香港虚拟资产管理新规正式上线 Beosin助力香港Web3生态的安全与合规

为积极呼应 2022 年 10 月的《有关香港虚拟资产发展的政策宣言》，以推动香港发展成为国际虚拟资产中心，香港立法会于 2022 年 12 月 7 日通过了《2022 年打击洗钱及恐怖分子资金筹集条例》的最新修订（《打击洗钱条例》），这意味着香港全新的虚拟资产服务商发牌制度（VASP 制度）于 2023 年 6 月 1 日起正式实施。

在今年初，香港证监会宣布就有关监管虚拟资产交易平台营运者的建议规定展开咨询，文件意见征求期于3月31日结束，以配合在6月1日可以正式生效新的发牌制度。香港证监会主要围绕着“是否允许交易平台面向散户投资者、散户可以参与哪些资产交易、安全保护和反洗钱”等问题向业界咨询，在咨询期间，香港证监会共收到150多份意见书，来自业界和专业组织、专业及咨询公司、市场参与者、持牌法团、个人等，比如 Binance.com、OKX Hong Kong、Amber Group、Ripple Labs和 Beosin 等。

各个机构针对香港证监会关心的虚拟资产反洗钱、虚拟资产合规审查业务、交易平台的安全防护、虚拟资产安全存储、虚拟资产链上分析与犯罪追踪、虚拟资产尽职调查、虚拟资产的市场风险管理、客户背景调查等多个领域均做了针对性的方案阐述。随着监管政策的推出，产业界也在关心如何就以上问题给出监管办法，随着区块链技术的日新月异的发展，科技界是否有针对性的技术手段或产品能给予监管机构一定的支持， 本文将带领读者从科技界的角度分析监管技术的发展和解决之道，以及为大家解读Beosin如何助力香港Web3生态的安全与合规。

一、港府关于虚拟资产反洗钱有哪些要求

在反洗钱部分，根据《打击洗钱条例》，SFC将对违法行为和不合规行为采取相关制裁措施，其中包括在未获得许可的情况下提供虚拟资产服务，以及不符合 AML/CTF 要求。此外，任何向香港公众主动推销服务的行为都将被视为提供虚拟资产服务，无论服务提供地点或服务提供方是否在香港。2023 年 6 月 1 日之后，在没有 VASP 牌照的情况下经营提供虚拟资产服务属于犯罪行为。若经循公诉程序定罪，可处罚款 500 万港元及 7 年监禁，如属持续的罪行，则可就罪行持续期间的每一日，另处罚款 10 万港元。若经循简易程序定罪，可处罚款 500 万港元及 2 年监禁，如属持续的罪行，则可就罪行持续期间的每一日，另处罚款 1 万港元，同时监管机构也要求：

1)  金融机构应提高警觉，留意一连串有关连的非经常交易达至或超越电传转账的8,000元的客户尽职审查门槛和其他各类交易的120,000元门槛的可能性。如金融机构知悉交易款额达至或超越此等门槛，必须执行客户尽职审查措施。

2)  金融机构应评估用户未能完成尽职调查程序（未能完满地完成客户尽职审查程序）的情况，会否使金融机构有理由知悉或怀疑已出现洗钱／恐怖分子资金筹集活动，并在知悉或怀疑的情况下，需向财富情报组提交关于该客户的可疑交易报告（STR）。

3)  在评估虚拟资产转帐对手方所带来的洗钱／恐怖分子资金筹集风险时，金融机构应对可能显示有较高洗钱／恐怖分子资金筹集风险的相关因素加以考虑，例如虚拟资产转帐对手方：牵涉洗钱／恐怖分子资金筹集或其他非法活动。

从技术角度来看，业界已经在合规和反洗钱领域有很多积累， 这其中涉及三项关键技术，一是客户尽职调查、二是链上分析和追踪、三是链下金融交易环节的监测与风控。 KYC作为客户尽职调查的一项关键技术已经非常成熟，综合人脸识别、活体检测、设备指纹、证件分析等关键要素。交易平台通过对客户真实身份的确认，综合链上和链下交易数据可以识别出潜在的洗钱行为。

1.  虚拟资 产交易平台的客户尽职调查如何解决？

以Beosin为例，其当前的解决方案融合了海量的欺诈数据和机器学习的力量，能够以多种方式应对虚拟资产交易平台的反洗钱挑战。 借助这些解决方案，交易平台可以在客户认证的初期利用 KYC 进行在线开户验证，并且在交易期间对用户随时进行在线复核，从而更准确地满足监管要求，其解决方案可在三个层面提供监管支持。

身份验证阶段：‌‌ 采用包括人脸识别和活体检测、证照识别等KYC 技术验证客户真实身份。

交易监控阶段： 交易监控可识别潜在的反洗钱危险信号，某些交易行为的特定变化可触发相关的 KYC 流程。

客户风险评级： 评分会考虑到一系列因素，以计算准确的客户风险分数。

2.  虚拟资产的交易风险评估以及链上交易分析与犯罪追踪如何实现？

在监管文件的反洗钱部分明确规定金融机构应该实施有效的风险为本交易监察程序，以便检测转自或转至其客户或其他方的虚拟资产（尤其是转自或转至具有较高洗钱/恐怖分子资金筹集风险的虚拟资产转账对手方或非托管钱包）的源头和目的地，并识别和报告可疑交易并采取适当跟进行动。例如：

(a) 追踪虚拟资产的交易记录，以更准确地识别有关虚拟资产的来源及目的地；

(b) 识别其中涉及直接和/或间接与非法或可疑活动/来源或指定人士有关联地址 的交易。金融机构应采纳适当科技方案（例如区块链分析工具），以便能够追踪虚拟资产及相关钱包地址并识别潜在可疑交易。

(c) 如果金融机构使用由外部提供商提供科技方案来筛查虚拟货币交易和相关钱包地址，在使用该方案之前，金融机构应考虑相关因素，包括但不限于追踪和检测工具的质量和效果；存储在支持其筛查能力的数据库中的数据覆盖范围、准确性和可靠性；区块链分析工具的触及范围以及对于涉及使用强化匿名技术或机制的虚拟货币或钱包地址（例如具有强化匿名功能的虚拟货币、混合器或转账器）的处理能力。

(d) 如果金融机构在筛查虚拟资产交易和相关钱包地址或持续监察额外客户数据时发现更大洗钱/恐怖分子资金筹集风险，则应采取更严格客户尽职调查和持续监察措施，并采取所需其他防止或减少相关风险措施以减少涉及洗钱/恐怖主义资金筹集风险。

从以上的监管要求可以看出在虚拟资产反洗钱层面，监管机构的要求是非常深入和具体的，表明监管机构对当前的技术发展有清晰的认识。近年来，网络犯罪、洗钱、暗网交易等涉及虚拟资产的犯罪屡见不鲜，区块链的去中心化、开放性、匿名性等特征给监管部门带来了巨大的挑战。但是也因为区块链账本的开放性，任何机构和个人都可验证链上交易，拿到交易数据，这也让风险交易的追踪更容易和清晰。

在本次政策咨询回复中， 以Beosin为代表的一众安全机构提出了一种解决思路 - KYT（Know Your Transactions），其目的是让交易平台和监管机构了解每一笔链上交易，在传统金融交易中，金融服务机构通过KYC 和 交易数据设计反洗钱系统。在虚拟资产交易中，交易平台可以利用KYC和KYT技术对每一笔交易的背后实体进行绑定，分析其交易行为，识别其犯罪逻辑，利用链上分析和追踪工具对每一笔交易进行定位，对用户进行画像，对交易进行评级，从而降低犯罪者利用虚拟资产洗钱的风险。

在为交易机构提供KYT能力的监管建议中， Beosin与一众平台提出的解决方案中，着重提出KYT应具备以下几个基本能力：

黑地址查询功能

利用模式识别、AI算法等技术，可将链上数亿地址映射到目标实体，同时应识别数字资产交易中的可疑活动，并呈现链上活动的合规态势，进行合规态势可视化。包括安全攻击、暗网、混币器、欺诈、勒索、赌博等。

制裁名单筛选功能

不断监控和更新OFAC制裁名单、港府本地的制裁名单等，以确保链上数据的及时性和准确性，为制定合规基线提供决策依据，并在风险偏离合规基线时及时提供告警。

地址/交易风险评分功能

KYT作为一项基础服务，应综合处理各项数据，可溯源指定帐号的资金来源和去向，能全面、快速和准确的进行数据分析，通过风险分析引擎对加密货币交易进行实时风险判断，自动给出风险建议，同时能对交易和地址风险进行全面评估，定位清晰的风险点，使地址和交易更加透明，帮助交易平台做出合理的风控策略。

地址监控报警功能

KYT 能够实时检测所有链上交易，以检查各种交易模式并可定义各项风险指标，以便第一时间了解被监测帐号的最新交易信息，帮助交易平台7*24小时监控地址的异常交易行为，对触发风控规则的交易进行告警。

追踪调查功能

显示某个地址相关的风险交易和风险地址，追溯其详细的资金路径，帮助客户验证风险来源，重构风险全貌供监管审查，完成链上调查筛选。

在具体的解决方案中，KYT产品应根据用户的需求和能力的不同，构建定制化的合规解决方案。 以下面Beosin 产品为例，除了以上基础能力，还提供定制化风险策略管理、AI智能虚拟资产路径追踪可视化、STR报告导出等功能。目前，已为多个国家和地区的机构、交易所、钱包公司等提供服务，合作客户包括Binance、OKX、HashKey Group等。

3. 链上犯罪分析与调查如何解决？

金融机构应制订及维持充分且有效的系统和管控措施，以对虚拟资产交易及相关的钱包地址进行筛查。金融机构尤其应

a) 追踪虚拟资产的交易记录，以更准确地识别有关虚拟资产的来源及目的地；

b) 识别当中涉及直接及／或间接与非法或可疑活动／来源或指定人士有关的钱包地址的交易。

金融机构应采用适当的技术解决方案(如区块链分析工具)来跟踪虚拟资产和相关的钱包地址，并识别潜在的可疑交易。

针对此类要求，Beosin提供强有力的区块链调查取证方案Beosin-Trace，此系统立足区块链行业多年的安全研发优势，依托协助执法部门破获数百起区块链犯罪案件的经验积累，以案件研判过程为场景切入打造的虚拟货币案件智能研判平台。为金融机构提供链上线索发现、链上行为刻画、资金追踪溯源、混币穿透、调查取证等一站式虚拟货币犯罪分析研判能力，并将详细的风险地址及资金分析报告输出，提交监管机构，满足合规监管，最大程度降低业务风险。

Beosin-Trace

二 关于虚拟资 产尽职调查与应对方案

在虚拟资产交易平台上架新的资产时，应对其进行严格的尽职调查，并且由独立第三方进行评估，在此领域证监会的要求非常明确，总结如下，证监会期望持牌虚拟资产交易平台委聘独立评估专家，或在合理的情况下倚赖由另一方（如发行人）委聘的独立评估专家所进行的审计。

虚拟资产平台营运者亦应最低限度在其网站登载重要资料包括：虚拟资产智能合约审计报告及其他缺陷报告的链接。在纳入任何虚拟资产以供买卖之前，智能合约审计应重点审视其在达至高可信度方面不存在任何合约隐忧或安全缺失，同时在具体的调查方面有详细规定，例如要求调研以下细则：

1、虚拟资产的管理层或开发团队背景

2、虚拟资产在各个司法管辖区的监管状况及是否影响平台的监管责任

3、虚拟资产供求、市场成熟度流动性、市值、平均每日成交量、网绩记录、其他平台有没有交易，有没有交易组合，哪些司法管辖区可供买卖

4、所在的链平台安全基础设施是否完备，是否有风险

5、推广材料是否准确无误导性

6、过往历史有没有相关重大事件

7、市场风险，是否过于集中、存在欺诈

8、相关法律风险

9、创新点是否存在欺诈或不当成分

1. 虚拟资产尽职调查

香港的虚拟资产尽职调查要求与日本的监管政策很相似，都采用了严格的审计标准，采纳第三方机构的研究报告，对交易平台上架项目有严格的审核标准和流程要求， 从2019年开始，日本金融厅通过旗下管理机构请一众知名审计机构提供报告，曾要求Beosin为其审计UNI/ DAI /LINK /SOL /HT /OKB 等知名项目，通过评级机构严苛的审核机制，避免了大量的项目风险。 为满足接下来（SFC）提出的虚拟资产尽职调查标准审查，Beosin等知名机构已经制定了针对性的服务，可以在项目上架前为交易平台提供符合香港地区监管政策的虚拟资产尽职调查报告。

作为全球最早一批专门从事区块链安全的公司，Beosin为上线虚拟资产项目提供合规审查服务，包括项目基本信息审查、项目经济模型审查、项目代码安全评估、项目市场评估以及团队尽职调查等。 比如Beosin 与日本区块链企业HashPort建立战略合作伙伴关系，双方主要在链平台和智能合约的安全审计、合规评估等方面开展合作，同时Beosin出具的区块链项目合规评估报告，目前已作为日本监管机构对项目合规评估的重要资料之一。Beosin在此期间不断提供专业和全面的安全技术支持，增强日本区块链企业的安全和合规性。

2. 智能合约安全审计

在上文的监管细则中可明确知道， 监管机构对项目的硬编码安全尤为看重，尤其是智能合约的安全审查部分。 Beosin作为全球最早将形式化验证技术应用于智能合约安全审计的团队之一，研发了面向智能合约安全检测的自动化工具VaaS，其工具的自动化检测精度高达97%，可以“一键式”自动检测智能合约的上百种安全问题。同时，Beosin基于丰富的智能合约安全数据集，借力ChatGPT基础大模型，微调训练出可深度理解智能合约逻辑的智能模型，能进一步提升形式化验证工具VaaS对复杂业务合约安全问题的检测验证能力。

除了强有力的合约审计工具VaaS外， Beosin拥有专业的合约审计和工具研发团队，可提供合约资产安全审计、业务逻辑审计、后门审计、闪电贷攻击审计、套利攻击安全审计、重入攻击审计、函数调用审计、代码规范审计等。 提供专业的安全审计报告。该报告将包含任何已识别漏洞的详细信息，并按严重性（严重、高、中、低和提示）以及建议的补救措施对它们进行分类，包含图表以提供有关项目的可视化见解并帮助用户了解已识别漏洞的来源。目前，Beosin 审计智能合约超过3000份，包括Ronin 、PancakeSwap 、OKCSwap等。

三、关于虚拟资产市场风险管理与应对方案

监管机构在文件中要求平台营运者应适当监察在其交易平台上的交易活动，并订立和实施书面政策及监控措施，以识别、预防及汇报任何市场操纵或违规交易活动。有关政策及监控措施至少应涵盖以下范畴：

(a) 识别及侦测异常情况，包括对可疑的价格急升情况进行定期的独立检视；

(b) 监察及预防任何可能使用违规交易策略的情况；

(c) 在发现操纵或违规活动后立即采取步骤以限制或暂停买卖（例如暂时停止冻结帐户）。

平台营运者在察觉其交易平台上的任何实际或潜在市场操纵或违规活动后，应在切实可行的范围内尽快将有关事宜通知证监会，并按证监会可能提出的要求就该等活动向其提供额外协助，及实施适当的补救措施。

针对此类要求， Beosin提供上线资产链上/链下实时监控及预警服务，对于香港Web3生态上线的链上项目，还可以纳入Beosin EagleEye安全风险监控、预警与阻断平台，提供24X7小时的实时风险预警，监控链上运行状态、实时交易行为，自动识别异常交易，全面评估项目安全运行状态。 能够帮助项目方发现诸如闪电贷攻击、套利交易、私钥泄漏导致的资金被盗等风险交易。24x7区块链项目安全监控：如地址监控、黑客攻击、代币恶意增发或闪电贷攻击等等。

Beosin EagleEye安全风险监控、预警与阻断平台

四、关于虚拟资产交易平台的安全防护要求与应对方案

平台营运者应采取充足、最新及适当的保安监控措施，以保护平台免被滥用。保安监控措施至少应包括：

平台营运者在推出平台或和对其作出改动前，应进行严格及独立的网络保安评估。网络保安评估的范围应至少涵盖：

(a) 用户应用程式的保安（即桌面／网络／流动应用程式）；

(b) 钱包保安；

(c) 实地保安；

(d) 网络及系统保安（包括穿透测试、保管系统及与其接合或连接的其他系统的源 代码审查，以及漏洞扫描）。

平台营运者应就网络保安评估备存足够的文件，包括测试范围和方法以及评估结果。

针对以上要求，Beosin提供交易所安全服务方案，通过技术访谈与业务访谈，输出业务、钱包、办公网、线上业务等环境的安全风控建设方案，包含：

a) 钱包安全方案

包括冷热钱包系统现状、相关规范流程完整性及执行合理性，评估并分析其中潜在风险，给出相关改进方案及规范流程。

b) 业务安全方案

针对业务全链路安全进行分析评估，围绕用户侧KYC及AML策略和流程、用户侧安全风控设计、交易安全及风控策略、钱包充提与上下游业务耦合安全性、内部业务运营及操作安全性等关键环节，发现其中系统设计或业务流程设计的风险隐患，定制改进方案。

c)信息安全方案

围绕区块链常见攻防场景，围绕终端管理、准入安全、身份鉴别、数据泄露、横向移动、上线发布安全、线上入侵响应等能力进行评估，并根据现状设计安全感知及防护策略建议，围绕策略提供安全运营及响应方案，并协助撰写配套规范、协助安全流程建设。

五、写在最后

VASP 制度正式实施后，无论是以下哪种情况：（1）已经在香港运营的虚拟资产交易所；（2）向香港投资者积极推广其服务的离岸运营的虚拟资产交易所；（3）拟在香港运营虚拟资产交易所；还是（4）传统金融机构拟涉猎虚拟资产交易所，VASP 牌照申请人都应提前为业务合规性及相关牌照申请做好准备。

VASP制度通过持牌交易所“引水入渠”是港府正在做的事情，在这个背景下 KYC 以及反洗钱合规是重中之重。在第一步“引水入渠”之后，关于开放零售投资者的投资以及如何保护投资者的问题，我们将会在下半年看到一系列细则规定出台。