编者注:原标题为《PeckShield:数字资产合规化面临的机遇和反挑战》。本文作了不改变作者原意的删减。
题记:3月22日20时,PeckShield联创JeffLiu受邀参加了由火星财经总编辑猛小蛇主持的公开课社群AMA分享,主题为《数字资产合规化机遇和反挑战:以美国司法部诉讼OTC承兑商案件为例》。在此将主题内容和大家分享一下。
今年1月初,PeckShield发布了《2019全球数字资产反研究报告》,报告中,我们从过去一年的重大安全事件和受损情况、暗网市场交易规模、国际间未受监管的资金流动情况三方面说明了目前全球数字资产市场面临的合规化和反必要性。
我们全面梳理了近几年使用数字资产进行的“非法或未受监管”的交易现状,并深入分析了以下三方面的数据:
1.重大安全事件和损失情况:经统计发现:2017年共发生重大安全事件11起,共计损失2.94亿美元;2018年共发生重大安全事件46起,共计损失47.58亿美元。2019年共发生重大安全事件63起,总共损失达到了76.79亿美元。
2.暗网市场交易规模:截至目前,运行TOR协议的暗网网站已有6万个左右,其中大约一半从事非法交易。暗网市场中的交易需求非常大,不断有大型黑市被关闭,但很快又会有新的黑市涌现出来,其总交易额还在不断增长。2018年流入暗网的比特币总数为33万枚,2019年为54万枚,按交易时价计算,总金额分别是21亿美元和39亿美元。
3.?国际间未受监管资金流动情况:以数字资产作为载体的资金在国际间的流动已经非常巨大,但不同国家对比特币等数字资产的法律界定还很模糊,意味着这些流动资金并未受到合理、合规的监管。2017年通过数字资产从中国流到国外的资金总量为101亿美元,2018年为179亿美元,2019年为114亿美元。
这是什么概念呢?意味着中国未受监管监管的数字资产,三年总额超出中国3万亿美元外汇储备的1%。这个数据大家可能没概念,但可以肯定的说,这一数据情况已经受到各国政府的高度重视:
未受监管的数字资产数据还在持续增长;
各国政府和国际金融监管机构对数字资产领域的监管正逐渐清晰。
Fuse Labs从以色列上市数字资产公司Tectona获得500万美元投资:5月10日消息,Layer1网络Fuse背后公司Fuse Labs从以色列上市数字资产公司Tectona获得500万美元投资,将用于推动Fuse SaaS产品Fuse Charge的开发,使开发人员能够快速构建可以大规模处理支付的应用程序,并简化构建区块链支付实施所需的工作。(Cointelegraph)[2022/5/10 3:04:37]
各国政府和国际金融监管机构对数字资产领域是怎样的态度呢?
从上图中大家可以看到,世界各个国家中,对数字资产比较友好的国家分别有瑞士、韩国、英国等;保持中立态度的国家有印度、印尼等;态度较强硬,明确限制的国家有俄国等。
世界上最重要的国际金融监管机构是FATF(FinancialActionTaskForce),它是一家总部位于巴黎,专门做反和打击金融恐怖主义的机构,有39个成员国。2018年10月,FATF声明它的监管规则同样适用于虚拟资产(VA,VirtualAsset)和虚拟资产服务提供商(VASP,VirtualAssetServiceProvider),包括数字资产交易所和数字钱包等。
2019年6月,FATF发布了INR15(InterpretiveNotetoRecommendation15),进一步明确了对数字资产的监管细节,并给出了实施时间表。INR15规定各国和VASP必须在一年以内,也就是2020年6月以前,开始执行FATF的监管要求。二十国集团(G20)已表示支持这一决定。
INR15最核心的一项要求就是“TravelRule”,它要求所有超过1000美元/欧元的交易,必须把交易的发起人信息,受益人信息,和交易金额报备。
数字资产平台Bakkt与BringMeThat.com合作将加密和数字资产带入零工经济:12月17日消息,数字资产平台Bakkt与食品配送服务公司BringMeThat.com在零工经济中达成合作,Bakkt将作为一种支付选项集成到BringMeThat.com中,允许客户使用他们在Bakkt中持有的现金、参与积分或加密货币进行支付。此外,Bakkt将推出Earn Crypto,让与BringMeThat.com合作的司机能够通过Bakkt选择加密作为支付方式。(Business Wire)[2021/12/18 7:47:10]
这项规定对VASP是一项巨大挑战,意味着数字资产交易所等机构要在不到一年的时间内建立起完整的KYC和大额交易监控和汇报机制,与此同时,还要克服对没有KYC的地址进行溯源等技术难题。
之所以FATF如此迫切的要推出监管举措,最根本的问题还是未受监管的资产在国家之间的流动越来越频繁。
上图是我们统计的从中国向国外各大交易所流出资金总量的情况。
这里边的交易所包括大家耳熟能详的,火币,OKEx,Bitfinex,Binance,Bitflyer,Bitmex,Bitstamp,Bittrex,Coinbase,Coincheck,Gate.io,Kraken,Poloniex,和Upbit等主流数字资产交易所。
我们只是以几个大的交易所来代表整个国家,所以统计数据只是一个保守的估计,实际的资金流动量会大于我们所统计的数据。即便这样,我们发现每年通过交易所流出的资金也相当巨大,超过了百亿美元。作为参照物,2018年中国对外直接投资的总额为1,430亿美元。
另外,还有一个不容忽视的暗网市场在数字资产的流通量上也逐年增大。
俄副外长:数字资产或将取代俄罗斯外汇储备中的美元:10月19日消息,俄罗斯外交部负责国际经济合作的副部长潘金(Alexander Pankin)表示,为了降低制裁风险,俄罗斯将继续进行去美元化,尽管政府和公司会付出代价。
据报道,潘金表示,美元在俄罗斯国际储备中的份额可能被其他货币进一步取代,并可能在未来某个时候被数字资产取代。同时,潘金指出,俄罗斯认为没有必要减少欧元在储备中的份额。
此前,美国财政部表示,数字货币和新支付系统会削弱美国对他国采取的制裁效力。(国际文传电讯社)[2021/10/19 20:40:09]
经研究发现,2019年从暗网直接流入各大交易所的比特币总数为29,471.64个,按交易时价计算总值为2.16亿美元。需要注意的是,暗网中的比特币只有一小部分会直接流向交易所,但2019年超过2亿美元的总资金量也足以表明反监管的必要性。
以上,就是我的全部分享,大家不难看出目前未受监管的资产流动已经占据相当大的市场份量,到了监管机构亮明态度进行监管的时候了。对数字资产交易所而言,加速合规化也成了迫在眉睫的事情。
接下来,我从一个我们最近跟踪的反案例中和大家具体聊聊,反工作的复杂性。
2020年03月02日,美国司法部以阴谋和无证经营汇款为由,对名为田寅寅和李家东两位中国人发起了公诉,并冻结了他们的全部资产。理由是,他们二人在2017年12月至2019年04月期间,帮助朝鲜政府下辖黑客组织LazarusGroup提供了价值超1亿美元的洗币服务。
究竟是哪几个交易所被盗了,黑客具体路径又是怎样的,田和李两位承兑商是在哪个环节参与的?
这些美国司法部并没有公布被盗交易所的名称和地址以及田和李涉案的关键细节。我们能基于美国司法部仅公布的20个地址向上追溯、取证并以可视化图文方式还原整个案件的来龙去脉。
塞尔维亚政府将数字资产交易和发行合法化:塞尔维亚政府将根据12月29日生效的法律,允许数字资产和相关服务的发行和交易。据报道,《数字资产法》的法律草案于10月宣布,并已于11月下旬由立法者通过。 在官方公报上公布后,该法律已于周二正式生效,并将于六个月后开始应用。根据新法律,塞尔维亚的数字资产服务提供商可以在“获得监管机构的许可”后运营。(Coindesk)[2020/12/31 16:07:47]
如上图所示,事情经过初步看为:北韩黑客组织LazarusGroup先通过钓鱼获取交易所私钥等手段,攻击了四个数字资产交易所;之后黑客用PeelChain等手法把所窃的资产转入另外4个交易所,VCE1到VCE4;再然后黑客又使用PeelChain把资产转移到负责的两位责任人的交易所VCE5和VCE6的账户中,最后换成法币完成整个过程。美国司法部这次起诉的就是最后一环负责的田寅寅和李家东。
作为安全公司,我们就得通过链上数据和我们已经掌握的交易所地址标签等关键数据,尽可能的还原整个市场的前因后果。
如上图,我们发现黑客一般在攻击得手后,都会分三大步进行操作。
1.处置阶段:非法获利者将被盗资产整理归置并为下一步实施分层清洗做准备;
2.离析阶段:Layering是一个系统性的交易,也是整个流程中最关键技术含量最高的一个过程,用于混淆资产来源和最终收益者,使得当初的非法资产变成“合法所得”;
3.归并阶段:将洗白后的资产“合法”转走,至此之后,攻击者手里拥有的非法资产的痕迹已经被抹除干净,不会引起有关部门的关注。
我们首先通过锁定田和李两人的20个关联比特币地址在链上数据,根据这些链上行为特性,结合PeckShield交易所被盗资料库的数据信息,最终锁定是下面四个交易所被盗:Bter、Bithumb、Upbit、Youbit。
分析 | DragonEx交易所共计损失602万美元数字资产 已有近百万流入交易所:据PeckShield数字资产护航系统初步统计显示,DragonEx交易所共损失了价值6,028,283美元的数字资产,且已经有价值929,162美元的数字资产流入了交易所,目前尚有价值5,099,121美元的数字资产掌握在黑客手里。
对于已经流入交易所的数字资产,PeckShield正在和相关交易所取得联系并进行资金封堵,尽可能帮助受害用户减少数字资产损失。此外,PeckShield安全人员初步分析发现,黑客大概率是通过窃取交易所钱包私钥或非法获得API服务器访问,进而实施数字资产批量转移。[2019/3/26]
在攻击得手后,攻击者开始利用PeelChain的技术手段将手里的资产不断拆分成小笔资产,并将这些小笔资产存入交易所。
为了让大家形象的理解这一过程,我再举一个例子。
如上图,
1.攻击者的其中一个地址先前获利1,999BTC,先将这一笔大额资产拆分成1,500+500BTC;
2.其中1,500BTC再拆分成三个各500BTC的地址,此时看到原先的2,000BTC被拆到了4个新地址之中,而原地址中的余额已经归零;
3.500BTC转成20~50BTC的大小往Yobit交易所充值,并将剩下的资产找零到一个新的地址中,此时完成一笔充值;
4.使用新地址重复步骤3,直到原始的500BTC全部存入交易所为止。这一过程中攻击者也往其它交易所充值记录,比如Bittrex、KuCoin、HitBTC。
完成PeelChain的操作后,攻击者并没有直接转入自己的钱包,而是再次使用PeelChain手法把原始的非法所得BTC分批次转入OTC交易所进行变现。攻击者每次只从主账号分离出几十个BTC存入OTC帐号变现,经过几十或上百次的操作,最终成功将数千个BTC进行了混淆、清洗。
在完成以上这一系列操作后,攻击者开始将非法所得进行OTC抛售套现。根据我们的数据统计,从2018年11月28日到12月20日,攻击者总共把3,951个BTC分一百多次存入田寅寅的Huobi和Coincola三个OTC帐号中变现。
美国司法部正是通过交易所提供的KYC信息以及田和李二账户和被盗资金的关联性,对二人进行了起诉。
以上就是整个案例的全部。我们认为,黑客盗取资产后实施,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的KYC和KYT业务均提升了要求,交易所应加强AML反和资金合规化方向的审查工作。
AMA互动问答
1.问:随着数字资产交易走向主流并引发监管关注,许多交易所都把“合规”提上了重要日程,不遗余力申请海外牌照,但进展缓慢。造成这种局面的主要原因有哪些?
PeckShieldJeff:在我们看来进展缓慢的原因主要有三:
1.数字资产基本都属于全球化流通,缺乏明显的监管界限,在资产流通开之后,国家介入以后很难进行有效管理。比如我们国家发了禁令,资产在海外照样可以流通,除非全球所有国家同时下禁令,但这样显然是不太可能的;
2.数字资产基于区块链有去中心化、匿名性等数据特性,这让在链上对数字资产的锁定追踪难度和成本都很大;
3.数字资产的法律界限还比较模糊,它是积分还是商品,各国之间并没有统一的共识和界定,这无疑加大了其监管难度。
不过上面我们也提到,FATF的要求监管的开始时间是今年6月份,这会对各个数字资产交易所增加一些紧迫感。
2.?问:对于想要谋求在海外特别是美国获得发展的区块链项目或数字资产交易所,从合规要求的角度来说,最重要的是做好哪些准备?
PeckShieldJeff:对数字资产交易所而言,要做大合规,必须要强化KYC和KYT两方面的资产监控,KYC就是注册用户的实名制挂钩这个不难理解,比如现在普遍做法是登记身份信息,往后诸如人脸识别等技术手段也可能会利用到。
KYT就是对流进流出的每一笔交易做监控。安全机构可以对大部分黑客组织以及资金盘跑路资金都有监控,一旦这些赃款有流入交易所会第一时间向交易所发出预警,交易所就可以介入进行冻结或其他举措。
此外,交易所对每笔交易,也可以根据不同额度进行报备。
3.?问:你们如何理解中美两国对于数字资产监管态度的差别?在你看来,美国的哪些做法是值得借鉴的?
PeckShieldJeff:美国是区块链技术的主要研发中心,世界上大约1/4的区块链公司都位于美国,美国政府也积极鼓励和推动区块链技术的创新和发展。但是,美国对数字资产态度相对保守,对ICO等融资项目监管非常严格。
美国证劵委员会(SEC)认为比特币、以太币等主流数字资产不是证券,仅可以作为商品流通和交易。如果一种数字资产被SEC认定是证劵,那它现阶段基本不可能在美国流通。所以,很多交易所,发币机构和ICO项目都不对美国公民开放,以避免来自美国政府的监管。
不过,还是有数家世界上最大的数字资产交易所在美国运行,例如Coinbase,Kraken都是有执照的,可以从事法币的存取和加密币的买卖,还有像Bittrex的交易规模也比较大。
4.问:从央行不断加快推出的DC/EP,去年1024国家顶层设计的定调到今年疫情危机下数字新基建布局,都预示着数字资产合规化已是大势所趋,市场等待的无非是一个明确的政策信号。你们对中国市场的数字资产合规大趋势带来的机遇有何期待?
PeckShieldJeff:其实从去年以来,火币和OKEx相继借壳上市已经透露出了一个信号,一些大的主流交易所接受监管是迟早的事,只不过目前还没有明确的法律界定。当法律政策明确了之后,对行业来说是一次彻底的肃清和打击,同时也会孕育着蝶变重生的机会。国家要做资产合规化,交易所势必是第一站,就看接下来政策怎么落地了。
5.问:可否披露一下,过去一年你们监测到了多少起区块链领域的安全事件?涉及金额规模有多大?根据你们的观察和分析,安全事件频繁发生,主要原因是什么??可否规避?
PeckShieldJeff:据PeckShield数据显示,2019年全年区块链安全事件共177件,其中重大安全事件63起,总共损失达到了76.79亿美元,环比2018年增长了60%?左右。从细分赛道来看,2019年,区块链安全事件涉及交易所、智能合约?&DApp、DeFi、理财钱包等多个领域,均是离交易最近的地方。
主要原因还是开发者安全意识薄弱,以及早期市场黑客横行导致的结果。事实上,近一两年内,黑客的攻击方式在不断变化,开发者防御举措也在加强,整体市场正趋近成熟。
6.问:3月19日,新浪微博也爆出5.8亿条用户信息泄露,被在暗网以数字货币形式售卖。和传统的网络安全相比,区块链领域的安全威胁有哪些新的特点?
PeckShieldJeff:传统互联网安全问题基本都是中心化的服务器,一般情况下不会出现问题,但一旦出现问题产生的危害也比较大,特别是一些人为监守自盗的问题。相比之下区块链安全由于代码开源和分布式的特点,受公众监督,其问题暴露在阳光下,开发者在项目上线前对安全问题会比较重视,问题会发现的比较早,因为是开源和公链等因素,区块链也容易受到攻击,所以安全审计工作非常重要。
7.?问:2月17日,FCoin真相一文暴露FCoin崩盘,数亿用户资金无法兑付;2月22日,Reddit.com的用户“zhoujianfu”发帖求助,自己刚丢失了1547枚比特币和不到6万个比特币现金。这两个接踵而来的行业事件给许多用户上了一场个人数字资产安全课。但一个月过去了,我观察到周围很多朋友依然我行我素。在您看来,个人用户应该树立怎样的数字资产安全观?
PeckShieldJeff:1、数字资产保管并非易事,一定要保管好自己的私钥,抄在纸上目前是相对安全的,任何在网上的痕迹都有可能被盗,黑客可以通过木马、SIM卡攻击等多种方式攻克防线;2、数字资产一旦丢失是不可逆的,传统互联网环境下,大家习惯了丢失后借助司法机构重新追回,但数字资产目前丢失后几乎如石沉大海,不要抱有任何侥幸心理;3、尽可能避开一些中小型中心化交易所,资产还是掌握在自己手里比较安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。