数字资产合规化面临的机遇和反洗钱挑战:以美国司法部诉讼OTC承兑商案件为例
题记:3月22日20时,PeckShield 联创 Jeff Liu 受邀参加了由火星财经总编辑猛小蛇主持的公开课社群 AMA 分享,主题为《数字资产合规化机遇和反洗钱挑战:以美国司法部诉讼OTC承兑商案件为例》。在此将主题内容和大家分享一下。
今年1月初,PeckShield 发布了《2019全球数字资产反洗钱(AML)研究报告》,报告中,我们从过去一年的重大安全事件和受损情况、暗网市场交易规模、国际间未受监管的资金流动情况三方面说明了目前全球数字资产市场面临的合规化和反洗钱必要性。
我们全面梳理了近几年使用数字资产进行的“非法或未受监管”的交易现状,并深入分析了以下三方面的数据:
1. 重大安全事件和损失情况: 经统计发现:2017年共发生重大安全事件11起,共计损失2.94亿美元;2018年共发生重大安全事件46起,共计损失47.58亿美元。 2019年共发生重大安全事件63起,总共损失达到了76.79亿美元。
2. 暗网市场交易规模: 截至目前,运行 TOR 协议的暗网网站已有6万个左右,其中大约一半从事非法交易。暗网市场中的交易需求非常大,不断有大型黑市被关闭,但很快又会有新的黑市涌现出来,其总交易额还在不断增长。 2018年流入暗网的比特币总数为33万枚,2019年为54万枚 ,按交易时价计算,总金额分别是21亿美元和39亿美元。
3. 国际间未受监管资金流动情况: 以数字资产作为载体的资金在国际间的流动已经非常巨大,但不同国家对比特币等数字资产的法律界定还很模糊,意味着这些流动资金并未受到合理、合规的监管。2017年通过数字资产从中国流到国外的资金总量为101亿美元,2018年为179亿美元, 2019年为114亿美元 。
这 是什么概念呢?意味着中国未受监管监管的数字资产,三年总额超出中国3万亿美元外汇储备的1%。这个数据大家可能没概念,但可以肯定的说,这一数据情况已经受到各国政府的高度重视:
未受监管的数字资产数据还在持续增长;
各国政府和国际金融监管机构对数字资产领域的监管正逐渐清晰。
各国政府和国际金融监管机构对数字资产领域是怎样的态度呢?
从上图中大家可以看到,世界各个国家中,对数字资产比较友好的国家分别有瑞士、韩国、英国等;保持中立态度的国家有印度、印尼等;态度较强硬,明确限制的国家有俄国等。
世界上最重要的国际金融监管机构是 FATF (Financial Action Task Force),它是一家总部位于巴黎,专门做反洗钱和打击金融恐怖主义的机构,有39个成员国。2018年10月,FATF 声明它的监管规则同样适用于虚拟资产 (VA, Virtual Asset) 和虚拟资产服务提供商 (VASP, Virtual Asset Service Provider),包括数字资产交易所和数字钱包等。
2019年6月,FATF 发布了 INR15 (Interpretive Note to Recommendation 15), 进一步明确了对数字资产的监管细节,并给出了实施时间表。INR15 规定各国和 VASP 必须在一年以内,也就是2020年6月以前,开始执行 FATF 的监管要求。二十国集团 (G20) 已表示支持这一决定。
INR15 最核心的一项要求就是 “Travel Rule”, 它要求所有超过1000美元/欧元的交易,必须把交易的发起人信息,受益人信息,和交易金额报备。
这项规定对 VASP 是一项巨大挑战,意味着数字资产交易所等机构要在不到一年的时间内建立起完整的 KYC 和大额交易监控和汇报机制,与此同时,还要克服对没有 KYC 的地址进行溯源等技术难题。
之所以FATF如此迫切的要推出监管举措,最根本的问题还是未受监管的资产在国家之间的流动越来越频繁。
上图是我们统计的从中国向国外各大交易所流出资金总量的情况。
这里边的交易所包括大家耳熟能详的,火币,OKEx,Bitfinex,Binance, Bitflyer, Bitmex, Bitstamp, Bittrex, Coinbase, Coincheck, Gate.io, Kraken, Poloniex, 和 Upbit 等主流数字资产交易所。
我们只是以几个大的交易所来代表整个国家,所以统计数据只是一个保守的估计,实际的资金流动量会大于我们所统计的数据。即便这样,我们发现每年通过交易所流出的资金也相当巨大,超过了百亿美元。作为参照物,2018年中国对外直接投资的总额为1,430亿美元 。
另外,还有一个不容忽视的暗网市场在数字资产的流通量上也逐年增大。
经研究发现, 2019年从暗网直接流入各大交易所的比特币总数为29,471.64个,按交易时价计算总值为2.16亿美元。需要注意的是,暗网中的比特币只有一小部分会直接流向交易所,但2019年超过2亿美元的总资金量也足以表明反洗钱监管的必要性。
以上,就是我的全部分享,大家不难看出目前未受监管的资产流动已经占据相当大的市场份量,到了监管机构亮明态度进行监管的时候了。对数字资产交易所而言,加速合规化也成了迫在眉睫的事情。
接下来,我从一个我们最近跟踪的反洗钱案例中和大家具体聊聊,反洗钱工作的复杂性。
2020年03月02日,美国司法部以阴谋洗钱和无证经营汇款为由,对名为田寅寅和李家东两位中国人发起了公诉,并冻结了他们的全部资产。理由是,他们二人在2017年12月至2019年04月期间,帮助朝鲜政府下辖黑客组织 Lazarus Group 提供了价值超1亿美元的洗币服务。
究竟是哪几个交易所被盗了(赃款源头),黑客具体洗钱路径又是怎样的(作案流程),田和李两位承兑商是在哪个环节参与的(链上取证)?
这些美国司法部并没有公布被盗交易所的名称和地址以及田和李涉案的关键细节。我们能基于美国司法部仅公布的20个地址向上追溯、取证并以可视化图文方式还原整个案件的来龙去脉。
如上图所示,事情经过初步看为:北韩黑客组织 Lazarus Group 先通过钓鱼获取交易所私钥等手段,攻击了四个数字资产交易所;之后黑客用 Peel Chain 等手法把所窃的资产转入另外4个交易所,VCE1 到 VCE4;再然后黑客又使用 Peel Chain 把资产转移到负责洗钱的两位责任人的交易所 VCE5 和 VCE6 的账户中,最后换成法币完成整个过程。美国司法部这次起诉的就是最后一环负责洗钱的田寅寅和李家东。
作为安全公司,我们就得通过链上数据和我们已经掌握的交易所地址标签等关键数据,尽可能的还原整个市场的前因后果。
如上图,我们发现黑客一般在攻击得手后,都会分三大步进行洗钱操作。
1. 处置阶段(Placement):非法获利者将被盗资产整理归置并为下一步实施分层清洗做准备;
2. 离析阶段(Layering):Layering 是一个系统性的交易,也是整个流程中最关键技术含量最高的一个过程,用于混淆资产来源和最终收益者,使得当初的非法资产变成“合法所得”;
3. 归并阶段(Integration):将洗白后的资产“合法”转走,至此之后,攻击者手里拥有的非法资产的痕迹已经被抹除干净,不会引起有关部门的关注。
我们首先通过锁定田和李两人的 20 个关联比特币地址在链上数据,根据这些链上行为特性,结合 PeckShield 交易所被盗资料库的数据信息,最终锁定是下面四个交易所被盗:Bter、Bithumb、Upbit、Youbit。
在攻击得手后,攻击者开始利用 Peel Chain 的技术手段将手里的资产不断拆分成小笔资产,并将这些小笔资产存入交易所。
为了让大家形象的理解这一过程,我再举一个例子。
如上图,
1. 攻击者的其中一个地址先前获利 1,999 BTC,先将这一笔大额资产拆分成 1,500 + 500 BTC;
2. 其中 1,500 BTC 再拆分成三个各 500 BTC 的地址,此时看到原先的 2,000 BTC 被拆到了 4 个新地址之中,而原地址中的余额已经归零;
3. 500 BTC 转成 20~50 BTC 的大小往 Yobit 交易所充值,并将剩下的资产找零到一个新的地址中,此时完成一笔充值;
4. 使用新地址重复步骤 3,直到原始的 500 BTC 全部存入交易所为止。这一过程中攻击者也往其它交易所充值记录,比如 Bittrex、KuCoin、HitBTC 。
完成Peel Chain的操作后,攻击者并没有直接转入自己的钱包,而是再次使用 Peel Chain 手法把原始的非法所得 BTC 分批次转入 OTC 交易所进行变现。攻击者每次只从主账号分离出几十个 BTC 存入 OTC 帐号变现,经过几十或上百次的操作,最终成功将数千个 BTC 进行了混淆、清洗。
在完成以上这一系列操作后,攻击者开始将非法所得进行OTC抛售套现。根据我们的数据统计,从2018年11月28日到12月20日,攻击者总共把 3,951 个 BTC 分一百多次存入田寅寅的 Huobi 和 Coincola 三个 OTC 帐号中变现。
美国司法部正是通过交易所提供的KYC信息以及田和李二账户和被盗资金的关联性,对二人进行了起诉。
以上就是整个案例的全部。我们认为, 黑客盗取资产后实施洗钱,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分 。这无疑对各大数字资产交易所的 KYC (Know Your Customer)和 KYT (Know Your Transactions)业务均提升了要求,交易所应加强 AML 反洗钱和资金合规化方向的审查工作。
AMA 互动问答
PeckShield Jeff : 在我们看来进展缓慢的原因主要有三:
1. 数字资产基本都属于全球化流通,缺乏明显的监管界限,在资产流通开之后,国家介入以后很难进行有效管理。比如我们国家发了禁令,资产在海外照样可以流通,除非全球所有国家同时下禁令,但这样显然是不太可能的;
2. 数字资产基于区块链有去中心化、匿名性等数据特性,这让在链上对数字资产的锁定追踪难度和成本都很大;
3. 数字资产的法律界限还比较模糊,它是积分还是商品,各国之间并没有统一的共识和界定,这无疑加大了其监管难度。
不过上面我们也提到,FATF的要求监管的开始时间是今年6月份,这会对各个数字资产交易所增加一些紧迫感。
2. 问 : 对于想要谋求在海外特别是美国获得发展的区块链项目或数字资产交易所,从合规要求的角度来说,最重要的是做好哪些准备?
PeckShield Jeff : 对数字资产交易所而言,要做大合规,必须要强化 KYC和KYT两方面的资产监控,KYC就是注册用户的实名制挂钩这个不难理解,比如现在普遍做法是登记身份信息,往后诸如人脸识别等技术手段也可能会利用到。
KYT就是对流进流出的每一笔交易做监控。安全机构可以对大部分黑客组织以及资金盘跑路资金都有监控,一旦这些赃款有流入交易所会第一时间向交易所发出预警,交易所就可以介入进行冻结或其他举措。
此外,交易所对每笔交易,也可以根据不同额度进行报备。
3. 问 : 你们如何理解中美两国对于数字资产监管态度的差别?在你看来,美国的哪些做法是值得借鉴的?
PeckShield Je ff: 美国是区块链技术的主要研发中心,世界上大约1/4的区块链公司都位于美国,美国政府也积极鼓励和推动区块链技术的创新和发展。但是,美国对数字资产态度相对保守,对 ICO 等融资项目监管非常严格。
美国证劵委员会 (SEC) 认为比特币、以太币等主流数字资产不是证券,仅可以作为商品流通和交易。如果一种数字资产被 SEC 认定是证劵,那它现阶段基本不可能在美国流通。所以,很多交易所,发币机构和 ICO 项目都不对美国公民开放,以避免来自美国政府的监管。
不过,还是有数家世界上最大的数字资产交易所在美国运行,例如Coinbase, Kraken 都是有执照的,可以从事法币的存取和加密币的买卖,还有像Bittrex的交易规模也比较大。
4. 问 : 从央行不断加快推出的DC/EP,去年1024国家顶层设计的定调到今年疫情危机下数字新基建布局,都预示着数字资产合规化已是大势所趋,市场等待的无非是一个明确的政策信号。你们对中国市场的数字资产合规大趋势带来的机遇有何期待?
PeckShield Jeff : 其实从去年以来,火币和OKEx相继借壳上市已经透露出了一个信号,一些大的主流交易所接受监管是迟早的事,只不过目前还没有明确的法律界定。当法律政策明确了之后,对行业来说是一次彻底的肃清和打击,同时也会孕育着蝶变重生的机会。国家要做资产合规化,交易所势必是第一站,就看接下来政策怎么落地了。
5. 问 : 可否披露一下,过去一年你们监测到了多少起区块链领域的安全事件?涉及金额规模有多大?根据你们的观察和分析,安全事件频繁发生,主要原因是什么? 可否规避?
PeckShield Jeff: 据PeckShield数据显示,2019 年全年区块链安全事件共 177 件,其中重大安全事件 63 起,总共损失达到了 76.79 亿美元,环比 2018 年增长了 60% 左右。从细分赛道来看,2019 年,区块链安全事件涉及交易所、智能合约 & DApp、DeFi、理财钱包等多个领域,均是离交易最近的地方。
主要原因还是开发者安全意识薄弱,以及早期市场黑客横行导致的结果。事实上,近一两年内,黑客的攻击方式在不断变化,开发者防御举措也在加强,整体市场正趋近成熟。
6. 问 : 3月19日,新浪微博也爆出5.8亿条用户信息泄露,被在暗网以数字货币形式售卖。和传统的网络安全相比,区块链领域的安全威胁有哪些新的特点?
PeckShield Jeff: 传统互联网安全问题基本都是中心化的服务器,一般情况下不会出现问题,但一旦出现问题产生的危害也比较大,特别是一些人为监守自盗的问题。相比之下区块链安全由于代码开源和分布式的特点,受公众监督,其问题暴露在阳光下,开发者在项目上线前对安全问题会比较重视,问题会发现的比较早,因为是开源和公链等因素,区块链也容易受到攻击,所以安全审计工作非常重要。
7. 问: 2月17日,FCoin真相一文暴露FCoin崩盘,数亿用户资金无法兑付;2月22日,Reddit.com的用户“zhoujianfu”发帖求助,自己刚丢失了1547枚比特币和不到6万个比特币现金。这两个接踵而来的行业事件给许多用户上了一场个人数字资产安全课。但一个月过去了,我观察到周围很多朋友依然我行我素。在您看来,个人用户应该树立怎样的数字资产安全观?
PeckShield Jeff: 1、数字资产保管并非易事,一定要保管好自己的私钥,抄在纸上目前是相对安全的,任何在网上的痕迹都有可能被盗,黑客可以通过木马、SIM卡攻击等多种方式攻克防线;2、数字资产一旦丢失是不可逆的,传统互联网环境下,大家习惯了丢失后借助司法机构重新追回,但数字资产目前丢失后几乎如石沉大海,不要抱有任何侥幸心理;3、尽可能避开一些中小型中心化交易所,资产还是掌握在自己手里比较安全。