编者注:原标题为《PeckShield:数字资产合规化面临的机遇和反挑战》。本文作了不改变作者原意的删减。
题记:3月22日20时,PeckShield联创JeffLiu受邀参加了由火星财经总编辑猛小蛇主持的公开课社群AMA分享,主题为《数字资产合规化机遇和反挑战:以美国司法部诉讼OTC承兑商案件为例》。在此将主题内容和大家分享一下。
今年1月初,PeckShield发布了《2019全球数字资产反研究报告》,报告中,我们从过去一年的重大安全事件和受损情况、暗网市场交易规模、国际间未受监管的资金流动情况三方面说明了目前全球数字资产市场面临的合规化和反必要性。
我们全面梳理了近几年使用数字资产进行的“非法或未受监管”的交易现状,并深入分析了以下三方面的数据:
1.重大安全事件和损失情况:经统计发现:2017年共发生重大安全事件11起,共计损失2.94亿美元;2018年共发生重大安全事件46起,共计损失47.58亿美元。2019年共发生重大安全事件63起,总共损失达到了76.79亿美元。
2.暗网市场交易规模:截至目前,运行TOR协议的暗网网站已有6万个左右,其中大约一半从事非法交易。暗网市场中的交易需求非常大,不断有大型黑市被关闭,但很快又会有新的黑市涌现出来,其总交易额还在不断增长。2018年流入暗网的比特币总数为33万枚,2019年为54万枚,按交易时价计算,总金额分别是21亿美元和39亿美元。
3.?国际间未受监管资金流动情况:以数字资产作为载体的资金在国际间的流动已经非常巨大,但不同国家对比特币等数字资产的法律界定还很模糊,意味着这些流动资金并未受到合理、合规的监管。2017年通过数字资产从中国流到国外的资金总量为101亿美元,2018年为179亿美元,2019年为114亿美元。
这是什么概念呢?意味着中国未受监管监管的数字资产,三年总额超出中国3万亿美元外汇储备的1%。这个数据大家可能没概念,但可以肯定的说,这一数据情况已经受到各国政府的高度重视:
未受监管的数字资产数据还在持续增长;
各国政府和国际金融监管机构对数字资产领域的监管正逐渐清晰。
FCA数字资产主管在加入不到一年后离职:金色财经报道,英国金融行为监管局(FCA)的数字资产主管Binu Paul在加入不到一年的时间里已经离开了该机构。
Paul于去年10月加入英国金融监管机构。他之前在新西兰金融市场管理局担任金融技术专家领导。他从Victoria McLoughlin手中接过了数字资产主管的职位,后者是临时性的。
截至发稿时,FCA没有回应评论请求,也没有确认谁将取代Paul。[2023/6/26 22:01:26]
各国政府和国际金融监管机构对数字资产领域是怎样的态度呢?
从上图中大家可以看到,世界各个国家中,对数字资产比较友好的国家分别有瑞士、韩国、英国等;保持中立态度的国家有印度、印尼等;态度较强硬,明确限制的国家有俄国等。
世界上最重要的国际金融监管机构是FATF(FinancialActionTaskForce),它是一家总部位于巴黎,专门做反和打击金融恐怖主义的机构,有39个成员国。2018年10月,FATF声明它的监管规则同样适用于虚拟资产(VA,VirtualAsset)和虚拟资产服务提供商(VASP,VirtualAssetServiceProvider),包括数字资产交易所和数字钱包等。
2019年6月,FATF发布了INR15(InterpretiveNotetoRecommendation15),进一步明确了对数字资产的监管细节,并给出了实施时间表。INR15规定各国和VASP必须在一年以内,也就是2020年6月以前,开始执行FATF的监管要求。二十国集团(G20)已表示支持这一决定。
INR15最核心的一项要求就是“TravelRule”,它要求所有超过1000美元/欧元的交易,必须把交易的发起人信息,受益人信息,和交易金额报备。
数字资产银行Sygnum获得阿布扎比全球市场金融服务监管局原则性批准:金色财经报道,数字资产银行Sygnum宣布获得阿布扎比全球市场(ADGM) 金融服务监管局 (FSRA) 原则性批准,将在中东地区开设办事处,同时推出加密原生数字资产银行、资产管理、代币化和 B2B 银行服务,其目标客户包括阿联酋区块链公司,本地加密货币基金会和项目并为传统机构投资者和富裕人士提供加密资产敞口。(crowdfundinsider)[2022/11/26 20:47:41]
这项规定对VASP是一项巨大挑战,意味着数字资产交易所等机构要在不到一年的时间内建立起完整的KYC和大额交易监控和汇报机制,与此同时,还要克服对没有KYC的地址进行溯源等技术难题。
之所以FATF如此迫切的要推出监管举措,最根本的问题还是未受监管的资产在国家之间的流动越来越频繁。
上图是我们统计的从中国向国外各大交易所流出资金总量的情况。
这里边的交易所包括大家耳熟能详的,火币,OKEx,Bitfinex,Binance,Bitflyer,Bitmex,Bitstamp,Bittrex,Coinbase,Coincheck,Gate.io,Kraken,Poloniex,和Upbit等主流数字资产交易所。
我们只是以几个大的交易所来代表整个国家,所以统计数据只是一个保守的估计,实际的资金流动量会大于我们所统计的数据。即便这样,我们发现每年通过交易所流出的资金也相当巨大,超过了百亿美元。作为参照物,2018年中国对外直接投资的总额为1,430亿美元。
另外,还有一个不容忽视的暗网市场在数字资产的流通量上也逐年增大。
经研究发现,2019年从暗网直接流入各大交易所的比特币总数为29,471.64个,按交易时价计算总值为2.16亿美元。需要注意的是,暗网中的比特币只有一小部分会直接流向交易所,但2019年超过2亿美元的总资金量也足以表明反监管的必要性。
俄罗斯央行建议对数字资产长期持有者实施税收激励:11月9日消息,俄罗斯央行(Central Bank of Russia)发布了一份关于俄罗斯数字资产行业未来的报告,称需要额外的监管来改善DFA框架,并使其与管理传统金融业的规则相协调,这将增加投资、流通和流动性,同时确保更好地保护投资者。在报告中,俄罗斯央行提议对数字金融资产的长期持有者实施税收激励,建议采用一种类似于适用于个人投资账户持有人的特殊税收制度的机制,引入该机制的目的是吸引市民的自由资金进入证券市场。
俄罗斯央行认为,它的提议将为俄罗斯公民和企业创造新的机会,简化数字资产和数字权利的交易,并降低运营成本。不过,报告指出,在批准此类税收优惠之前,还需要与相关政府机构和市场参与者进行进一步讨论。[2022/11/9 12:38:14]
以上,就是我的全部分享,大家不难看出目前未受监管的资产流动已经占据相当大的市场份量,到了监管机构亮明态度进行监管的时候了。对数字资产交易所而言,加速合规化也成了迫在眉睫的事情。
接下来,我从一个我们最近跟踪的反案例中和大家具体聊聊,反工作的复杂性。
2020年03月02日,美国司法部以阴谋和无证经营汇款为由,对名为田寅寅和李家东两位中国人发起了公诉,并冻结了他们的全部资产。理由是,他们二人在2017年12月至2019年04月期间,帮助朝鲜政府下辖黑客组织LazarusGroup提供了价值超1亿美元的洗币服务。
究竟是哪几个交易所被盗了,黑客具体路径又是怎样的,田和李两位承兑商是在哪个环节参与的?
这些美国司法部并没有公布被盗交易所的名称和地址以及田和李涉案的关键细节。我们能基于美国司法部仅公布的20个地址向上追溯、取证并以可视化图文方式还原整个案件的来龙去脉。
SEC委员:不支持对崩溃的数字资产公司进行救助:金色财经报道,尽管美国证券交易委员会委员、又名“加密货币妈妈”的海丝特·皮尔斯(Hester Peirce)对加密货币行业的增长持乐观态度,但她绝不会支持拯救该行业走出危机。上周五,她声称,缺乏这样的机制实际上是市场的一种力量。
Peirce在接受《福布斯》采访时澄清称,SEC无权成为“系统性风险监管机构”,无权决定哪些机构需要政府担保。然而,即使是这样,她也不会支持对如今面临麻烦的加密平台采取这样的措施——尤其是如果它们不负责任地过度杠杆化的话。(cryptopotato)[2022/6/22 4:44:27]
如上图所示,事情经过初步看为:北韩黑客组织LazarusGroup先通过钓鱼获取交易所私钥等手段,攻击了四个数字资产交易所;之后黑客用PeelChain等手法把所窃的资产转入另外4个交易所,VCE1到VCE4;再然后黑客又使用PeelChain把资产转移到负责的两位责任人的交易所VCE5和VCE6的账户中,最后换成法币完成整个过程。美国司法部这次起诉的就是最后一环负责的田寅寅和李家东。
作为安全公司,我们就得通过链上数据和我们已经掌握的交易所地址标签等关键数据,尽可能的还原整个市场的前因后果。
如上图,我们发现黑客一般在攻击得手后,都会分三大步进行操作。
1.处置阶段:非法获利者将被盗资产整理归置并为下一步实施分层清洗做准备;
2.离析阶段:Layering是一个系统性的交易,也是整个流程中最关键技术含量最高的一个过程,用于混淆资产来源和最终收益者,使得当初的非法资产变成“合法所得”;
3.归并阶段:将洗白后的资产“合法”转走,至此之后,攻击者手里拥有的非法资产的痕迹已经被抹除干净,不会引起有关部门的关注。
道富银行加密业务负责人:数字资产可为私人金融市场带来秩序:道富银行加密业务负责人Jay Biancamano在接受采访时表示,数字资产将帮助私人金融市场在未来5至10年内成为交易的标准。Biancamano表示,由于证券交易所涉及的费用和其他成本,许多交易者的实际回报率远低于如果除去所有交易成本他们本可以得到的回报。数字资产则提供了一种更高效的选择,有可能为蓬勃发展的私人金融市场带来秩序。美国SEC最近决定扩大合格投资者的定义,这为散户投资者参与私人交易提供了更多机会。(The Block)[2020/3/5]
我们首先通过锁定田和李两人的20个关联比特币地址在链上数据,根据这些链上行为特性,结合PeckShield交易所被盗资料库的数据信息,最终锁定是下面四个交易所被盗:Bter、Bithumb、Upbit、Youbit。
在攻击得手后,攻击者开始利用PeelChain的技术手段将手里的资产不断拆分成小笔资产,并将这些小笔资产存入交易所。
为了让大家形象的理解这一过程,我再举一个例子。
如上图,
1.攻击者的其中一个地址先前获利1,999BTC,先将这一笔大额资产拆分成1,500+500BTC;
2.其中1,500BTC再拆分成三个各500BTC的地址,此时看到原先的2,000BTC被拆到了4个新地址之中,而原地址中的余额已经归零;
3.500BTC转成20~50BTC的大小往Yobit交易所充值,并将剩下的资产找零到一个新的地址中,此时完成一笔充值;
4.使用新地址重复步骤3,直到原始的500BTC全部存入交易所为止。这一过程中攻击者也往其它交易所充值记录,比如Bittrex、KuCoin、HitBTC。
完成PeelChain的操作后,攻击者并没有直接转入自己的钱包,而是再次使用PeelChain手法把原始的非法所得BTC分批次转入OTC交易所进行变现。攻击者每次只从主账号分离出几十个BTC存入OTC帐号变现,经过几十或上百次的操作,最终成功将数千个BTC进行了混淆、清洗。
在完成以上这一系列操作后,攻击者开始将非法所得进行OTC抛售套现。根据我们的数据统计,从2018年11月28日到12月20日,攻击者总共把3,951个BTC分一百多次存入田寅寅的Huobi和Coincola三个OTC帐号中变现。
美国司法部正是通过交易所提供的KYC信息以及田和李二账户和被盗资金的关联性,对二人进行了起诉。
以上就是整个案例的全部。我们认为,黑客盗取资产后实施,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的KYC和KYT业务均提升了要求,交易所应加强AML反和资金合规化方向的审查工作。
AMA互动问答
1.问:随着数字资产交易走向主流并引发监管关注,许多交易所都把“合规”提上了重要日程,不遗余力申请海外牌照,但进展缓慢。造成这种局面的主要原因有哪些?
PeckShieldJeff:在我们看来进展缓慢的原因主要有三:
1.数字资产基本都属于全球化流通,缺乏明显的监管界限,在资产流通开之后,国家介入以后很难进行有效管理。比如我们国家发了禁令,资产在海外照样可以流通,除非全球所有国家同时下禁令,但这样显然是不太可能的;
2.数字资产基于区块链有去中心化、匿名性等数据特性,这让在链上对数字资产的锁定追踪难度和成本都很大;
3.数字资产的法律界限还比较模糊,它是积分还是商品,各国之间并没有统一的共识和界定,这无疑加大了其监管难度。
不过上面我们也提到,FATF的要求监管的开始时间是今年6月份,这会对各个数字资产交易所增加一些紧迫感。
2.?问:对于想要谋求在海外特别是美国获得发展的区块链项目或数字资产交易所,从合规要求的角度来说,最重要的是做好哪些准备?
PeckShieldJeff:对数字资产交易所而言,要做大合规,必须要强化KYC和KYT两方面的资产监控,KYC就是注册用户的实名制挂钩这个不难理解,比如现在普遍做法是登记身份信息,往后诸如人脸识别等技术手段也可能会利用到。
KYT就是对流进流出的每一笔交易做监控。安全机构可以对大部分黑客组织以及资金盘跑路资金都有监控,一旦这些赃款有流入交易所会第一时间向交易所发出预警,交易所就可以介入进行冻结或其他举措。
此外,交易所对每笔交易,也可以根据不同额度进行报备。
3.?问:你们如何理解中美两国对于数字资产监管态度的差别?在你看来,美国的哪些做法是值得借鉴的?
PeckShieldJeff:美国是区块链技术的主要研发中心,世界上大约1/4的区块链公司都位于美国,美国政府也积极鼓励和推动区块链技术的创新和发展。但是,美国对数字资产态度相对保守,对ICO等融资项目监管非常严格。
美国证劵委员会(SEC)认为比特币、以太币等主流数字资产不是证券,仅可以作为商品流通和交易。如果一种数字资产被SEC认定是证劵,那它现阶段基本不可能在美国流通。所以,很多交易所,发币机构和ICO项目都不对美国公民开放,以避免来自美国政府的监管。
不过,还是有数家世界上最大的数字资产交易所在美国运行,例如Coinbase,Kraken都是有执照的,可以从事法币的存取和加密币的买卖,还有像Bittrex的交易规模也比较大。
4.问:从央行不断加快推出的DC/EP,去年1024国家顶层设计的定调到今年疫情危机下数字新基建布局,都预示着数字资产合规化已是大势所趋,市场等待的无非是一个明确的政策信号。你们对中国市场的数字资产合规大趋势带来的机遇有何期待?
PeckShieldJeff:其实从去年以来,火币和OKEx相继借壳上市已经透露出了一个信号,一些大的主流交易所接受监管是迟早的事,只不过目前还没有明确的法律界定。当法律政策明确了之后,对行业来说是一次彻底的肃清和打击,同时也会孕育着蝶变重生的机会。国家要做资产合规化,交易所势必是第一站,就看接下来政策怎么落地了。
5.问:可否披露一下,过去一年你们监测到了多少起区块链领域的安全事件?涉及金额规模有多大?根据你们的观察和分析,安全事件频繁发生,主要原因是什么??可否规避?
PeckShieldJeff:据PeckShield数据显示,2019年全年区块链安全事件共177件,其中重大安全事件63起,总共损失达到了76.79亿美元,环比2018年增长了60%?左右。从细分赛道来看,2019年,区块链安全事件涉及交易所、智能合约?&DApp、DeFi、理财钱包等多个领域,均是离交易最近的地方。
主要原因还是开发者安全意识薄弱,以及早期市场黑客横行导致的结果。事实上,近一两年内,黑客的攻击方式在不断变化,开发者防御举措也在加强,整体市场正趋近成熟。
6.问:3月19日,新浪微博也爆出5.8亿条用户信息泄露,被在暗网以数字货币形式售卖。和传统的网络安全相比,区块链领域的安全威胁有哪些新的特点?
PeckShieldJeff:传统互联网安全问题基本都是中心化的服务器,一般情况下不会出现问题,但一旦出现问题产生的危害也比较大,特别是一些人为监守自盗的问题。相比之下区块链安全由于代码开源和分布式的特点,受公众监督,其问题暴露在阳光下,开发者在项目上线前对安全问题会比较重视,问题会发现的比较早,因为是开源和公链等因素,区块链也容易受到攻击,所以安全审计工作非常重要。
7.?问:2月17日,FCoin真相一文暴露FCoin崩盘,数亿用户资金无法兑付;2月22日,Reddit.com的用户“zhoujianfu”发帖求助,自己刚丢失了1547枚比特币和不到6万个比特币现金。这两个接踵而来的行业事件给许多用户上了一场个人数字资产安全课。但一个月过去了,我观察到周围很多朋友依然我行我素。在您看来,个人用户应该树立怎样的数字资产安全观?
PeckShieldJeff:1、数字资产保管并非易事,一定要保管好自己的私钥,抄在纸上目前是相对安全的,任何在网上的痕迹都有可能被盗,黑客可以通过木马、SIM卡攻击等多种方式攻克防线;2、数字资产一旦丢失是不可逆的,传统互联网环境下,大家习惯了丢失后借助司法机构重新追回,但数字资产目前丢失后几乎如石沉大海,不要抱有任何侥幸心理;3、尽可能避开一些中小型中心化交易所,资产还是掌握在自己手里比较安全。
标签:数字资产BTCSHISHIELD数字资产是未来最大的资产btcq币价格My Shiba AcademiaSafe Shield
作者:Joyce来源:区块链前哨“与Facebook相比,Celo最大的不同是将权力下放。”3月11日,用以太坊和Libra为模型来设计全球货币的硅谷加密创业公司cLabs,宣布了自己的加密货币.
1900/1/1 0:00:00本文来源:未央网作者:qypy1983金融科技市场的发展势头一日千里并且未来有着巨大的市场。近年来不但金融机构,大型互联网企业以及拥有传统产业基础的行业龙头企业都在主动拥抱Fintech进行商业.
1900/1/1 0:00:00本文作者:清澈的空气最近由于疫情紧张,美国政府与国会准备推出大规模刺激经济方案,其中一项重要内容就是给每个美国家庭发钱.
1900/1/1 0:00:00一、扫一扫很方便自从有了微信和支付宝之后,我们的生活方便了很多,要买什么东西就直接扫一扫就行了,要给别人转账也只要扫一扫就行了.
1900/1/1 0:00:003月23日,中国互联网金融协会与国际知名反能力认证机构“公认反师协会”,通过网络会议系统直播了题为《新风险与反新应对》的公益反培训.
1900/1/1 0:00:00原文标题:“新基建”开创数字经济新时代赋能社会高质量发展来源:新华网作者:张鸿目前“新基建”已成为发展共识,是应对疫情和经济下行的有效手段,符合产业升级要求,既代表着经济高质量发展的未来方向.
1900/1/1 0:00:00