|合规联盟原创出品 |

闪电贷在DeFi领域变的炙手可热，前两周，它再次遭到黑客的攻击。值得注意的是，DeFi 智能合约存在漏洞几乎是不可避免的，不同 DeFi 产品之间只是漏洞的数量和严重程度的区别。本文将结合DeFi的智能合约安全漏洞导致用户损失的情形下，对相关法律责任的分配问题及救济途径进行分析。

一、涉及的法律责任

涉及到的民事法律责任主要包括：违约责任和侵权责任。违约责任基于双方已建立的合同关系，例如买卖关系、借贷关系，而其中一方违反了合同约定，就应当根据合同的约定承担相应的违约责任，例如赔偿损失、支付违约金等。侵权责任中，一方侵犯了他方的民事权益，则应当依照法律规定承担侵权责任。

二、侵权责任的承担主体

（一）由黑客承担相应的法律责任

由于黑客的行为明显侵犯了用户及DeFi项目方的财产权和隐私权，可以依照侵权责任法律的规定追究黑客的侵权责任。但是，由于互联网的特殊性，使得用户直接寻找黑客赔偿的可能性几乎为零。

（二）由项目方承担相应的法律责任

项目方作为一个DeFi产品的提供者，如果项目方在智能合约的编写、部署过程中存在故意或重大过失而使得智能合约存在漏洞遭受黑客攻击导致用户遭受损失，应当要求项目方承担一定的侵权赔偿责任。而项目方在向用户承担赔偿责任后，自然取得代位求偿权，向黑客进行追索。由于项目方与用户之间还会有金融基础设施的服务关系，若双方当事人在服务合同中约定了项目方对于平台等基础设施承担安全保障义务，在项目方提供的智能合约漏洞造成用户损失发生时，用户就可以根据服务条款追究项目方的违约责任。

但是，因为损害主要是由黑客的行为造成，无论是根据侵权责任法还是根据合同约定，都很难适当界定项目方在其中的责任范围。项目方很可能与用户在承担责任范围上产生分歧。

（三）由安全审计方承担相应的法律责任

第三方安全审计的报告中往往会有一些免责条款，免责条款是否有效，用户是否可以向安全审计方追究责任，责任范围的大小，都是需要具体案例具体分析的。用户依赖于安全审计报告作出决策导致的损失，用户或项目方很难实现向第三方安全审计服务商追偿。

三、DeFi 智能合约安全漏洞的救济措施

在DeFi项目中采用传统的救济手段弥补用户的损失，实质上用户很难得到救济。一是项目方经营主体的履责能力有待考究，二是寻找黑客的困难程度、时间花费以及最终判决难以执行，造成DeFi安全事故中对用户的法律救济难上加难。即使如此，为了将用户的损失降到最低，笔者依然提出以下几点建议，力求对用户与项目方的合法权益保护起到微薄之力。

（一）约定管辖权

由于DeFi项目中参与各方分布于世界各地，管辖权难以确定。建议DeFi项目方可以考虑在提供的智能合约中明确约定管辖权，包括约定适用法律、管辖地、法院或仲裁庭等的方式，以避免在上述安全事故发生时用户处于无处可诉的尴尬局面。

（二）设定合同义务

在项目方与用户形成金融基础设施的服务关系时，双方在服务条款中可以明确约定项目方对于平台、智能合约等基础设施承担必要的安全保障义务，当项目方提供的智能合约漏洞造成用户损失的，用户可以根据服务条款追究项目方的违约责任，同时对违约责任的承担数额等都进行约定，防止发生争议时无依据可寻。

（三）追究侵权责任

黑客必然存在侵权责任，而DeFi项目方也可能因其故意或重大过失而对DeFi智能合约的安全漏洞存在侵权责任。因此，即使在没有明确的合同约定情况下，受损害的用户也可根据所适用的法律向侵权方追究侵权责任。

（四） 购置DeFi商业保险

DeFi项目平台可以考虑通过购买一定的商业责任保险，来提高DeFi项目在发生黑客入侵或智能合约漏洞等问题引发的用户损失事件中的赔偿能力，并以此增加用户对于该DeFi平台的忠诚度。

DeFi的各项产品对丰富金融产品活跃金融市场具有一定的积极意义。对于用户来说还是要谨慎投资，不要被当做韭菜割。相信在经历时间的考验后，DeFi产品将变得更强，DeFi产品项目方将为未来的用户开发更好的实践、更强的代码以及更安全的环境。

全球区块链合规联盟

“设立区块链行业标准，加强行业自律，共同维护良好的市场秩序和行业环境，为行业健康发展提供理论指导，推动行业健康可持续发展”。