編者注:原標題為《PeckShield:數字資產合規化面臨的機遇和反洗錢挑戰》。本文作了不改變作者原意的刪減。
題記:3月22日20時,PeckShield聯創JeffLiu受邀參加了由火星財經總編輯猛小蛇主持的公開課社群AMA分享,主題為《數字資產合規化機遇和反洗錢挑戰:以美國司法部訴訟OTC承兌商案件為例》。在此將主題內容和大家分享一下。
今年1月初,PeckShield發布了《2019全球數字資產反洗錢研究報告》,報告中,我們從過去一年的重大安全事件和受損情況、暗網市場交易規模、國際間未受監管的資金流動情況三方面說明了目前全球數字資產市場面臨的合規化和反洗錢必要性。
我們全面梳理了近幾年使用數字資產進行的“非法或未受監管”的交易現狀,并深入分析了以下三方面的數據:
1.重大安全事件和損失情況:經統計發現:2017年共發生重大安全事件11起,共計損失2.94億美元;2018年共發生重大安全事件46起,共計損失47.58億美元。2019年共發生重大安全事件63起,總共損失達到了76.79億美元。
2.暗網市場交易規模:截至目前,運行TOR協議的暗網網站已有6萬個左右,其中大約一半從事非法交易。暗網市場中的交易需求非常大,不斷有大型黑市被關閉,但很快又會有新的黑市涌現出來,其總交易額還在不斷增長。2018年流入暗網的比特幣總數為33萬枚,2019年為54萬枚,按交易時價計算,總金額分別是21億美元和39億美元。
3.?國際間未受監管資金流動情況:以數字資產作為載體的資金在國際間的流動已經非常巨大,但不同國家對比特幣等數字資產的法律界定還很模糊,意味著這些流動資金并未受到合理、合規的監管。2017年通過數字資產從中國流到國外的資金總量為101億美元,2018年為179億美元,2019年為114億美元。
這是什么概念呢?意味著中國未受監管監管的數字資產,三年總額超出中國3萬億美元外匯儲備的1%。這個數據大家可能沒概念,但可以肯定的說,這一數據情況已經受到各國政府的高度重視:
路易斯安那州州長簽署法案,將允許金融機構為客戶托管數字資產:6月22日消息,加密分析師Dennis Porter發推稱,美國路易斯安那州州長John Bel Edwards已簽署一項法案,該法案允許路易斯安那州的金融機構和信托公司為客戶托管比特幣等數字資產。
據悉,HB 802由路易斯安那州眾議員Mark Wright提出,并得到鵜鶘技術與創新中心及其主任Eric Peterson支持。(Finbold)[2022/6/22 1:24:20]
未受監管的數字資產數據還在持續增長;
各國政府和國際金融監管機構對數字資產領域的監管正逐漸清晰。
各國政府和國際金融監管機構對數字資產領域是怎樣的態度呢?
從上圖中大家可以看到,世界各個國家中,對數字資產比較友好的國家分別有瑞士、韓國、英國等;保持中立態度的國家有印度、印尼等;態度較強硬,明確限制的國家有俄國等。
世界上最重要的國際金融監管機構是FATF(FinancialActionTaskForce),它是一家總部位于巴黎,專門做反洗錢和打擊金融恐怖主義的機構,有39個成員國。2018年10月,FATF聲明它的監管規則同樣適用于虛擬資產(VA,VirtualAsset)和虛擬資產服務提供商(VASP,VirtualAssetServiceProvider),包括數字資產交易所和數字錢包等。
2019年6月,FATF發布了INR15(InterpretiveNotetoRecommendation15),進一步明確了對數字資產的監管細節,并給出了實施時間表。INR15規定各國和VASP必須在一年以內,也就是2020年6月以前,開始執行FATF的監管要求。二十國集團(G20)已表示支持這一決定。
INR15最核心的一項要求就是“TravelRule”,它要求所有超過1000美元/歐元的交易,必須把交易的發起人信息,受益人信息,和交易金額報備。
數字資產技術公司NSAV推出去中心化交易所NSAVDEX:加密貨幣、區塊鏈和數字資產技術公司Net Savings Link, Inc.(NSAV)宣布推出其去中心化交易所(DEX)。NSAVDEX是無需許可的DEX平臺,用戶可以使用兌換、礦池、流動性和交易功能。(Globenewswire)[2021/10/28 6:16:23]
這項規定對VASP是一項巨大挑戰,意味著數字資產交易所等機構要在不到一年的時間內建立起完整的KYC和大額交易監控和匯報機制,與此同時,還要克服對沒有KYC的地址進行溯源等技術難題。
之所以FATF如此迫切的要推出監管舉措,最根本的問題還是未受監管的資產在國家之間的流動越來越頻繁。
上圖是我們統計的從中國向國外各大交易所流出資金總量的情況。
這里邊的交易所包括大家耳熟能詳的,火幣,OKEx,Bitfinex,Binance,Bitflyer,Bitmex,Bitstamp,Bittrex,Coinbase,Coincheck,Gate.io,Kraken,Poloniex,和Upbit等主流數字資產交易所。
我們只是以幾個大的交易所來代表整個國家,所以統計數據只是一個保守的估計,實際的資金流動量會大于我們所統計的數據。即便這樣,我們發現每年通過交易所流出的資金也相當巨大,超過了百億美元。作為參照物,2018年中國對外直接投資的總額為1,430億美元。
另外,還有一個不容忽視的暗網市場在數字資產的流通量上也逐年增大。
經研究發現,2019年從暗網直接流入各大交易所的比特幣總數為29,471.64個,按交易時價計算總值為2.16億美元。需要注意的是,暗網中的比特幣只有一小部分會直接流向交易所,但2019年超過2億美元的總資金量也足以表明反洗錢監管的必要性。
澳大利亞自由黨參議員:加密貨幣相關立法的數字資產計劃即將“出臺”:金色財經報道,澳大利亞自由黨參議員Andrew Bragg在當地行業活動中表示,澳大利亞制定加密貨幣相關立法的數字資產計劃即將“出臺”,并可能在 2022 年頒布。他還支持利用可再生能源運營該行業的計劃,作為政府尚未確定的實現“凈零”碳排放目標的一部分。(cointelegraph)[2021/10/1 17:19:41]
以上,就是我的全部分享,大家不難看出目前未受監管的資產流動已經占據相當大的市場份量,到了監管機構亮明態度進行監管的時候了。對數字資產交易所而言,加速合規化也成了迫在眉睫的事情。
接下來,我從一個我們最近跟蹤的反洗錢案例中和大家具體聊聊,反洗錢工作的復雜性。
2020年03月02日,美國司法部以陰謀洗錢和無證經營匯款為由,對名為田寅寅和李家東兩位中國人發起了公訴,并凍結了他們的全部資產。理由是,他們二人在2017年12月至2019年04月期間,幫助朝鮮政府下轄黑客組織LazarusGroup提供了價值超1億美元的洗幣服務。
究竟是哪幾個交易所被盜了,黑客具體洗錢路徑又是怎樣的,田和李兩位承兌商是在哪個環節參與的?
這些美國司法部并沒有公布被盜交易所的名稱和地址以及田和李涉案的關鍵細節。我們能基于美國司法部僅公布的20個地址向上追溯、取證并以可視化圖文方式還原整個案件的來龍去脈。
如上圖所示,事情經過初步看為:北韓黑客組織LazarusGroup先通過釣魚獲取交易所私鑰等手段,攻擊了四個數字資產交易所;之后黑客用PeelChain等手法把所竊的資產轉入另外4個交易所,VCE1到VCE4;再然后黑客又使用PeelChain把資產轉移到負責洗錢的兩位責任人的交易所VCE5和VCE6的賬戶中,最后換成法幣完成整個過程。美國司法部這次起訴的就是最后一環負責洗錢的田寅寅和李家東。
動態 | 調查:越來越多的機構投資者利用數字資產分散投資:Forkast今日消息,根據富達投資(Fidelity Investments)的一項調查,越來越多的機構投資者正在利用數字資產分散投資,以實現投資組合的多樣化。調查發現,47%的機構投資者認為,加密貨幣適合添加到他們的投資組合中。[2019/11/28]
作為安全公司,我們就得通過鏈上數據和我們已經掌握的交易所地址標簽等關鍵數據,盡可能的還原整個市場的前因后果。
如上圖,我們發現黑客一般在攻擊得手后,都會分三大步進行洗錢操作。
1.處置階段:非法獲利者將被盜資產整理歸置并為下一步實施分層清洗做準備;
2.離析階段:Layering是一個系統性的交易,也是整個流程中最關鍵技術含量最高的一個過程,用于混淆資產來源和最終收益者,使得當初的非法資產變成“合法所得”;
3.歸并階段:將洗白后的資產“合法”轉走,至此之后,攻擊者手里擁有的非法資產的痕跡已經被抹除干凈,不會引起有關部門的關注。
我們首先通過鎖定田和李兩人的20個關聯比特幣地址在鏈上數據,根據這些鏈上行為特性,結合PeckShield交易所被盜資料庫的數據信息,最終鎖定是下面四個交易所被盜:Bter、Bithumb、Upbit、Youbit。
在攻擊得手后,攻擊者開始利用PeelChain的技術手段將手里的資產不斷拆分成小筆資產,并將這些小筆資產存入交易所。
為了讓大家形象的理解這一過程,我再舉一個例子。
如上圖,
1.攻擊者的其中一個地址先前獲利1,999BTC,先將這一筆大額資產拆分成1,500+500BTC;
現場 | 郭亦卓:普華永道中國正落實數字資產錢包安全框架:普華永道中國風險及控制服務高級經理郭亦卓在今日舉辦的2018金融科技北京峰會暨區塊鏈世界論壇上分享了普華永道中國區塊鏈領域的投入,他指出,普華永道中國區塊鏈的布局包含與政府、企業緊密合作,實施區塊鏈服務項目,并進行了演講等公眾活動。此外,他就“數字資產錢包安全現狀”進行分析指出,目前錢包領域暴露了很多安全問題,諸如用戶操作被截屏/錄屏記錄、未檢測軟件的運行環境、APP偽造/山寨軟件釣魚、交易密碼未檢測弱口令、核心代碼未加固等。普華永道中國對此設計數字貨幣錢包安全框架,涉及三個層面:APP安全、服務端安全、業務及管理安全。[2018/10/25]
2.其中1,500BTC再拆分成三個各500BTC的地址,此時看到原先的2,000BTC被拆到了4個新地址之中,而原地址中的余額已經歸零;
3.500BTC轉成20~50BTC的大小往Yobit交易所充值,并將剩下的資產找零到一個新的地址中,此時完成一筆充值;
4.使用新地址重復步驟3,直到原始的500BTC全部存入交易所為止。這一過程中攻擊者也往其它交易所充值記錄,比如Bittrex、KuCoin、HitBTC。
完成PeelChain的操作后,攻擊者并沒有直接轉入自己的錢包,而是再次使用PeelChain手法把原始的非法所得BTC分批次轉入OTC交易所進行變現。攻擊者每次只從主賬號分離出幾十個BTC存入OTC帳號變現,經過幾十或上百次的操作,最終成功將數千個BTC進行了混淆、清洗。
在完成以上這一系列操作后,攻擊者開始將非法所得進行OTC拋售套現。根據我們的數據統計,從2018年11月28日到12月20日,攻擊者總共把3,951個BTC分一百多次存入田寅寅的Huobi和Coincola三個OTC帳號中變現。
美國司法部正是通過交易所提供的KYC信息以及田和李二賬戶和被盜資金的關聯性,對二人進行了起訴。
以上就是整個案例的全部。我們認為,黑客盜取資產后實施洗錢,不管過程多周密復雜,一般都會把交易所作為套現通道的一部分。這無疑對各大數字資產交易所的KYC和KYT業務均提升了要求,交易所應加強AML反洗錢和資金合規化方向的審查工作。
AMA互動問答
1.問:隨著數字資產交易走向主流并引發監管關注,許多交易所都把“合規”提上了重要日程,不遺余力申請海外牌照,但進展緩慢。造成這種局面的主要原因有哪些?
PeckShieldJeff:在我們看來進展緩慢的原因主要有三:
1.數字資產基本都屬于全球化流通,缺乏明顯的監管界限,在資產流通開之后,國家介入以后很難進行有效管理。比如我們國家發了禁令,資產在海外照樣可以流通,除非全球所有國家同時下禁令,但這樣顯然是不太可能的;
2.數字資產基于區塊鏈有去中心化、匿名性等數據特性,這讓在鏈上對數字資產的鎖定追蹤難度和成本都很大;
3.數字資產的法律界限還比較模糊,它是積分還是商品,各國之間并沒有統一的共識和界定,這無疑加大了其監管難度。
不過上面我們也提到,FATF的要求監管的開始時間是今年6月份,這會對各個數字資產交易所增加一些緊迫感。
2.?問:對于想要謀求在海外特別是美國獲得發展的區塊鏈項目或數字資產交易所,從合規要求的角度來說,最重要的是做好哪些準備?
PeckShieldJeff:對數字資產交易所而言,要做大合規,必須要強化KYC和KYT兩方面的資產監控,KYC就是注冊用戶的實名制掛鉤這個不難理解,比如現在普遍做法是登記身份信息,往后諸如人臉識別等技術手段也可能會利用到。
KYT就是對流進流出的每一筆交易做監控。安全機構可以對大部分黑客組織以及資金盤跑路資金都有監控,一旦這些贓款有流入交易所會第一時間向交易所發出預警,交易所就可以介入進行凍結或其他舉措。
此外,交易所對每筆交易,也可以根據不同額度進行報備。
3.?問:你們如何理解中美兩國對于數字資產監管態度的差別?在你看來,美國的哪些做法是值得借鑒的?
PeckShieldJeff:美國是區塊鏈技術的主要研發中心,世界上大約1/4的區塊鏈公司都位于美國,美國政府也積極鼓勵和推動區塊鏈技術的創新和發展。但是,美國對數字資產態度相對保守,對ICO等融資項目監管非常嚴格。
美國證劵委員會(SEC)認為比特幣、以太幣等主流數字資產不是證券,僅可以作為商品流通和交易。如果一種數字資產被SEC認定是證劵,那它現階段基本不可能在美國流通。所以,很多交易所,發幣機構和ICO項目都不對美國公民開放,以避免來自美國政府的監管。
不過,還是有數家世界上最大的數字資產交易所在美國運行,例如Coinbase,Kraken都是有執照的,可以從事法幣的存取和加密幣的買賣,還有像Bittrex的交易規模也比較大。
4.問:從央行不斷加快推出的DC/EP,去年1024國家頂層設計的定調到今年疫情危機下數字新基建布局,都預示著數字資產合規化已是大勢所趨,市場等待的無非是一個明確的政策信號。你們對中國市場的數字資產合規大趨勢帶來的機遇有何期待?
PeckShieldJeff:其實從去年以來,火幣和OKEx相繼借殼上市已經透露出了一個信號,一些大的主流交易所接受監管是遲早的事,只不過目前還沒有明確的法律界定。當法律政策明確了之后,對行業來說是一次徹底的肅清和打擊,同時也會孕育著蝶變重生的機會。國家要做資產合規化,交易所勢必是第一站,就看接下來政策怎么落地了。
5.問:可否披露一下,過去一年你們監測到了多少起區塊鏈領域的安全事件?涉及金額規模有多大?根據你們的觀察和分析,安全事件頻繁發生,主要原因是什么??可否規避?
PeckShieldJeff:據PeckShield數據顯示,2019年全年區塊鏈安全事件共177件,其中重大安全事件63起,總共損失達到了76.79億美元,環比2018年增長了60%?左右。從細分賽道來看,2019年,區塊鏈安全事件涉及交易所、智能合約?&DApp、DeFi、理財錢包等多個領域,均是離交易最近的地方。
主要原因還是開發者安全意識薄弱,以及早期市場黑客橫行導致的結果。事實上,近一兩年內,黑客的攻擊方式在不斷變化,開發者防御舉措也在加強,整體市場正趨近成熟。
6.問:3月19日,新浪微博也爆出5.8億條用戶信息泄露,被在暗網以數字貨幣形式售賣。和傳統的網絡安全相比,區塊鏈領域的安全威脅有哪些新的特點?
PeckShieldJeff:傳統互聯網安全問題基本都是中心化的服務器,一般情況下不會出現問題,但一旦出現問題產生的危害也比較大,特別是一些人為監守自盜的問題。相比之下區塊鏈安全由于代碼開源和分布式的特點,受公眾監督,其問題暴露在陽光下,開發者在項目上線前對安全問題會比較重視,問題會發現的比較早,因為是開源和公鏈等因素,區塊鏈也容易受到攻擊,所以安全審計工作非常重要。
7.?問:2月17日,FCoin真相一文暴露FCoin崩盤,數億用戶資金無法兌付;2月22日,Reddit.com的用戶“zhoujianfu”發帖求助,自己剛丟失了1547枚比特幣和不到6萬個比特幣現金。這兩個接踵而來的行業事件給許多用戶上了一場個人數字資產安全課。但一個月過去了,我觀察到周圍很多朋友依然我行我素。在您看來,個人用戶應該樹立怎樣的數字資產安全觀?
PeckShieldJeff:1、數字資產保管并非易事,一定要保管好自己的私鑰,抄在紙上目前是相對安全的,任何在網上的痕跡都有可能被盜,黑客可以通過木馬、SIM卡攻擊等多種方式攻克防線;2、數字資產一旦丟失是不可逆的,傳統互聯網環境下,大家習慣了丟失后借助司法機構重新追回,但數字資產目前丟失后幾乎如石沉大海,不要抱有任何僥幸心理;3、盡可能避開一些中小型中心化交易所,資產還是掌握在自己手里比較安全。
日本金融監管機構周二宣布啟動其全球區塊鏈治理倡議網絡。 動態 | 日本金融廳要求Bitpoint對被盜事件進行報告說明:據路透消息,日本金融廳于今日向被盜交易所Bitpoint發出基于資金結算法.
1900/1/1 0:00:00一位美國國會議員正在做最新工作,以澄清確定哪個美國監管機構負責哪種數字資產。 來源:Pixabay 3月9日,國會議員PaulGosar提出了《2020年加密貨幣法案》,該法案旨在對各種數字資產.
1900/1/1 0:00:00來源:云南網,原題《后疫情時代區塊鏈技術將助推云南數字經濟發展》 記者:趙崗 后疫情時代的數字經濟,特別是新興區塊鏈技術.
1900/1/1 0:00:00英國央行下任行長AndrewBailey在最近發表了一番關于比特幣的言論之后,與彼得?希夫及沃倫?巴菲特一同成為了反對比特幣家族的成員.
1900/1/1 0:00:00剛剛,BitMEX的首席執行官兼聯合創始人ArthurHayes宣布了他對比特幣價格的最新預測.
1900/1/1 0:00:00韓國日交易量最大的兩家密碼交易所UPbit和Bithumb的交易額自2018年以來分別下降了70%和63%.
1900/1/1 0:00:00