一、边存钱边偷盗

2020年4月19号，DeFi借贷项目Lendf.me被黑客攻击，取走了存在项目里全部近2500万美金的资产。当用户在进行存、取钱两个步骤时，Lendf.me项目允许插入一个外部调用，而没有防止恶意的攻击，就出了问题。黑客正是利用Lendf.me支持调用外部操作的功能，一步步地把这个项目的资产全部掏空。

虽然安全事件频发，但DeFi项目依然发展迅猛。所谓DeFi（Decentral finance）即“去中心化金融”，又叫做“开放式金融”。在经历了比特币挖矿、交易所、公链、ICO一波又一波的浪潮之后，DeFi在2020年迎来了发展，通俗的理解是用自己掌握的私钥，以数字货币为主体从事金融相关的活动，它包括的内容十分丰富，主要包括抵押借贷业务、去中心化交易所、网络保险业务、去中心化钱包等等，其中抵押借贷是去中心化金融领域内最大的应用，本文首先通过对其做简单的介绍，而后针对其可能出现的法律漏洞，提出一些合理的建议。

二、DeFi意义上的抵押借贷

什么是DeFi的抵押借贷呢？简单地说，就是传统金融的抵押借贷在去中心化领域的延伸应用，在传统的借贷市场里，我们知道，如果你需要一笔资金而去找银行借款，你可能需要先在银行抵押一定的实体资产如房地产等，抵押在银行的抵押物具有担保作用，然后银行会对资产进行估值、审核，最后才能发放贷款，如果审核通过不了，那么银行就不会贷款给你，银行是一个权威的中介机构，你能否获得贷款，银行起到至关重要的作用。而在DeFi的世界里，借贷的流程也是一样的，只不过把银行的角色给替代，改为由代码写好的智能合约程序来执行。以经典项目MakerDAO举例，MakerDAO是一个运行在以太坊上的去中心化自治组织。它通过MKR和DAI双代币系统，让数字资产的价格保持稳定。MakerDAO项目发行的数字货币叫做MKR[1]，如果你想要在DeFi上进行借贷，可以分为三步进行。

第一步，抵押你的数字资产（比如ETH，WBTC，USDC等发行在以太坊上的数字货币）。你需要把你的ETH等抵押资产打到它的第一个池子以太池里（MakerDAO的智能合约里面，有两个池子，一个叫做以太池，一个叫做抵押债仓，即CollateralizedDebt Positions。），然后智能合约会对你的数字资产进行估值，返给你一定的PETH，作为抵押后的凭证。

第二步，进行借贷。就是你拿着这个凭证PETH，再打入到它的第二个池子抵押债仓这个过程中，抵押仓会生成对应比例的债务，同时锁定你之前抵押的数字资产，智能合约审核完，会立刻释放相应的贷款—DAI[2]稳定币，然后你可以在市场中将DAI换成法币，任意消费。

第三步，钱用完后赎回数字资产。你需要到市场上买一定数量的MKR作为借贷利息，将它和你借的DAI，再一起打回抵押债仓的池子中，抵押仓中锁定的抵押物就被释放出来了，然后你通过智能合约发送交易，就可以取出你之前所抵押的数字资产ETH，整个的借贷流程完毕。

当然还有其他的DeFi应用，初衷都是将传统中起到中介作用的机构用智能合约来代替，待条件达到的时候，智能合约自动执行，像资产估值、借贷审核、贷款释放等行为都由代码来执行，更加公正、安全，也节省了更多的时间，甚至不需要用法律的手段来保证金融活动的完成。

三、DeFi的法律漏洞

我国民事法律关系的责任主要分为违约责任和侵权责任。违约责任是基于双方已建立的合同关系，例如买卖、租赁、借贷、委托关系等，一方当事人违约，应当根据合同的约定承担相应的违约责任，例如解除合同、赔偿损失、支付违约金等。侵权纠纷中，一方当事人侵犯另一方的民事权益，应当依照法律规定承担相应的侵权责任。DeFi项目是在智能合约上运行的，以MakerDAO项目来说，它基于一个叫做The DAO的智能合约而运作，它是一种把合约履行的条款都给代码化了，使得计算机能够读懂并运行处理，表面上看像是一种合约，然而我们进一步考察缔约当事方到底所系何人时，就会出现无所适从的窘况：

第一、The DAO仅仅是参与者们之间的合约，那一旦存在任何代码漏洞导致The DAO运行出现问题（例如曾经发生的“黑客”偷盗事件），受害者们没法要求任何人索赔。这是因为包括黑客在内的每个众筹参与者（或代币持有人），其行为都是符合The DAO的计算机程序的，包括利用程序代码漏洞的“恶意”行为。因此，合约的当事方（包括黑客）并无违约行为，而造成的损失结果也只是履行合约的结果，缔约当事方应当早有心理预期。损失承担者或许可以提出类似于合同法上的“显示公平”之类的抗辩理由，具体是否会得到法院支持未可知。[3]

第二、如果把The DAO开发团队看做是合约的缔约一方，则无法确定其到底在合约中扮演什么角色以及需要承担什么责任。技术上来看，The DAO开发团队只是编写了一个可以自动运行的程序，此程序将缔约当事方的权利义务条款以代码的形式赋予智能合约之中，至于程序运行过程中出现的任何情况，开发团队也无权过问，这也就是为什么称之为分布式的自治性质组织的原因，The DAO的投资决策也都是众筹参与者或者是代币持有人进行投票表决的。因此，The DAO开发团队可以比作是负责写合同的律师，而不是合同的直接当事人。所以一旦出现相关民事违约或侵权责任，可能根本找不到相应的责任人。[4]

第三、The DAO是一个分布式自治性质的组织，参与项目的各方当事人分布于世界不同地区，司法管辖区各不相同，一旦发生了纠纷，难以确定具体由哪个法院管辖，难以确定适用哪一国的法律，结果是有冤无处诉。

我国《民事诉讼法》第一百一十九条规定：“起诉必须符合下列条件：（一）原告是与本案有直接利害关系的公民、法人和其他组织；（二）有明确的被告； （三）有具体的诉讼请求和事实、理由；（四）属于人民法院受理民事诉讼的范围和受诉人民法院管辖。”因此，从民事方面考量智能合约的法律风险，一旦出现了相关的民事纠纷，缔约当事方不管以何种理由起诉到法院，可能都会得到不符合起诉条件而被裁定驳回起诉的结果，因为没有明确的违约方或相应的侵权责任人，即没有明确的被告。此外，由于缔约当事方散布于世界各地，管辖不明确，在出现纠纷的时候，连起诉到哪个法院都是一个问题。

四、法律建议

首先，针对DeFi项目各参与方责任主体不明确的情况，可以在项目方与用户形成金融服务的关系时，明确在智能合约的条款中约定项目方对于平台、智能合约等基础设施承担必要的安全保障义务，那么由于项目方提供的智能合约漏洞造成用户损失的，用户可以根据服务条款追究项目方的违约责任。

其次，在DeFi项目方存在故意或者重大过失的情况下，让黑客有机可乘，侵入智能合约偷盗用户资产，导致用户资金损失的，用户可以追究项目方的侵权责任。

再次，在智能合约的条款中可以约定明确的管辖条款和适用何地法律。一旦发生纠纷，用户不至于没有地方寻求救济。

最后，由于DeFi生态的扩大造成的风险转移和骇客攻击事件频发，催生了对智能合约保险的需求，用户可以考虑一些智能合约保险项目。

五、结语

DeFi的前景广阔，如果DeFi能够解决用户体验设计、大众信任、公众认知以及边界监管的问题，那么未来将会成为一种主流的金融形态。随着新冠疫情的肆虐，全球各个国家的银行、金融机构都在从提高金融活动的效率和降低成本方面下功夫，其中大多数中央银行还研究了基于数字区块链的货币对于经济、金融业务中的作用，比如我国一直紧锣密鼓进行的DCEP研发。相信新技术的变革必然带来金融活动的变革，社会生产生活方式的变革，如何将新技术更好的嫁接亦或融入传统的业务中，也是法律人值得思考和付诸实践的一个课题。

[1] 它有两个作用，一是社区治理时的投票作用；二是充当利息代币。

[2] DAI是数字货币里面的美元，它能和美元1:1兑换。

[3] 孙铭 《ICO市场的法律分析二》

[4] 孙铭 《ICO市场的法律分析二》