吹哨人行动:半年赃款流入超14亿美元,交易所反洗钱难题该如何破局?

PeckShield view 53 2020-7-16 11:58
share to
Scan QR code with WeChat

我们所身处的区块链行业,有很多剪不断理还乱的事情。

有因中心化和去中心化问题产生的共识之争;有因 defi 应用一飙车赛道就堵车的公链性能之困;也有因发币问题而难上大雅之堂的模式之囧;还有因融巨额资金公链主网却一度推迟上线的画饼之嫌。

不过,撇开这些商业和模式上的矛盾现状,向未来看,悬在区块链行业头顶最大的不确定性依然是法律的监管界限和力度问题。

为什么这么说呢?

目前,世界各国对区块链行业的监管态度不一,政府出台的政策无非两种:一种是坚决抵制一刀切,使得辖区内的项目只好仅保留运营主体把注册地远迁至国外;一种是设定边界和红线,越界则强监管,使得辖区内的项目都试图打模式擦边球,刀剑上跳舞。

客观来说,这样的监管本质上还是模糊且“不作为”的,因为一旦“民不告,官不究”成了一个行业的丛林生存法则,这个行业势必会陷入良莠不齐、鱼龙混杂的虚假繁荣阶段。

好的项目没办法真正受到重视而突围,差的项目也能浑水摸鱼进而制约行业整体发展,使得整个行业发展不仅慢而且平庸,这显然不是大家所期待的结果。

因此,把问题抛出来,寻求解决之道才是我们应该努力的方向,本文就以数字资产市场面临的反洗钱问题为例和大家探讨一下。

吹哨人行动:半年赃款流入超14亿美元,交易所反洗钱难题该如何破局?

早在2019年6月,FATF(世界反洗钱金融行动特别组)就表示要对数字资产市场进行监管,要求 VASP(虚拟资产服务提供商)在今年6月前开始执行 FATF 的监管要求。而根据 FATF 近期召开的全体会议要求,其将在未来一年继续监视虚拟资产市场的洗钱和反恐融资方面的风险,且届时将会审查其标准的事实和影响,对监管实施情况进行验收工作。

毋庸置疑,层层逼近的监管要求告诉我们,数字资产市场当下面临的 AML 反洗钱问题可谓是迫在眉睫了。

近期,区块链安全公司 PeckShield(派盾)发布了一个《2020上半年数字资产交易所合规性研究报告》,报告从技术和数据维度,把数字资产市场面临的 AML 反洗钱问题,赤裸裸地摆上了台面。

要知道,在当下市场监管尚模糊的大环境下,这样的吹哨人行动其实是不讨喜的,但 PeckShield 坚持这样做了,从报告中可清晰看出目前行业面临反洗钱问题的复杂性和严峻性。

PeckShield 选择在 FATF 三令五申决议要监管数字资产市场的节骨眼上发布研究报告,一方面是希望透过真实的数据让大家看一下当下数字资产反洗钱问题的严峻性,另一方面则是希望能督促各大交易所能提高在入金风控问题上的重视程度。

PeckShield 安全团队共计搜集、梳理了覆盖 BTC、ETH、EOS 等多条主链总计近 1 亿个地址标签、主要包含:交易所地址、暗网地址、高风险黑客地址、资金盘地址、赌博平台地址、混币服务商地址、中心化倒卖机构地址等等。

基于这庞大的数据标签库,PeckShield 旗下可视化数字资产追踪平台 CoinHolmes 统计发现,在过去 6 个月共计流入数字资产交易所 13,927 笔高风险资产,合计 14.7 万个 BTC,时价折合美元超过 14 亿。

而流入赃款排名前十位的交易所分别为:Huobi、Binance、OKEx、ZB、Gate.io、BitMEX、Luno、HaoBTC、Bithumb、和 Coinbase。基本囊括了目前排行靠前的多个知名交易所。

吹哨人行动:半年赃款流入超14亿美元,交易所反洗钱难题该如何破局?

可能不少朋友对这个数据并没有概念,因为赃款流入问题目前还没有完全被监管层纳入管控范围且严格执行,所以赃款流入多少对交易所而言无伤大雅,也根本殃及不了其核心业务。

所以,AML 反洗钱问题大概率会被认为很重要,然后就没有然后了。但需要提醒的是,AML 反洗钱问题可以慢慢优化解决,但绝对是无法回避的,监管大锤一定会来,只是迟早和尺度力度的问题。

对各大交易所而言,赶在监管严格执行以前寻求一套合理、合规的 AML 反洗钱解决方案就尤为重要了。

因为数字资产市场面临的 AML 反洗钱问题,远比我们想象的要复杂。一旦等到监管勒令执行时再未雨绸缪恐怕将无济于事了,届时产生的后果恐怕不堪设想。

以最近发生的惊心动魄的 OTC 冻卡潮为例,网传东莞警方在严查电信诈骗时发现相关诈骗资产流入了 OTC 渠道,因此便大刀阔斧对 USDT 场外交易市场进行了打击,导致冻卡超过了上千张。

问题是监管进行这样的“一刀切”的治理和打击举措,真的很科学合理么?

因为 OTC 服务商 的资金交互环境比较复杂,受赃款污染程度也大小不一,且其很可能在被发现有赃款交互后,已经和成千上万的正常交易账户产生了关联。倘若再不能厘清背后资金脉络和涉事责任人的情况下,强行实施连带性责任,一定会有殃及无辜的局面出现。

PeckShield 安全团队认为,此前发生的 OTC 冻卡潮依然只是监管介入数字资产市场的一次“模糊”监管,很难确保不殃及无辜。随着以后各国监管政策的日渐强化实施,在第三方数据技术分析公司的经侦协助下,相信,政府或 FATF 等金融监管机构对资产市场的监管也会日渐“精细”和“深入”。

那么,要做到精细化监管数字资产市场,得克服哪些技术难题呢?

1)链上地址“身份”的不透明性问题:虽说整个区块链行业倡导公开透明的价值观,但目前掌握市场大部分资产和流量的交易所地址却是不透明的。这意味着,虽然区块链技术让一切数据资产都能链上可溯源可追踪,但由于交易所地址的不透明性,依然会给洗钱和恐怖融资提供极大的便利条件。而要对抗这些,一方面需要交易所方面严格执行 KYC 审查和 KYT 风控,另一方面则需要一个权威的第三方机构能够通过技术手段,对不透明的地址进行精确的统计和标记,以更客观的立场对潜在的洗钱问题进行监督。

PeckShield 安全团队通过近一年的技术积累,已经掌握了近 1 个亿的地址标签,并研发出了拥有知识产权发明专利的 CoinHolmes 一系列资产追踪服务和工具,力争在交易所地址尚未透明的市场背景下,做好行业 AML 反洗钱问题“吹哨人”。

2)链上资产转移环境的复杂性问题:一笔链上发起的资产发起后,可通过资金打散、多账号转移、混币服务机构、去中心化交易所、中心化倒卖机构、DeFi 等各个不同的通道找到出口,这会极大的增加资产追踪的难度系数。以混币服务为例,PeckShield 监控中的高风险地址,仅流入混币服务商的资金就有 15.9 亿美元,而混币机构利用了 比特币 UTXO 的找零特性,使得进入其中的资金如同石沉大海,很难再有技术性追踪的可能性。

PeckShield 网罗了大量的混币服务商地址,以及一些免 KYC 的中心化倒卖机构地址,这些服务商地址尽管有一些特定洗钱规律和特性,但混淆难度较大,目前尚无有效的追踪和查证技术突破可能,但好处是即使是混币服务商也需要明确的出金通道,假使能锁定其出金通道也能对其资金进行强有力的管控。

3)链上犯罪事实立案存在的时间窗口问题:恰如在互联网科技高度发达的今天,暗网市场仍然难以剿灭一样,未来要在数字资产市场彻底杜绝犯罪行为也显然是不可能的。不过,却能做到最大程度的杜绝和预防。原因很简单,赃款流入要经过交易所的风控系统,赃款转移要经过安全公司的层层技术追踪,赃款出金要经过流通性比较大的第三方平台,只要犯罪份子的虚拟资产试图变成钱,资产追踪的意义就存在。

唯一要克服的难点是立案缉查和链上资产转移存在的时间窗口问题。目前 PeckShield 经手的案件追踪要经过以下流程:链上黑名单地址搜集监控——黑名单地址资产异动预警——等待受害者线下报警立案——警方介入向交易所取证查证——交易所对目标资产进行冻结——冻结资产的后续分配或拍卖后续。目前这一套流程走下来,至少需要1-2个自然月,而一笔非法资产从转移到洗钱卖出可能仅需要数分钟。

综上,我们也不难看出,眼下数字资产交易所面临的 AML 反洗钱问题,不是不想管,而是怎么管,如何科学合理管控的问题,说到底,只是时间早晚的问题。PeckShield 安全团队建议,各大数字资产交易所应赶在监管暴风雨来临之前,探索出一系列科学、高效、合理且周密的风控举措。

PS:PDF 原版报告请关注“PeckShield”微信公众账号,请回复“报告”获取下载链接。

关于 PeckShield

PeckShield「派盾」成⽴于2018年,是业界领先的区块链安全公司,核心团队曾服务于360、Intel、Juniper、Alibaba 等全球知名厂商,团队成员多次原创发现底层核心安全漏洞获得各大厂商官方致谢。PeckShield 作为早期专注于区块链生态的头部安全公司,基于安全团队二十年来在代码分析、操作系统、⼤数据等安全业务领域的积累,提出了一整套渗透测试、代码审计、应急响应、链上数据监测,AML 反洗钱等安全与数据综合解决方案,业务覆盖区块链生态安全的各个环节。PeckShield 团队因多个关键安全漏洞发现而广受业内关注,被 Etherscan.io 纳入智能合约安全审计推荐名单,同时跻身「以太坊赏金猎人」全球排名 Top 3。

目前,PeckShield安全业务已覆盖全球范围,主要客户包括有:公链提供商 (EOS、Nervos、Harmony、AVA、HBTC、NEO 、IOST、Bytom、TRON、OKChain),头部钱包和矿池 (imToken、SparkPool、比特派、Cobo 金库,VoiceWallet),以及头部交易所(Huobi、KuCoin、Bithumb、Upbit、OKex)、DeFi 应用及智能合约(MakerDAO、StarkWare、Tokenlon、InstaDApp、Set Protocol、Ren Project、Hydro Protocol、dForce、Newdex、HoneyLemon)等。PeckShield 旗下成立了 DAppTotal、DAppShield、CoinHolmes 等多个独立的数据与安全服务品牌,致力于提升区块链生态整体的安全性、隐私性以及可用性,并为生态用户提供切实有效的数据与安全解决方案和服务。

关于 CoinHolmes

CoinHolmes 是 PeckShield 推出的独立品牌,专门为数字资产服务商(交易所、钱包、托管服务等)、监管组织和犯罪调查机构提供 AML 合规的解决方案、调查和追踪工具。

CoinHolmes 专注于区块链地址的身份识别、追踪不良资产和情报挖掘。目前已成功识别 近 1 亿个 地址实体,并且推出了BTC、USDT 和 ETH 的资产追踪工具和反洗钱 API。

交易所和钱包、矿池可以通过 CoinHolmes,实时监控和识别从暗网市场、制裁地址、诈骗地址发起的异常交易, 防止黑产的流入和保障客户的取款安全。

犯罪调查机构、监管机构可以通过 CoinHolmes,了解每笔交易背后的现实世界实体,绘制直观的资金流向到可视化视图中, 使打击洗钱、诈骗、暗网交易等数字资产犯罪变得更为轻松 。

我们为各种类型的客户提供完整的反洗钱解决方案,和灵活的访问途径。

btcfans公众号

Scan QR code with WeChat

Disclaimer:

Previous: PeckShield:7月共发生安全事件32起,虚拟货币诈骗案件泛滥 Next: 邹传伟:从开放银行看银行业务平台化

Related