簡析美國對虛擬貨幣的監管政策現狀以及展望_FOR:穩定幣

本文來源于孫銘律師于智堡年會的演講，主題為“各國對虛擬貨幣的監管政策現狀以及展望”。本文主要整理了演講中關于美國的部分。

美國現有的監管體系及各部門的職能

總體上就美國的監管框架而言，由于沒有統一以及一站式的立法和監管部門，導致監管成本以及合規成本高昂。從業者發現做業務時需要向多個部門匯報或申請牌照；若不能全部滿足則可能被處罰。

Treasury&IRS(財政部和國稅局)會制定crypto征稅相關的規定并執行。

SEC對治理代幣的監管比較寬松、通常不將它視為證券。無論是美國本土項目還是國外項目，只要有一個美國人買了該項目的代幣，SEC就對其擁有了管轄權。因此美國的項目基本上都將自己通證設計成治理代幣，這也是目前唯一可以鉆的空子。

Beosin：SEAMAN合約遭受漏洞攻擊簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，2022年11月29日，SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時，都會將SEAMAN代幣兌換為憑證代幣GVC，而SEAMAN代幣和GVC代幣分別處于兩個交易對，導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣，接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣，此時會觸發合約將能使用的SEAMAN代幣兌換為GVC，兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD，接下來在BUSD-GVC交易對中將BUSD兌換為GVC，攻擊者通過多次調用transfer函數觸發_splitlpToken()函數，并且會將GVC分發給lpUser，會消耗BUSD-GVC交易對中GVC的數量，從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD，獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），將持續關注資金走向。[2022/11/29 21:10:04]

CFTC是一個對加密行業相對友好的監管部門，不過監管范圍僅限于衍生品領域。相較于CFTC，SEC的管轄范圍更廣以及權力更大。

Beosin：ULME代幣項目遭受黑客攻擊事件簡析:金色財經報道，10月25日，據Beosin EagleEye 安全預警與監控平臺檢測顯示，ULME代幣項目被黑客攻擊，目前造成50646 BUSD損失，黑客首先利用閃電貸借出BUSD，由于用戶前面給ULME合約授權，攻擊者遍歷了對合約進行授權的地址，然后批量轉出已授權用戶的BUSD到合約中,提高價格ULME價格，然后黑客賣掉之前閃電貸借出的ULME，賺取BUSD，歸還閃電貸獲利離場。Beosin安全團隊建議用戶用戶取消BUSD對ULME合約的授權并及時轉移資金減少損失。[2022/10/25 16:38:21]

OCC類似于中國的銀監會，管轄權會涉及到穩定幣的很多方面。穩定幣無論使USDT還是USDC都有銀行存款作為儲備資產，與銀行有千絲萬縷的聯系。現在相關法案法規還是一片空白，未來OCC可能就銀行如何服務穩定幣發行商而推出細則。如果相關政策比較開放的話，美國銀行可能會為海外穩定幣發行商提供儲備資產托管服務。這在保證穩定幣發行量的同時，也將維持加密行業的繁榮。

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

CFPC會對向消費者提供金融服務的項目方進行監管以保護消費者權益。

Force DAO 代幣增發漏洞簡析:據慢霧區消息，DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現： 在用戶進行 deposit 操縱時，Force DAO 會為用戶鑄造 xFORCE 代幣，并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度，當用戶的授權額度不足時 transferFrom 函數返回 false，而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行，xFORCE 代幣被順利鑄造給用戶，但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法，但外部合約在對其進行調用時并未嚴格的判斷其返回值，最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查，以避免此問題的發生。[2021/4/4 19:45:30]

FinCEN是專注于支付領域的監管機構，主要管反洗錢以及反恐怖主義融資。美國的交易所以及經紀商都需要注冊MSB牌照，以此方便FindCEN建立起正規的信息渠道。交易所和經紀商都需要收集客戶身份信息、核查客戶的交易，防止客戶從事洗錢和恐怖主義融資。未來，FinCEN將會對Defi領域進行監管。因Defi行業的責任人并不明確，FinCEN監管起來會比較麻煩，可能就具體案例進行追責。

關于未來美國監管政策發展的展望

穩定幣：穩定幣對整個加密行業影響很大，也是政府機關非常重視的事情。美國對穩定幣的監管存在一個漏洞，這可能是政府故意為之。在傳統金融領域，用戶在獲得金融服務之前，必須完成KYC；然而穩定幣已經突破了美國金融行業的這條鐵律，在穩定幣流轉過程中使用不存在KYC，無論你是誰都可以無門檻地獲得穩定幣的金融服務，當然罪犯也可以。美國的小心機可能是通過穩定幣將美元信用擴張到全世界。

因為美國政府意識到穩定幣會涉及到洗錢以及恐怖主義融資的事情，一方面是以后KYC要加強，包括用戶持有穩定幣并不是那么匿名。另一方面就是銀行如何介入類似于Circle這種穩定幣發行方的業務中去。類似于Circle的穩定幣發行方會被強制要求持有特定比例的流動性強的儲備資產，比如國債或者是銀行存款之類的。當然，目前來看，穩定幣對美元造成的影響還沒有那么巨大。

征稅：目前美國政府對于虛擬貨幣涉及Defi交易的征稅措施是不夠清晰的。未來，監管機構在征稅方面會著重于出臺具體執行政策。還有一點就是耶倫提到的未實現利潤征稅，這種稅收應用到股票上市以及加密領域是一樣的。一旦政策出臺將這是對資本市場的重大利空。

證券發行：關于加密行業項目發幣算不算一種證券發行是一個老生常談的問題。其實像美國很多證券部門的官員已經意識到如果拿了老的證券法框架去監管虛擬貨幣發行是有問題的。它會導致一些本來去中心化的項目反而發不了幣；若根據原有的證券法來申請證券注冊，反而會影響項目進展。

SEC的委員HesterPeirce曾經提出過避風港規定草案，它的主旨就是給某些加密項目一個過渡期。如果這個項目達到足夠的去中心化程度，那發幣就不再需要去滿足證券發行的要求，這其實是一個非常大的突破。它意味著在證券法體系之外創設了一種就新的資產發行類別。盡管這只是SEC委員的設想，但是實際上非常有意義，也非常符合行業情況。至于這個草案能否作為一個成文立法，未來可能要花挺長時間才能落地。其次，這涉及國會議員能充分認識到這個行業的去中化特性，才能推動法案的落地。就目前來看，避風港規定的草案發布之后，在政府層面并沒有什么實質性的推進。新任的證監會主席Gary對這個草案也沒有特別興趣，反而是新官上任三把火，不停地查處各類發幣項目。

基建法案：基建法案是拜登主導的比較重要的法案，其中跟加密行業關系比較大的是對于broker(經紀商)的定義。它可能寬泛地囊括像以太坊或者比特幣這種pow礦工或者defi項目方。這就意味著他們會承擔很多很繁重的匯報義務，尤其在用戶納稅方面。如果一個defi項目方被認定為經紀商的話，需要將用戶的交易信息匯報給政府。但這個法案實踐起來不太現實，因為以太坊礦工作為驗證節點是無法知道具體當事人是誰的，便也無從匯報。鑒于對經紀商的定義相對粗糙，也需要行政部門做出具體的解釋。

DAO：DAO本身作為一個新形態的組織已經不在監管部門的職權范圍內，而在立法部門的權力范圍之內。一般立法的流程是需要先通過議員來提交法案，然后再由國會批準通過。由于DAO處于現有的組織形態體系之外，因此納稅申報和繳稅義務都沒有明確規定。預計未來三年內都不會看到這方面的立法，因為立法牽涉的面實在太廣。另外，目前的國會議員對于DAO也沒有相應的認知，推出相應的立法是需要時間的。

Tags：FOR穩定幣USDORCBrother Music PlatformEUZ穩定幣騙局BEP2 TrueUSDorc幣能買嗎

BNB價格