編者注:原標題為《PeckShield:數字資產合規化面臨的機遇和反洗錢挑戰》。本文作了不改變作者原意的刪減。
題記:3月22日20時,PeckShield聯創JeffLiu受邀參加了由火星財經總編輯猛小蛇主持的公開課社群AMA分享,主題為《數字資產合規化機遇和反洗錢挑戰:以美國司法部訴訟OTC承兌商案件為例》。在此將主題內容和大家分享一下。
今年1月初,PeckShield發布了《2019全球數字資產反洗錢研究報告》,報告中,我們從過去一年的重大安全事件和受損情況、暗網市場交易規模、國際間未受監管的資金流動情況三方面說明了目前全球數字資產市場面臨的合規化和反洗錢必要性。
我們全面梳理了近幾年使用數字資產進行的“非法或未受監管”的交易現狀,并深入分析了以下三方面的數據:
1.重大安全事件和損失情況:經統計發現:2017年共發生重大安全事件11起,共計損失2.94億美元;2018年共發生重大安全事件46起,共計損失47.58億美元。2019年共發生重大安全事件63起,總共損失達到了76.79億美元。
2.暗網市場交易規模:截至目前,運行TOR協議的暗網網站已有6萬個左右,其中大約一半從事非法交易。暗網市場中的交易需求非常大,不斷有大型黑市被關閉,但很快又會有新的黑市涌現出來,其總交易額還在不斷增長。2018年流入暗網的比特幣總數為33萬枚,2019年為54萬枚,按交易時價計算,總金額分別是21億美元和39億美元。
3.?國際間未受監管資金流動情況:以數字資產作為載體的資金在國際間的流動已經非常巨大,但不同國家對比特幣等數字資產的法律界定還很模糊,意味著這些流動資金并未受到合理、合規的監管。2017年通過數字資產從中國流到國外的資金總量為101億美元,2018年為179億美元,2019年為114億美元。
這是什么概念呢?意味著中國未受監管監管的數字資產,三年總額超出中國3萬億美元外匯儲備的1%。這個數據大家可能沒概念,但可以肯定的說,這一數據情況已經受到各國政府的高度重視:
萬事達卡已完成對CipherTrace的收購 以加強數字資產安全:10月21日消息,萬事達卡宣布已完成對美國加密貨幣情報公司CipherTrace的收購。CipherTrace為銀行、交易所和其他金融機構提供數字資產安全和欺詐解決方案。萬事達卡官員表示,通過此次收購,公司增強了戰略能力、技術和團隊,以支持數字資產的發展。
該交易將人工智能、網絡和區塊鏈功能結合在一起,為企業提供更高的透明度,以幫助識別和了解其風險,并管理監管和合規義務。此次收購推進了萬事達卡的數字資產戰略,并使其實時支付基礎設施與眾不同。(The Paypers)[2021/10/21 20:46:22]
未受監管的數字資產數據還在持續增長;
各國政府和國際金融監管機構對數字資產領域的監管正逐漸清晰。
各國政府和國際金融監管機構對數字資產領域是怎樣的態度呢?
從上圖中大家可以看到,世界各個國家中,對數字資產比較友好的國家分別有瑞士、韓國、英國等;保持中立態度的國家有印度、印尼等;態度較強硬,明確限制的國家有俄國等。
世界上最重要的國際金融監管機構是FATF(FinancialActionTaskForce),它是一家總部位于巴黎,專門做反洗錢和打擊金融恐怖主義的機構,有39個成員國。2018年10月,FATF聲明它的監管規則同樣適用于虛擬資產(VA,VirtualAsset)和虛擬資產服務提供商(VASP,VirtualAssetServiceProvider),包括數字資產交易所和數字錢包等。
2019年6月,FATF發布了INR15(InterpretiveNotetoRecommendation15),進一步明確了對數字資產的監管細節,并給出了實施時間表。INR15規定各國和VASP必須在一年以內,也就是2020年6月以前,開始執行FATF的監管要求。二十國集團(G20)已表示支持這一決定。
尼日利亞證交會承諾將開發數字資產監管框架 以促進金融普惠性:3月1日消息尼日利亞證交會(SEC)已經認識到加密資產等數字資產的重要性,并承諾致力于為數字資產部門開發有效的監管框架。SEC總干事Lamido Yuguda表示,SEC致力于通過技術加強該國的金融普惠性。據他介紹,SEC意識到金融科技對金融業的顛覆性影響,并致力于創造一個有利的監管環境,以確保投資者保護和技術進步之間的平衡。
Yuguda稱,SEC將努力開發一個全面的監管框架,以確保加密資產領域的運營商以保護投資者和維護金融系統穩定的方式開展活動:“SEC將繼續監測數字資產領域的發展,并進一步與包括尼日利亞央行(CBN)在內的所有關鍵利益相關者進行接觸和合作,以創建一個監管結構,促進經濟發展,同時促進安全、創新和透明的資本市場。”根據他的說法,SEC的做法與世界各地幾個證券監管機構的做法是一致的,比如美國SEC也要求提供數字資產證券交易和作為交易所運營的平臺注冊或尋求豁免注冊。
2月6日消息,尼日利亞央行宣布全面禁止比特幣及其他數字資產交易,并要求金融機構關閉加密貨幣相關銀行賬戶。尼日利亞SEC隨后宣布叫停加密貨幣監管計劃,以支持尼日利亞央行推行的加密禁令。(The Nation)[2021/3/1 18:02:44]
INR15最核心的一項要求就是“TravelRule”,它要求所有超過1000美元/歐元的交易,必須把交易的發起人信息,受益人信息,和交易金額報備。
這項規定對VASP是一項巨大挑戰,意味著數字資產交易所等機構要在不到一年的時間內建立起完整的KYC和大額交易監控和匯報機制,與此同時,還要克服對沒有KYC的地址進行溯源等技術難題。
之所以FATF如此迫切的要推出監管舉措,最根本的問題還是未受監管的資產在國家之間的流動越來越頻繁。
上圖是我們統計的從中國向國外各大交易所流出資金總量的情況。
CryptoCompare報告:ETP管理的數字資產本月達439億美元:據路透社消息,CryptoCompare發布的最新報告顯示,交易所交易產品(ETP)管理的數字資產本月翻了一番,達439億美元,創新高。涉及加密貨幣的交易所交易產品的每日交易量在2月份下降了38%,至9.36億美元。[2021/2/26 17:57:20]
這里邊的交易所包括大家耳熟能詳的,火幣,OKEx,Bitfinex,Binance,Bitflyer,Bitmex,Bitstamp,Bittrex,Coinbase,Coincheck,Gate.io,Kraken,Poloniex,和Upbit等主流數字資產交易所。
我們只是以幾個大的交易所來代表整個國家,所以統計數據只是一個保守的估計,實際的資金流動量會大于我們所統計的數據。即便這樣,我們發現每年通過交易所流出的資金也相當巨大,超過了百億美元。作為參照物,2018年中國對外直接投資的總額為1,430億美元。
另外,還有一個不容忽視的暗網市場在數字資產的流通量上也逐年增大。
經研究發現,2019年從暗網直接流入各大交易所的比特幣總數為29,471.64個,按交易時價計算總值為2.16億美元。需要注意的是,暗網中的比特幣只有一小部分會直接流向交易所,但2019年超過2億美元的總資金量也足以表明反洗錢監管的必要性。
以上,就是我的全部分享,大家不難看出目前未受監管的資產流動已經占據相當大的市場份量,到了監管機構亮明態度進行監管的時候了。對數字資產交易所而言,加速合規化也成了迫在眉睫的事情。
接下來,我從一個我們最近跟蹤的反洗錢案例中和大家具體聊聊,反洗錢工作的復雜性。
2020年03月02日,美國司法部以陰謀洗錢和無證經營匯款為由,對名為田寅寅和李家東兩位中國人發起了公訴,并凍結了他們的全部資產。理由是,他們二人在2017年12月至2019年04月期間,幫助朝鮮政府下轄黑客組織LazarusGroup提供了價值超1億美元的洗幣服務。
高維空間創始人陳定義:區塊鏈正試圖解決數字資產的歸屬權問題:金色財經現場報道,9月20日,由金色財經主辦,水橋區塊鏈總冠名的“共為·創業者大會”在廈門舉辦。在主題為《區塊鏈如何推動數字經濟時代的發展》的圓桌對話環節,高維空間創始人、福建省區塊鏈協會副會長陳定義表示,區塊鏈在整個經濟發展過程中很重要的一個是,它本身金融屬性所帶來的一系列的東西。以貨幣的歸屬權舉例,當紙幣在你手里時可以證明整個貨幣的歸屬權是屬于你的。但在互聯網時代里,支付平臺里的余額的歸屬權就很難判斷了,從金融意義和人類關系講,這筆錢是你的,但從技術角度看,這筆錢的從屬關系不完全從屬于個人所有。因此,我認為區塊鏈正在試圖解決這個問題,即你的數字資產的歸屬權歸屬你。[2020/9/20]
究竟是哪幾個交易所被盜了,黑客具體洗錢路徑又是怎樣的,田和李兩位承兌商是在哪個環節參與的?
這些美國司法部并沒有公布被盜交易所的名稱和地址以及田和李涉案的關鍵細節。我們能基于美國司法部僅公布的20個地址向上追溯、取證并以可視化圖文方式還原整個案件的來龍去脈。
如上圖所示,事情經過初步看為:北韓黑客組織LazarusGroup先通過釣魚獲取交易所私鑰等手段,攻擊了四個數字資產交易所;之后黑客用PeelChain等手法把所竊的資產轉入另外4個交易所,VCE1到VCE4;再然后黑客又使用PeelChain把資產轉移到負責洗錢的兩位責任人的交易所VCE5和VCE6的賬戶中,最后換成法幣完成整個過程。美國司法部這次起訴的就是最后一環負責洗錢的田寅寅和李家東。
作為安全公司,我們就得通過鏈上數據和我們已經掌握的交易所地址標簽等關鍵數據,盡可能的還原整個市場的前因后果。
聲音 | 海南省副省長王路:希望海南可以成為數字資產交易示范中心:12月1日上午,海南省副省長王路在海南國際離岸創新創業示范區建設高端論壇上表示,海南已在幾個園區掛牌了創新創業基地,引進了30多家企業,并掛牌成立了國內首個區塊鏈試驗區,吸引了三六零、迅雷等多家企業。王路稱,除了國際離岸創新創業示范中心,也希望海南成為國家區塊鏈研究和應用示范中心、數字資產交易示范中心。(科創板日報)[2019/12/1]
如上圖,我們發現黑客一般在攻擊得手后,都會分三大步進行洗錢操作。
1.處置階段:非法獲利者將被盜資產整理歸置并為下一步實施分層清洗做準備;
2.離析階段:Layering是一個系統性的交易,也是整個流程中最關鍵技術含量最高的一個過程,用于混淆資產來源和最終收益者,使得當初的非法資產變成“合法所得”;
3.歸并階段:將洗白后的資產“合法”轉走,至此之后,攻擊者手里擁有的非法資產的痕跡已經被抹除干凈,不會引起有關部門的關注。
我們首先通過鎖定田和李兩人的20個關聯比特幣地址在鏈上數據,根據這些鏈上行為特性,結合PeckShield交易所被盜資料庫的數據信息,最終鎖定是下面四個交易所被盜:Bter、Bithumb、Upbit、Youbit。
在攻擊得手后,攻擊者開始利用PeelChain的技術手段將手里的資產不斷拆分成小筆資產,并將這些小筆資產存入交易所。
為了讓大家形象的理解這一過程,我再舉一個例子。
如上圖,
1.攻擊者的其中一個地址先前獲利1,999BTC,先將這一筆大額資產拆分成1,500+500BTC;
2.其中1,500BTC再拆分成三個各500BTC的地址,此時看到原先的2,000BTC被拆到了4個新地址之中,而原地址中的余額已經歸零;
3.500BTC轉成20~50BTC的大小往Yobit交易所充值,并將剩下的資產找零到一個新的地址中,此時完成一筆充值;
4.使用新地址重復步驟3,直到原始的500BTC全部存入交易所為止。這一過程中攻擊者也往其它交易所充值記錄,比如Bittrex、KuCoin、HitBTC。
完成PeelChain的操作后,攻擊者并沒有直接轉入自己的錢包,而是再次使用PeelChain手法把原始的非法所得BTC分批次轉入OTC交易所進行變現。攻擊者每次只從主賬號分離出幾十個BTC存入OTC帳號變現,經過幾十或上百次的操作,最終成功將數千個BTC進行了混淆、清洗。
在完成以上這一系列操作后,攻擊者開始將非法所得進行OTC拋售套現。根據我們的數據統計,從2018年11月28日到12月20日,攻擊者總共把3,951個BTC分一百多次存入田寅寅的Huobi和Coincola三個OTC帳號中變現。
美國司法部正是通過交易所提供的KYC信息以及田和李二賬戶和被盜資金的關聯性,對二人進行了起訴。
以上就是整個案例的全部。我們認為,黑客盜取資產后實施洗錢,不管過程多周密復雜,一般都會把交易所作為套現通道的一部分。這無疑對各大數字資產交易所的KYC和KYT業務均提升了要求,交易所應加強AML反洗錢和資金合規化方向的審查工作。
AMA互動問答
1.問:隨著數字資產交易走向主流并引發監管關注,許多交易所都把“合規”提上了重要日程,不遺余力申請海外牌照,但進展緩慢。造成這種局面的主要原因有哪些?
PeckShieldJeff:在我們看來進展緩慢的原因主要有三:
1.數字資產基本都屬于全球化流通,缺乏明顯的監管界限,在資產流通開之后,國家介入以后很難進行有效管理。比如我們國家發了禁令,資產在海外照樣可以流通,除非全球所有國家同時下禁令,但這樣顯然是不太可能的;
2.數字資產基于區塊鏈有去中心化、匿名性等數據特性,這讓在鏈上對數字資產的鎖定追蹤難度和成本都很大;
3.數字資產的法律界限還比較模糊,它是積分還是商品,各國之間并沒有統一的共識和界定,這無疑加大了其監管難度。
不過上面我們也提到,FATF的要求監管的開始時間是今年6月份,這會對各個數字資產交易所增加一些緊迫感。
2.?問:對于想要謀求在海外特別是美國獲得發展的區塊鏈項目或數字資產交易所,從合規要求的角度來說,最重要的是做好哪些準備?
PeckShieldJeff:對數字資產交易所而言,要做大合規,必須要強化KYC和KYT兩方面的資產監控,KYC就是注冊用戶的實名制掛鉤這個不難理解,比如現在普遍做法是登記身份信息,往后諸如人臉識別等技術手段也可能會利用到。
KYT就是對流進流出的每一筆交易做監控。安全機構可以對大部分黑客組織以及資金盤跑路資金都有監控,一旦這些贓款有流入交易所會第一時間向交易所發出預警,交易所就可以介入進行凍結或其他舉措。
此外,交易所對每筆交易,也可以根據不同額度進行報備。
3.?問:你們如何理解中美兩國對于數字資產監管態度的差別?在你看來,美國的哪些做法是值得借鑒的?
PeckShieldJeff:美國是區塊鏈技術的主要研發中心,世界上大約1/4的區塊鏈公司都位于美國,美國政府也積極鼓勵和推動區塊鏈技術的創新和發展。但是,美國對數字資產態度相對保守,對ICO等融資項目監管非常嚴格。
美國證劵委員會(SEC)認為比特幣、以太幣等主流數字資產不是證券,僅可以作為商品流通和交易。如果一種數字資產被SEC認定是證劵,那它現階段基本不可能在美國流通。所以,很多交易所,發幣機構和ICO項目都不對美國公民開放,以避免來自美國政府的監管。
不過,還是有數家世界上最大的數字資產交易所在美國運行,例如Coinbase,Kraken都是有執照的,可以從事法幣的存取和加密幣的買賣,還有像Bittrex的交易規模也比較大。
4.問:從央行不斷加快推出的DC/EP,去年1024國家頂層設計的定調到今年疫情危機下數字新基建布局,都預示著數字資產合規化已是大勢所趨,市場等待的無非是一個明確的政策信號。你們對中國市場的數字資產合規大趨勢帶來的機遇有何期待?
PeckShieldJeff:其實從去年以來,火幣和OKEx相繼借殼上市已經透露出了一個信號,一些大的主流交易所接受監管是遲早的事,只不過目前還沒有明確的法律界定。當法律政策明確了之后,對行業來說是一次徹底的肅清和打擊,同時也會孕育著蝶變重生的機會。國家要做資產合規化,交易所勢必是第一站,就看接下來政策怎么落地了。
5.問:可否披露一下,過去一年你們監測到了多少起區塊鏈領域的安全事件?涉及金額規模有多大?根據你們的觀察和分析,安全事件頻繁發生,主要原因是什么??可否規避?
PeckShieldJeff:據PeckShield數據顯示,2019年全年區塊鏈安全事件共177件,其中重大安全事件63起,總共損失達到了76.79億美元,環比2018年增長了60%?左右。從細分賽道來看,2019年,區塊鏈安全事件涉及交易所、智能合約?&DApp、DeFi、理財錢包等多個領域,均是離交易最近的地方。
主要原因還是開發者安全意識薄弱,以及早期市場黑客橫行導致的結果。事實上,近一兩年內,黑客的攻擊方式在不斷變化,開發者防御舉措也在加強,整體市場正趨近成熟。
6.問:3月19日,新浪微博也爆出5.8億條用戶信息泄露,被在暗網以數字貨幣形式售賣。和傳統的網絡安全相比,區塊鏈領域的安全威脅有哪些新的特點?
PeckShieldJeff:傳統互聯網安全問題基本都是中心化的服務器,一般情況下不會出現問題,但一旦出現問題產生的危害也比較大,特別是一些人為監守自盜的問題。相比之下區塊鏈安全由于代碼開源和分布式的特點,受公眾監督,其問題暴露在陽光下,開發者在項目上線前對安全問題會比較重視,問題會發現的比較早,因為是開源和公鏈等因素,區塊鏈也容易受到攻擊,所以安全審計工作非常重要。
7.?問:2月17日,FCoin真相一文暴露FCoin崩盤,數億用戶資金無法兌付;2月22日,Reddit.com的用戶“zhoujianfu”發帖求助,自己剛丟失了1547枚比特幣和不到6萬個比特幣現金。這兩個接踵而來的行業事件給許多用戶上了一場個人數字資產安全課。但一個月過去了,我觀察到周圍很多朋友依然我行我素。在您看來,個人用戶應該樹立怎樣的數字資產安全觀?
PeckShieldJeff:1、數字資產保管并非易事,一定要保管好自己的私鑰,抄在紙上目前是相對安全的,任何在網上的痕跡都有可能被盜,黑客可以通過木馬、SIM卡攻擊等多種方式攻克防線;2、數字資產一旦丟失是不可逆的,傳統互聯網環境下,大家習慣了丟失后借助司法機構重新追回,但數字資產目前丟失后幾乎如石沉大海,不要抱有任何僥幸心理;3、盡可能避開一些中小型中心化交易所,資產還是掌握在自己手里比較安全。
周一上午,石油市場暴跌約30%,創下了29年來的最大單日跌幅。布倫特原油期貨的價格出現了歷史上第二大跌幅,僅次于1991年海灣戰爭期間的跌幅.
1900/1/1 0:00:00作者:?ConsenSys翻譯&校對:?閔敏&阿劍 來源:以太坊愛好者 簡介 ConsenSysCodefi正在構建構建針對貿易和金融的區塊鏈操作系統.
1900/1/1 0:00:00作者|哈希派分析團隊 行情 | 夜間數字貨幣行情播報:根據火幣交易平臺數據顯示,BTC最新成交價格 7430.05 美元,最高價達 8220 美元,最低價格 7407.5 美元.
1900/1/1 0:00:00總部位于舊金山的專注于去中心化金融的風險投資公司FrameworkVentures已宣布對CommonwealthLabs和FutureSwap進行90萬美元的投資.
1900/1/1 0:00:00在華為等公司的多年努力下,更快的新一代5G移動網絡終于在世界范圍內推出。根據愛立信最近的一份報告預測,到2025年,將會有65%的全球人口能夠用上5G技術,而智能手機數據的使用量,也將從目前的平.
1900/1/1 0:00:00以下內容根據AchalArya的一篇文章編譯。 如果新冠病在一開始僅僅被視為不痛不癢的“突發衛生事件”,然而目前的事實表明了新冠病在全球肆虐給世界市場造成的打擊是完全超乎想象的.
1900/1/1 0:00:00