频繁的交易主要依赖于部署在链上的智能合约进行自动化处理。

DeFi智能合约的安全漏洞

智能合约的本质是计算机代码，其被部署于区块链上，当交易在预设条件满足时自动执行。智能合约在自动化执行、效率等方面具备了其他执行方式所无可比拟的优点。但是，基于其计算机代码的本质，智能合约具有代码漏洞、执行不能等局限性。智能合约代码漏洞是黑客攻击的切入点，隐藏着用户财产损失和信息泄露的风险。智能合约执行不能主要是由于智能合约的漏洞修补较普通合同修补而言非常困难。即使有管辖权的司法机关作出有效的裁决或判决，由于部署在区块链的智能合约由区块链自动运行，法院或其他第三方也无法强制修改。基于区块链的智能合约，其数据被分布记载于全链节点，修改某一节点的数据也显得无关痛痒。

DeFi智能合约的安全审计

为了降低DeFi智能合约发生安全漏洞的概率，一些区块链安全服务商随即推出了智能合约安全审计服务。即在DeFi智能合约上线运行前，由区块链安全服务商对于智能合约的安全性进行审查，评估是否存在安全漏洞，并出具报告。然而智能合约安全审计对于避免防范安全漏洞风险的发生似乎作用不大。从技术角度来说，专业区块链安全服务商对于智能合约的安全审计确实能够发现安全漏洞，但是能发现多少以及改进的建议是否奏效，主要取决于审计人员的专业水平和是否有足够的工作时间。多数情况下，安全审计人员也不可能在有限时间内穷尽发现所有漏洞。而且聘请第三方安全审计必然会增加项目的经济成本，与DeFi的低成本相悖。修改安全漏洞可能会推迟项目上线，在DeFi界主要追求速度，项目方不一定希望花时间有效地修改全部已知漏洞。

若DeFi的智能合约安全漏洞导致用户损失的情形下，法律责任应该如何分配？

（一）违约责任和侵权责任

与法律救济相关的民事责任承担主要分为两大类，一是违约责任，二是侵权责任。违约责任基于双方已建立的合同关系，例如买卖关系、服务关系，一方当事人违反了合同约定，应当根据合同的约定承担相应的违约责任，例如赔偿损失、支付违约金等。侵权责任中，一方当事人侵犯了他方的民事权益，应当依照法律规定承担相应的侵权责任。两者的区别在于，多数情况下，违约责任违约方依据合同约定承担责任，侵权责任侵权方依据法律规定承担责任。

（二）责任主体

1.黑客

黑客作为造成DeFi安全事件中投资者受损失的主要侵权主体，主要是侵犯了用户及DeFi项目的财产权和隐私权，可以依照侵权责任法律的规定追究黑客的侵权责任。但是，由于互联网的特殊性，使得用户直接寻找黑客赔偿的可能性几乎为零。

1.项目方

DeFi安全事故中除了要追究黑客的法律责任，项目方作为一个DeFi服务提供者，如果项目方在智能合约的编写、部署过程中存在故意或重大过失而使得智能合约存在漏洞易受黑客攻击等原因导致用户遭受损失，项目方应当存在一定的侵权赔偿责任。项目方在向用户承担赔偿责任后，应当取得代位求偿权，向黑客进行索赔。与此同时，如果项目方与用户在服务合同中约定了项目方对于平台等基础设施承担安全保障义务，那么由于项目方提供的智能合约漏洞造成用户损失的，用户可以根据服务条款追究项目方的违约责任。但是，由于损害主要是由黑客的行为造成，无论是根据侵权责任法还是根据合同约定，都很难适当界定项目方在其中的责任范围，可能难以达到救济目的。

1.安全审计方

安全审计方为项目方提供服务时，其在报告中往往会有一些免责条款。在这种情况下，免责条款是否有效、用户是否可以向安全审计方追究责任、责任范围的大小，依然需要具体案件具体分析。事实上，用户依赖于安全审计报告作出决策导致的损失，用户或项目方很难实现向第三方安全审计服务商追偿。

1.约定管辖

基于DeFi项目中参与各方分布于世界各地，管辖权难以确定。建议DeFi项目方可以考虑在提供的智能合约中明确约定管辖权，包括约定适用法律、管辖地、法院或仲裁庭等的方式，以避免在上述安全事故发生时用户和项目方处于无处可诉的局面。

2.设定合同义务

在项目方与用户形成金融基础设施的服务关系时，如果双方在服务条款中约定了项目方对于平台、智能合约等基础设施承担必要的安全保障义务，那么由于项目方提供的智能合约漏洞造成用户损失的，用户可以根据服务条款追究项目方的违约责任。

3.追究侵权责任

黑客必然存在侵权责任，DeFi项目方也可能因其故意或重大过失而对DeFi智能合约的安全漏洞存在侵权责任。因此，即使没有明确的合同约定，受损害的用户也可根据所适用的法律向侵权方追究侵权责任，比如要求侵权方赔偿损失。

4.DeFi商业保险或风险准备金

DeFi项目平台可以通过购买一定的商业责任保险或者设立风险准备金，来提高DeFi项目在发生黑客入侵或智能合约漏洞等问题引发的用户损失事件中的赔偿能力，并以此增加用户对于该DeFi项目的黏性和忠诚度。

尽管通过上述方式，可以从一定程度上解决DeFi安全事故中用户法律救济无门的困境。但随着DeFi的发展和其用户规模的不断扩大和日益成熟，监管机构的重视、介入以及未来科技发展，相信投资者的合法权益将会得到更完备的保护。

全球区块链合规联盟

“设立区块链行业标准，加强行业自律，共同维护良好的市场秩序和行业环境，为行业健康发展提供理论指导，推动行业健康可持续发展”。

全球区块链合规联盟提供相关企业业务合规资质服务，欢迎通过邮箱service@gbcuf.com或私信与我们进行更详细的业务沟通。