编者注:原标题为《PeckShield:数字资产合规化面临的机遇和反挑战》。本文作了不改变作者原意的删减。
题记:3月22日20时,PeckShield联创JeffLiu受邀参加了由火星财经总编辑猛小蛇主持的公开课社群AMA分享,主题为《数字资产合规化机遇和反挑战:以美国司法部诉讼OTC承兑商案件为例》。在此将主题内容和大家分享一下。
今年1月初,PeckShield发布了《2019全球数字资产反研究报告》,报告中,我们从过去一年的重大安全事件和受损情况、暗网市场交易规模、国际间未受监管的资金流动情况三方面说明了目前全球数字资产市场面临的合规化和反必要性。
我们全面梳理了近几年使用数字资产进行的“非法或未受监管”的交易现状,并深入分析了以下三方面的数据:
1.重大安全事件和损失情况:经统计发现:2017年共发生重大安全事件11起,共计损失2.94亿美元;2018年共发生重大安全事件46起,共计损失47.58亿美元。2019年共发生重大安全事件63起,总共损失达到了76.79亿美元。
2.暗网市场交易规模:截至目前,运行TOR协议的暗网网站已有6万个左右,其中大约一半从事非法交易。暗网市场中的交易需求非常大,不断有大型黑市被关闭,但很快又会有新的黑市涌现出来,其总交易额还在不断增长。2018年流入暗网的比特币总数为33万枚,2019年为54万枚,按交易时价计算,总金额分别是21亿美元和39亿美元。
3.?国际间未受监管资金流动情况:以数字资产作为载体的资金在国际间的流动已经非常巨大,但不同国家对比特币等数字资产的法律界定还很模糊,意味着这些流动资金并未受到合理、合规的监管。2017年通过数字资产从中国流到国外的资金总量为101亿美元,2018年为179亿美元,2019年为114亿美元。
这是什么概念呢?意味着中国未受监管监管的数字资产,三年总额超出中国3万亿美元外汇储备的1%。这个数据大家可能没概念,但可以肯定的说,这一数据情况已经受到各国政府的高度重视:
未受监管的数字资产数据还在持续增长;
各国政府和国际金融监管机构对数字资产领域的监管正逐渐清晰。
Northern Trust 宣布成立数字资产和金融集团:金色财经报道,北方信托(Northern Trust )宣布成立数字资产和金融集团,该集团将由现任全球负责人Justin Chapman领导市场倡导创新和研究。
新团队将负责支持快速增长的数字资产市场的团队与致力于提供跨传统证券服务市场的市场准入和洞察力的团队结合在一起。
Northern Trust资产服务总裁Pete Cherecwich 表示,客户对数字市场的发展和对数字资产的投资以及对股票、固定收益、另类和私人资产等更传统资产类别的配置越来越感兴趣。与其创建单独的业务线,不如将我们对数字市场和传统市场的关注结合在一起,我们可以继续开发真正反映和支持客户不断发展的投资策略的服务和能力。[2022/6/24 1:28:19]
各国政府和国际金融监管机构对数字资产领域是怎样的态度呢?
从上图中大家可以看到,世界各个国家中,对数字资产比较友好的国家分别有瑞士、韩国、英国等;保持中立态度的国家有印度、印尼等;态度较强硬,明确限制的国家有俄国等。
世界上最重要的国际金融监管机构是FATF(FinancialActionTaskForce),它是一家总部位于巴黎,专门做反和打击金融恐怖主义的机构,有39个成员国。2018年10月,FATF声明它的监管规则同样适用于虚拟资产(VA,VirtualAsset)和虚拟资产服务提供商(VASP,VirtualAssetServiceProvider),包括数字资产交易所和数字钱包等。
2019年6月,FATF发布了INR15(InterpretiveNotetoRecommendation15),进一步明确了对数字资产的监管细节,并给出了实施时间表。INR15规定各国和VASP必须在一年以内,也就是2020年6月以前,开始执行FATF的监管要求。二十国集团(G20)已表示支持这一决定。
数字资产平台FalconX成为在CFTC注册的加密掉期交易商:4月14日消息,数字资产平台FalconX周三宣布成为在CFTC注册的加密掉期交易商。它现在是第一家也是唯一一家在美国全国期货协会(NFA)注册的加密货币掉期交易商,该公司还是国际掉期与衍生品协会(ISDA)首批专注于加密货币的初级会员之一。
通过这项新注册,FalconX客户现在可以进行远期、期权和掉期交易。通过与FalconX作为受监管的交易对手合作,投资者可以向其客户提供加密货币衍生品,同时风险敞口得到妥善管理。[2022/4/14 14:23:22]
INR15最核心的一项要求就是“TravelRule”,它要求所有超过1000美元/欧元的交易,必须把交易的发起人信息,受益人信息,和交易金额报备。
这项规定对VASP是一项巨大挑战,意味着数字资产交易所等机构要在不到一年的时间内建立起完整的KYC和大额交易监控和汇报机制,与此同时,还要克服对没有KYC的地址进行溯源等技术难题。
之所以FATF如此迫切的要推出监管举措,最根本的问题还是未受监管的资产在国家之间的流动越来越频繁。
上图是我们统计的从中国向国外各大交易所流出资金总量的情况。
这里边的交易所包括大家耳熟能详的,火币,OKEx,Bitfinex,Binance,Bitflyer,Bitmex,Bitstamp,Bittrex,Coinbase,Coincheck,Gate.io,Kraken,Poloniex,和Upbit等主流数字资产交易所。
我们只是以几个大的交易所来代表整个国家,所以统计数据只是一个保守的估计,实际的资金流动量会大于我们所统计的数据。即便这样,我们发现每年通过交易所流出的资金也相当巨大,超过了百亿美元。作为参照物,2018年中国对外直接投资的总额为1,430亿美元。
美国SEC新规则提议计划扩大受监管交易商的定义,并适用于被视为证券的数字资产:3月28日消息,美国证券交易委员会(SEC)发起一项新规则提案,计划扩大受监管交易商(dealers)的定义,将采用被动做市策略的人包括在内,这些人对他人具有提供流动性的效果(employ passive market making strategies),此外该项规则草案脚注表示,拟议的规则也适用于被视为证券的数字资产。Delphi Digital 总法律顾问 Gabriel Shapiro 发推表示,如果该提案被接受并执行,可能会扼杀 DeFi。[2022/3/29 14:23:34]
另外,还有一个不容忽视的暗网市场在数字资产的流通量上也逐年增大。
经研究发现,2019年从暗网直接流入各大交易所的比特币总数为29,471.64个,按交易时价计算总值为2.16亿美元。需要注意的是,暗网中的比特币只有一小部分会直接流向交易所,但2019年超过2亿美元的总资金量也足以表明反监管的必要性。
以上,就是我的全部分享,大家不难看出目前未受监管的资产流动已经占据相当大的市场份量,到了监管机构亮明态度进行监管的时候了。对数字资产交易所而言,加速合规化也成了迫在眉睫的事情。
接下来,我从一个我们最近跟踪的反案例中和大家具体聊聊,反工作的复杂性。
2020年03月02日,美国司法部以阴谋和无证经营汇款为由,对名为田寅寅和李家东两位中国人发起了公诉,并冻结了他们的全部资产。理由是,他们二人在2017年12月至2019年04月期间,帮助朝鲜政府下辖黑客组织LazarusGroup提供了价值超1亿美元的洗币服务。
究竟是哪几个交易所被盗了,黑客具体路径又是怎样的,田和李两位承兑商是在哪个环节参与的?
这些美国司法部并没有公布被盗交易所的名称和地址以及田和李涉案的关键细节。我们能基于美国司法部仅公布的20个地址向上追溯、取证并以可视化图文方式还原整个案件的来龙去脉。
Coinbase Custody考虑为39种数字资产提供托管支持:据官方博客消息,Coinbase Custody正在考虑为多种新数字资产提供支持,包括Tron、Aave、Amp、Ampleforth、Ankr、ArCoin 、Audius 、Barnbridge、BitTorrent Token、Centrifuge、Conflux Network、 Curve、 DFI.Money、Elrond Gold、JUST、JUST Stablecoin、Meta、MovieBloc、mStable、Neo、Nervos、Nexus Mutual、NKN、NuCypher、Ontology、Paxos Gold、Paxos Standard、Reserve、Reserve Rights、Request Network、Skale 、SUN Token、tBTC、Terra、The Graph、VeChain、WING、WINK及Wrapped Bitcoin。Coinbase表示,这一过程需要“重大的技术和合规审查”,并且在某些辖区可能需要获得监管机构的批准。在适用的审查和授权下,将按司法管辖区添加托管支持。[2020/10/17]
如上图所示,事情经过初步看为:北韩黑客组织LazarusGroup先通过钓鱼获取交易所私钥等手段,攻击了四个数字资产交易所;之后黑客用PeelChain等手法把所窃的资产转入另外4个交易所,VCE1到VCE4;再然后黑客又使用PeelChain把资产转移到负责的两位责任人的交易所VCE5和VCE6的账户中,最后换成法币完成整个过程。美国司法部这次起诉的就是最后一环负责的田寅寅和李家东。
作为安全公司,我们就得通过链上数据和我们已经掌握的交易所地址标签等关键数据,尽可能的还原整个市场的前因后果。
动态 | BitGo获批成为合法的数字资产托管人:据Coindesk消息,加密安全初创公司BitGo已在美国获得批准,可以作为数字资产的合格托管人。[2018/9/13]
如上图,我们发现黑客一般在攻击得手后,都会分三大步进行操作。
1.处置阶段:非法获利者将被盗资产整理归置并为下一步实施分层清洗做准备;
2.离析阶段:Layering是一个系统性的交易,也是整个流程中最关键技术含量最高的一个过程,用于混淆资产来源和最终收益者,使得当初的非法资产变成“合法所得”;
3.归并阶段:将洗白后的资产“合法”转走,至此之后,攻击者手里拥有的非法资产的痕迹已经被抹除干净,不会引起有关部门的关注。
我们首先通过锁定田和李两人的20个关联比特币地址在链上数据,根据这些链上行为特性,结合PeckShield交易所被盗资料库的数据信息,最终锁定是下面四个交易所被盗:Bter、Bithumb、Upbit、Youbit。
在攻击得手后,攻击者开始利用PeelChain的技术手段将手里的资产不断拆分成小笔资产,并将这些小笔资产存入交易所。
为了让大家形象的理解这一过程,我再举一个例子。
如上图,
1.攻击者的其中一个地址先前获利1,999BTC,先将这一笔大额资产拆分成1,500+500BTC;
2.其中1,500BTC再拆分成三个各500BTC的地址,此时看到原先的2,000BTC被拆到了4个新地址之中,而原地址中的余额已经归零;
3.500BTC转成20~50BTC的大小往Yobit交易所充值,并将剩下的资产找零到一个新的地址中,此时完成一笔充值;
4.使用新地址重复步骤3,直到原始的500BTC全部存入交易所为止。这一过程中攻击者也往其它交易所充值记录,比如Bittrex、KuCoin、HitBTC。
完成PeelChain的操作后,攻击者并没有直接转入自己的钱包,而是再次使用PeelChain手法把原始的非法所得BTC分批次转入OTC交易所进行变现。攻击者每次只从主账号分离出几十个BTC存入OTC帐号变现,经过几十或上百次的操作,最终成功将数千个BTC进行了混淆、清洗。
在完成以上这一系列操作后,攻击者开始将非法所得进行OTC抛售套现。根据我们的数据统计,从2018年11月28日到12月20日,攻击者总共把3,951个BTC分一百多次存入田寅寅的Huobi和Coincola三个OTC帐号中变现。
美国司法部正是通过交易所提供的KYC信息以及田和李二账户和被盗资金的关联性,对二人进行了起诉。
以上就是整个案例的全部。我们认为,黑客盗取资产后实施,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的KYC和KYT业务均提升了要求,交易所应加强AML反和资金合规化方向的审查工作。
AMA互动问答
1.问:随着数字资产交易走向主流并引发监管关注,许多交易所都把“合规”提上了重要日程,不遗余力申请海外牌照,但进展缓慢。造成这种局面的主要原因有哪些?
PeckShieldJeff:在我们看来进展缓慢的原因主要有三:
1.数字资产基本都属于全球化流通,缺乏明显的监管界限,在资产流通开之后,国家介入以后很难进行有效管理。比如我们国家发了禁令,资产在海外照样可以流通,除非全球所有国家同时下禁令,但这样显然是不太可能的;
2.数字资产基于区块链有去中心化、匿名性等数据特性,这让在链上对数字资产的锁定追踪难度和成本都很大;
3.数字资产的法律界限还比较模糊,它是积分还是商品,各国之间并没有统一的共识和界定,这无疑加大了其监管难度。
不过上面我们也提到,FATF的要求监管的开始时间是今年6月份,这会对各个数字资产交易所增加一些紧迫感。
2.?问:对于想要谋求在海外特别是美国获得发展的区块链项目或数字资产交易所,从合规要求的角度来说,最重要的是做好哪些准备?
PeckShieldJeff:对数字资产交易所而言,要做大合规,必须要强化KYC和KYT两方面的资产监控,KYC就是注册用户的实名制挂钩这个不难理解,比如现在普遍做法是登记身份信息,往后诸如人脸识别等技术手段也可能会利用到。
KYT就是对流进流出的每一笔交易做监控。安全机构可以对大部分黑客组织以及资金盘跑路资金都有监控,一旦这些赃款有流入交易所会第一时间向交易所发出预警,交易所就可以介入进行冻结或其他举措。
此外,交易所对每笔交易,也可以根据不同额度进行报备。
3.?问:你们如何理解中美两国对于数字资产监管态度的差别?在你看来,美国的哪些做法是值得借鉴的?
PeckShieldJeff:美国是区块链技术的主要研发中心,世界上大约1/4的区块链公司都位于美国,美国政府也积极鼓励和推动区块链技术的创新和发展。但是,美国对数字资产态度相对保守,对ICO等融资项目监管非常严格。
美国证劵委员会(SEC)认为比特币、以太币等主流数字资产不是证券,仅可以作为商品流通和交易。如果一种数字资产被SEC认定是证劵,那它现阶段基本不可能在美国流通。所以,很多交易所,发币机构和ICO项目都不对美国公民开放,以避免来自美国政府的监管。
不过,还是有数家世界上最大的数字资产交易所在美国运行,例如Coinbase,Kraken都是有执照的,可以从事法币的存取和加密币的买卖,还有像Bittrex的交易规模也比较大。
4.问:从央行不断加快推出的DC/EP,去年1024国家顶层设计的定调到今年疫情危机下数字新基建布局,都预示着数字资产合规化已是大势所趋,市场等待的无非是一个明确的政策信号。你们对中国市场的数字资产合规大趋势带来的机遇有何期待?
PeckShieldJeff:其实从去年以来,火币和OKEx相继借壳上市已经透露出了一个信号,一些大的主流交易所接受监管是迟早的事,只不过目前还没有明确的法律界定。当法律政策明确了之后,对行业来说是一次彻底的肃清和打击,同时也会孕育着蝶变重生的机会。国家要做资产合规化,交易所势必是第一站,就看接下来政策怎么落地了。
5.问:可否披露一下,过去一年你们监测到了多少起区块链领域的安全事件?涉及金额规模有多大?根据你们的观察和分析,安全事件频繁发生,主要原因是什么??可否规避?
PeckShieldJeff:据PeckShield数据显示,2019年全年区块链安全事件共177件,其中重大安全事件63起,总共损失达到了76.79亿美元,环比2018年增长了60%?左右。从细分赛道来看,2019年,区块链安全事件涉及交易所、智能合约?&DApp、DeFi、理财钱包等多个领域,均是离交易最近的地方。
主要原因还是开发者安全意识薄弱,以及早期市场黑客横行导致的结果。事实上,近一两年内,黑客的攻击方式在不断变化,开发者防御举措也在加强,整体市场正趋近成熟。
6.问:3月19日,新浪微博也爆出5.8亿条用户信息泄露,被在暗网以数字货币形式售卖。和传统的网络安全相比,区块链领域的安全威胁有哪些新的特点?
PeckShieldJeff:传统互联网安全问题基本都是中心化的服务器,一般情况下不会出现问题,但一旦出现问题产生的危害也比较大,特别是一些人为监守自盗的问题。相比之下区块链安全由于代码开源和分布式的特点,受公众监督,其问题暴露在阳光下,开发者在项目上线前对安全问题会比较重视,问题会发现的比较早,因为是开源和公链等因素,区块链也容易受到攻击,所以安全审计工作非常重要。
7.?问:2月17日,FCoin真相一文暴露FCoin崩盘,数亿用户资金无法兑付;2月22日,Reddit.com的用户“zhoujianfu”发帖求助,自己刚丢失了1547枚比特币和不到6万个比特币现金。这两个接踵而来的行业事件给许多用户上了一场个人数字资产安全课。但一个月过去了,我观察到周围很多朋友依然我行我素。在您看来,个人用户应该树立怎样的数字资产安全观?
PeckShieldJeff:1、数字资产保管并非易事,一定要保管好自己的私钥,抄在纸上目前是相对安全的,任何在网上的痕迹都有可能被盗,黑客可以通过木马、SIM卡攻击等多种方式攻克防线;2、数字资产一旦丢失是不可逆的,传统互联网环境下,大家习惯了丢失后借助司法机构重新追回,但数字资产目前丢失后几乎如石沉大海,不要抱有任何侥幸心理;3、尽可能避开一些中小型中心化交易所,资产还是掌握在自己手里比较安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。