用户保护法实施后首起大型黑客事件，交易所制裁力度成焦点

Source: DigitalToday Original Title: 이용자보호법 시행 후 첫 대형 해킹 사고…업비트 ‘제재 수위’ 주목 Original Link:

事件概况

交易所在7月用户保护法实施后首次遭遇大型黑客攻击。该交易所在27日凌晨4时42分发现其Solana链钱包向未授权外部钱包转移约445亿韩元规模的数字资产。泄露资产涉及包括Solana在内的24个币种，共165个钱包。发现异常交易后，该交易所于凌晨5时27分暂停Solana类资产的出入金，随后于上午8时55分中止所有数字资产的出入金服务。

金融监管机构、网络安全机构和警方网络犯罪部门随即启动调查，重点检查黑客入侵经过、损失规模以及内部控制和安全义务的执行情况。

信息披露延迟引发质疑

关键问题在于该交易所发现黑客迹象的时间与正式公布事实的时间存在巨大时差。交易所最初仅以"网络维护"和"紧急服务器检查"为由发布通告，直到中午12时33分才发布包含"黑客"表述的正式声明。从发现到公布用时约8小时。

值得注意的是，当天上午9时恰好举行了该交易所运营公司与某大型互联网公司的股权交换发布会。黑客事实在这一重要会议后才公开，引发了"是否在合并宣布前隐瞒事故"的质疑。

监管框架与处罚前景

业界认为此次事故可能成为用户保护法实施以来首个罚款和重处处罚案例。该法规要求数字资产事业者将80%以上用户资产存放在冷钱包中，并强制投保或建立准备金应对黑客和系统故障。特别是在因黑客或系统故障风险而暂停出入金时，必须向用户说明原因并立即向金融委员会报告。

法律界人士指出，相比过去缺乏制裁依据的情况，如今有了明确的法律追究基础。区块链法学会负责人表示：“这是用户保护法核心内容——用户保护的失败案例，有充分理由讨论法律责任，国内资产过度集中于特定交易所的结构仍是风险因素。”

不过，用户保护法对黑客和系统事故的"事发即刻报告和披露义务"并无直接规定，留下了解释空间。相关修订案已于今年1月提出，但在国会财政经济委员会搁置一年多。金融监管部门也承认现有规制的局限性，表示"对暂停出入金原因的即刻报告规定存在，但能否将其扩大适用于黑客和系统事故本身的披露义务需要进一步解释。"

监管三管齐下

事故发生的时点对制裁力度不利。金融委员会9月在定期会议上首次基于用户保护法对大规模操纵行为和虚假信息传播案件课以不公正交易罚款，并将相关人员移送检察机关。这是该法实施两个月后的首例处罚。

上月金融情报部门对该交易所运营公司因违反特定金融信息法课以352亿韩元罚款，创历代最大规模。该罚款涉及客户确认、交易限制、可疑交易报告等反洗钱义务违规。

业界注意到本次事故将成为安全事故制裁的先例。有关人士表示：“操纵、反洗钱、安全这三大监管领域都已成为数字资产业权的现实风险。”

积极因素

值得肯定的是，该交易所一直维持超过90%的冷钱包保管比例，高于法律规定的80%标准。泄露损失全部来自热钱包，大部分用户存款得到保护。该交易所已表示将用公司资产和准备金弥补全部损失。