编者注:原标题为《PeckShield:数字资产合规化面临的机遇和反挑战》。本文作了不改变作者原意的删减。
题记:3月22日20时,PeckShield联创JeffLiu受邀参加了由火星财经总编辑猛小蛇主持的公开课社群AMA分享,主题为《数字资产合规化机遇和反挑战:以美国司法部诉讼OTC承兑商案件为例》。在此将主题内容和大家分享一下。
今年1月初,PeckShield发布了《2019全球数字资产反研究报告》,报告中,我们从过去一年的重大安全事件和受损情况、暗网市场交易规模、国际间未受监管的资金流动情况三方面说明了目前全球数字资产市场面临的合规化和反必要性。
我们全面梳理了近几年使用数字资产进行的“非法或未受监管”的交易现状,并深入分析了以下三方面的数据:
1.重大安全事件和损失情况:经统计发现:2017年共发生重大安全事件11起,共计损失2.94亿美元;2018年共发生重大安全事件46起,共计损失47.58亿美元。2019年共发生重大安全事件63起,总共损失达到了76.79亿美元。
2.暗网市场交易规模:截至目前,运行TOR协议的暗网网站已有6万个左右,其中大约一半从事非法交易。暗网市场中的交易需求非常大,不断有大型黑市被关闭,但很快又会有新的黑市涌现出来,其总交易额还在不断增长。2018年流入暗网的比特币总数为33万枚,2019年为54万枚,按交易时价计算,总金额分别是21亿美元和39亿美元。
3.?国际间未受监管资金流动情况:以数字资产作为载体的资金在国际间的流动已经非常巨大,但不同国家对比特币等数字资产的法律界定还很模糊,意味着这些流动资金并未受到合理、合规的监管。2017年通过数字资产从中国流到国外的资金总量为101亿美元,2018年为179亿美元,2019年为114亿美元。
这是什么概念呢?意味着中国未受监管监管的数字资产,三年总额超出中国3万亿美元外汇储备的1%。这个数据大家可能没概念,但可以肯定的说,这一数据情况已经受到各国政府的高度重视:
未受监管的数字资产数据还在持续增长;
各国政府和国际金融监管机构对数字资产领域的监管正逐渐清晰。
中国数字资产交易平台将于2023年1月1日上线:12月28日消息,全国首个国家级合规数字资产二级交易平台——中国数字资产交易平台,将于2023年1月1日在北京举行平台启动发布仪式。该平台由中国技术交易所、中国文物交流中心、华版数字版权服务中心股份有限公司联合建设。华版数字版权服务中心股份有限公司总裁尹涛表示,中国数字资产交易平台的交易标的物是数字藏品、数字版权,“目前具体的交易商品和交易规则还在研究谈论中,比如对交易交割的时间和价格等都有要求,通过制定规范的交易流程、标准来规避二级市场的过度炒作。”(财联社)[2022/12/28 22:12:46]
各国政府和国际金融监管机构对数字资产领域是怎样的态度呢?
从上图中大家可以看到,世界各个国家中,对数字资产比较友好的国家分别有瑞士、韩国、英国等;保持中立态度的国家有印度、印尼等;态度较强硬,明确限制的国家有俄国等。
世界上最重要的国际金融监管机构是FATF(FinancialActionTaskForce),它是一家总部位于巴黎,专门做反和打击金融恐怖主义的机构,有39个成员国。2018年10月,FATF声明它的监管规则同样适用于虚拟资产(VA,VirtualAsset)和虚拟资产服务提供商(VASP,VirtualAssetServiceProvider),包括数字资产交易所和数字钱包等。
2019年6月,FATF发布了INR15(InterpretiveNotetoRecommendation15),进一步明确了对数字资产的监管细节,并给出了实施时间表。INR15规定各国和VASP必须在一年以内,也就是2020年6月以前,开始执行FATF的监管要求。二十国集团(G20)已表示支持这一决定。
The Block发布《2023数字资产展望》:数字资产行业就业人数自2019年以来增加351%:12月22日消息,The Block Research发布《2023数字资产展望》,关注2022年加密行业10个领域的主要发展和2023年值得关注的趋势。报告称,2022年市值排名前十的加密货币均出现了低至81%的负价格回报;融资交易数量同比增长18%,NFT/游戏垂直领域今年吸引了最多资金,达83亿美元。此外,数字资产行业的就业人数从2019年的18,200人猛增351%至82,248人;锁定在DeFi中的价值从1660亿美元下降74.6%至421亿美元。[2022/12/22 22:01:44]
INR15最核心的一项要求就是“TravelRule”,它要求所有超过1000美元/欧元的交易,必须把交易的发起人信息,受益人信息,和交易金额报备。
这项规定对VASP是一项巨大挑战,意味着数字资产交易所等机构要在不到一年的时间内建立起完整的KYC和大额交易监控和汇报机制,与此同时,还要克服对没有KYC的地址进行溯源等技术难题。
之所以FATF如此迫切的要推出监管举措,最根本的问题还是未受监管的资产在国家之间的流动越来越频繁。
上图是我们统计的从中国向国外各大交易所流出资金总量的情况。
这里边的交易所包括大家耳熟能详的,火币,OKEx,Bitfinex,Binance,Bitflyer,Bitmex,Bitstamp,Bittrex,Coinbase,Coincheck,Gate.io,Kraken,Poloniex,和Upbit等主流数字资产交易所。
我们只是以几个大的交易所来代表整个国家,所以统计数据只是一个保守的估计,实际的资金流动量会大于我们所统计的数据。即便这样,我们发现每年通过交易所流出的资金也相当巨大,超过了百亿美元。作为参照物,2018年中国对外直接投资的总额为1,430亿美元。
美国金融稳定委员会下个月将报告数字资产的监管漏洞:金色财经报道,据拜登政府高级官员称,金融稳定监督委员会(FSOC)计划在下个月确定关于数字资产的监管空白,并建议如何填补这些空白,作为期待已久的美国数字资产政策联邦框架的最后一部分。
根据政府提供的一份概况介绍,该报告将讨论数字资产的金融稳定风险,确定需要额外监管的相关领域,并提出促进金融稳定的建议。除了加强联邦加密货币政策的协调外,政府还希望在不同的国际组织中追求数字资产政策的全球领导地位。(the block)[2022/9/16 7:01:25]
另外,还有一个不容忽视的暗网市场在数字资产的流通量上也逐年增大。
经研究发现,2019年从暗网直接流入各大交易所的比特币总数为29,471.64个,按交易时价计算总值为2.16亿美元。需要注意的是,暗网中的比特币只有一小部分会直接流向交易所,但2019年超过2亿美元的总资金量也足以表明反监管的必要性。
以上,就是我的全部分享,大家不难看出目前未受监管的资产流动已经占据相当大的市场份量,到了监管机构亮明态度进行监管的时候了。对数字资产交易所而言,加速合规化也成了迫在眉睫的事情。
接下来,我从一个我们最近跟踪的反案例中和大家具体聊聊,反工作的复杂性。
2020年03月02日,美国司法部以阴谋和无证经营汇款为由,对名为田寅寅和李家东两位中国人发起了公诉,并冻结了他们的全部资产。理由是,他们二人在2017年12月至2019年04月期间,帮助朝鲜政府下辖黑客组织LazarusGroup提供了价值超1亿美元的洗币服务。
究竟是哪几个交易所被盗了,黑客具体路径又是怎样的,田和李两位承兑商是在哪个环节参与的?
这些美国司法部并没有公布被盗交易所的名称和地址以及田和李涉案的关键细节。我们能基于美国司法部仅公布的20个地址向上追溯、取证并以可视化图文方式还原整个案件的来龙去脉。
火币日本站CEO陈海腾:数字资产帮助社会创造更多的价值:8月25日下午,火币日本站CEO陈海腾参加了日本经济新闻和金融厅联合主办的全球区块链治理峰会BG2C FIN/SUM BB(Blockchain Global Governance Conference 、FIN/SUM Blockchain & Business ),并受邀参加了《日本数字资产托管生态》的主题对话。
陈海腾在对话现场表示,数字资产具有实用性,在多起盗币事件发生后,一般民众对持有数字资产相对谨慎。但我们要看到数字资产透明、快捷、便利的特点,以及区块链不可篡改的特性等,这些都可以为社会创造出更多的价值。[2020/8/25]
如上图所示,事情经过初步看为:北韩黑客组织LazarusGroup先通过钓鱼获取交易所私钥等手段,攻击了四个数字资产交易所;之后黑客用PeelChain等手法把所窃的资产转入另外4个交易所,VCE1到VCE4;再然后黑客又使用PeelChain把资产转移到负责的两位责任人的交易所VCE5和VCE6的账户中,最后换成法币完成整个过程。美国司法部这次起诉的就是最后一环负责的田寅寅和李家东。
作为安全公司,我们就得通过链上数据和我们已经掌握的交易所地址标签等关键数据,尽可能的还原整个市场的前因后果。
如上图,我们发现黑客一般在攻击得手后,都会分三大步进行操作。
1.处置阶段:非法获利者将被盗资产整理归置并为下一步实施分层清洗做准备;
2.离析阶段:Layering是一个系统性的交易,也是整个流程中最关键技术含量最高的一个过程,用于混淆资产来源和最终收益者,使得当初的非法资产变成“合法所得”;
3.归并阶段:将洗白后的资产“合法”转走,至此之后,攻击者手里拥有的非法资产的痕迹已经被抹除干净,不会引起有关部门的关注。
动态 | 加密货币交易所Bittrex与注册经纪商Rialto Trading合作推出数字资产交易平台:总部位于美国的加密货币交易所Bittrex正在与注册经纪商Rialto Trading合作,为基于区块链的数字资产提供交易场所。Rialto经营一家美国注册的固定收益产品交易平台,该公司表示,待监管机构批准后,将扩大其业务范围,包括作为注册证券的虚拟Token。[2018/8/23]
我们首先通过锁定田和李两人的20个关联比特币地址在链上数据,根据这些链上行为特性,结合PeckShield交易所被盗资料库的数据信息,最终锁定是下面四个交易所被盗:Bter、Bithumb、Upbit、Youbit。
在攻击得手后,攻击者开始利用PeelChain的技术手段将手里的资产不断拆分成小笔资产,并将这些小笔资产存入交易所。
为了让大家形象的理解这一过程,我再举一个例子。
如上图,
1.攻击者的其中一个地址先前获利1,999BTC,先将这一笔大额资产拆分成1,500+500BTC;
2.其中1,500BTC再拆分成三个各500BTC的地址,此时看到原先的2,000BTC被拆到了4个新地址之中,而原地址中的余额已经归零;
3.500BTC转成20~50BTC的大小往Yobit交易所充值,并将剩下的资产找零到一个新的地址中,此时完成一笔充值;
4.使用新地址重复步骤3,直到原始的500BTC全部存入交易所为止。这一过程中攻击者也往其它交易所充值记录,比如Bittrex、KuCoin、HitBTC。
完成PeelChain的操作后,攻击者并没有直接转入自己的钱包,而是再次使用PeelChain手法把原始的非法所得BTC分批次转入OTC交易所进行变现。攻击者每次只从主账号分离出几十个BTC存入OTC帐号变现,经过几十或上百次的操作,最终成功将数千个BTC进行了混淆、清洗。
在完成以上这一系列操作后,攻击者开始将非法所得进行OTC抛售套现。根据我们的数据统计,从2018年11月28日到12月20日,攻击者总共把3,951个BTC分一百多次存入田寅寅的Huobi和Coincola三个OTC帐号中变现。
美国司法部正是通过交易所提供的KYC信息以及田和李二账户和被盗资金的关联性,对二人进行了起诉。
以上就是整个案例的全部。我们认为,黑客盗取资产后实施,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的KYC和KYT业务均提升了要求,交易所应加强AML反和资金合规化方向的审查工作。
AMA互动问答
1.问:随着数字资产交易走向主流并引发监管关注,许多交易所都把“合规”提上了重要日程,不遗余力申请海外牌照,但进展缓慢。造成这种局面的主要原因有哪些?
PeckShieldJeff:在我们看来进展缓慢的原因主要有三:
1.数字资产基本都属于全球化流通,缺乏明显的监管界限,在资产流通开之后,国家介入以后很难进行有效管理。比如我们国家发了禁令,资产在海外照样可以流通,除非全球所有国家同时下禁令,但这样显然是不太可能的;
2.数字资产基于区块链有去中心化、匿名性等数据特性,这让在链上对数字资产的锁定追踪难度和成本都很大;
3.数字资产的法律界限还比较模糊,它是积分还是商品,各国之间并没有统一的共识和界定,这无疑加大了其监管难度。
不过上面我们也提到,FATF的要求监管的开始时间是今年6月份,这会对各个数字资产交易所增加一些紧迫感。
2.?问:对于想要谋求在海外特别是美国获得发展的区块链项目或数字资产交易所,从合规要求的角度来说,最重要的是做好哪些准备?
PeckShieldJeff:对数字资产交易所而言,要做大合规,必须要强化KYC和KYT两方面的资产监控,KYC就是注册用户的实名制挂钩这个不难理解,比如现在普遍做法是登记身份信息,往后诸如人脸识别等技术手段也可能会利用到。
KYT就是对流进流出的每一笔交易做监控。安全机构可以对大部分黑客组织以及资金盘跑路资金都有监控,一旦这些赃款有流入交易所会第一时间向交易所发出预警,交易所就可以介入进行冻结或其他举措。
此外,交易所对每笔交易,也可以根据不同额度进行报备。
3.?问:你们如何理解中美两国对于数字资产监管态度的差别?在你看来,美国的哪些做法是值得借鉴的?
PeckShieldJeff:美国是区块链技术的主要研发中心,世界上大约1/4的区块链公司都位于美国,美国政府也积极鼓励和推动区块链技术的创新和发展。但是,美国对数字资产态度相对保守,对ICO等融资项目监管非常严格。
美国证劵委员会(SEC)认为比特币、以太币等主流数字资产不是证券,仅可以作为商品流通和交易。如果一种数字资产被SEC认定是证劵,那它现阶段基本不可能在美国流通。所以,很多交易所,发币机构和ICO项目都不对美国公民开放,以避免来自美国政府的监管。
不过,还是有数家世界上最大的数字资产交易所在美国运行,例如Coinbase,Kraken都是有执照的,可以从事法币的存取和加密币的买卖,还有像Bittrex的交易规模也比较大。
4.问:从央行不断加快推出的DC/EP,去年1024国家顶层设计的定调到今年疫情危机下数字新基建布局,都预示着数字资产合规化已是大势所趋,市场等待的无非是一个明确的政策信号。你们对中国市场的数字资产合规大趋势带来的机遇有何期待?
PeckShieldJeff:其实从去年以来,火币和OKEx相继借壳上市已经透露出了一个信号,一些大的主流交易所接受监管是迟早的事,只不过目前还没有明确的法律界定。当法律政策明确了之后,对行业来说是一次彻底的肃清和打击,同时也会孕育着蝶变重生的机会。国家要做资产合规化,交易所势必是第一站,就看接下来政策怎么落地了。
5.问:可否披露一下,过去一年你们监测到了多少起区块链领域的安全事件?涉及金额规模有多大?根据你们的观察和分析,安全事件频繁发生,主要原因是什么??可否规避?
PeckShieldJeff:据PeckShield数据显示,2019年全年区块链安全事件共177件,其中重大安全事件63起,总共损失达到了76.79亿美元,环比2018年增长了60%?左右。从细分赛道来看,2019年,区块链安全事件涉及交易所、智能合约?&DApp、DeFi、理财钱包等多个领域,均是离交易最近的地方。
主要原因还是开发者安全意识薄弱,以及早期市场黑客横行导致的结果。事实上,近一两年内,黑客的攻击方式在不断变化,开发者防御举措也在加强,整体市场正趋近成熟。
6.问:3月19日,新浪微博也爆出5.8亿条用户信息泄露,被在暗网以数字货币形式售卖。和传统的网络安全相比,区块链领域的安全威胁有哪些新的特点?
PeckShieldJeff:传统互联网安全问题基本都是中心化的服务器,一般情况下不会出现问题,但一旦出现问题产生的危害也比较大,特别是一些人为监守自盗的问题。相比之下区块链安全由于代码开源和分布式的特点,受公众监督,其问题暴露在阳光下,开发者在项目上线前对安全问题会比较重视,问题会发现的比较早,因为是开源和公链等因素,区块链也容易受到攻击,所以安全审计工作非常重要。
7.?问:2月17日,FCoin真相一文暴露FCoin崩盘,数亿用户资金无法兑付;2月22日,Reddit.com的用户“zhoujianfu”发帖求助,自己刚丢失了1547枚比特币和不到6万个比特币现金。这两个接踵而来的行业事件给许多用户上了一场个人数字资产安全课。但一个月过去了,我观察到周围很多朋友依然我行我素。在您看来,个人用户应该树立怎样的数字资产安全观?
PeckShieldJeff:1、数字资产保管并非易事,一定要保管好自己的私钥,抄在纸上目前是相对安全的,任何在网上的痕迹都有可能被盗,黑客可以通过木马、SIM卡攻击等多种方式攻克防线;2、数字资产一旦丢失是不可逆的,传统互联网环境下,大家习惯了丢失后借助司法机构重新追回,但数字资产目前丢失后几乎如石沉大海,不要抱有任何侥幸心理;3、尽可能避开一些中小型中心化交易所,资产还是掌握在自己手里比较安全。
本文来源:小葱,原题《抛售还会继续吗?暴跌期间流入交易所的BTC有多少易手?有多少尚未出售?》Chainalysis发布针对此次比特币暴跌发布了一份分析报告.
1900/1/1 0:00:00当人们谈起加密行业中的金融服务时,他们总会谈到「去中心化」或「中心化」。加密布道者倾向于认为前者的风险更小,因为用户无需信任交易对手就能托管资产,从而避免了由于以下情况导致资金损失的风险:黑客攻.
1900/1/1 0:00:00本文作者:李晨熙,趣链科技产品经理今天,浆糊型产品经理小李想跟大家唠唠区块链一大落地应用场景——司法取证,当区块链+取证,会变成什么样。如果看完你们还是不懂,那就证明......果然是黑科技.
1900/1/1 0:00:00美股期货熔断、中东股市熔断、油价开盘暴跌30%,产油国货币狂贬,前段时间,社群中各种「水比油贵」的调侃,隐隐透露出投资者的无奈。在这样的背景下,曾被认为绝佳避险资产的比特币,没能独善其身.
1900/1/1 0:00:00来源:CointelegraphChina编者注:原标题为《MakerDAO为提高流动性,考虑提供对USDC抵押品的支持》 MakerDAO Github管理权移交至TechOps Core U.
1900/1/1 0:00:00本文来源:人民邮电报,原题《区块链赋能工业互联网》作者:清晨“重大疫情之后,人们的生存、生活及生产方式将会发生永久而深刻的变化,数字化转型已经成为人与企业生存和发展的‘必备之道’.
1900/1/1 0:00:00