Giới thiệu về Tuân thủ trao đổi tiền điện tử

Tuân thủ liên quan đến tiền mã hóa là rất quan trọng đối với sự ổn định và độ tin cậy của ngành công nghiệp tiền mã hóa. Khi số lượng người dùng tiền mã hóa tiếp tục tăng , triển vọng cho các doanh nghiệp tiền mã hóa Custodial vẫn tích cực. Nhưng như lịch sử đã chỉ ra, các doanh nghiệp này — đặc biệt là các sàn giao dịch tập trung (CEX) — vẫn phải đối mặt với những rủi ro lớn về bảo mật và tuân thủ.

Trong năm qua, một số CEX khu vực đã bị tấn công, bao gồm sàn giao dịch Nhật Bản DMM Bitcoin (305 triệu đô la) và sàn giao dịch Ấn Độ WazirX (235 triệu đô la). Đồng thời, một số sàn giao dịch quốc tế lớn đã phải đối mặt với các khoản tiền phạt vì các vấn đề tuân thủ, làm nổi bật sự giám sát liên tục của cơ quan quản lý trong lĩnh vực này. Điều này có khả năng trở thành sự cố thường xuyên hơn khi các cơ quan quản lý tìm cách mã hóa và thực thi các quy định cụ thể về tiền điện tử .

Tất nhiên, tránh bị hack và bị phạt từ các cơ quan quản lý không phải là lý do duy nhất để thực hiện nghiêm túc các nghĩa vụ về bảo mật và tuân thủ. Chúng cũng rất quan trọng để xây dựng lòng tin với người dùng mới — đặc biệt là khi tiền điện tử trở thành một loại tài sản ngày càng phổ biến và các nhà đầu tư bán lẻ tìm kiếm sự ổn định và an toàn của CEX để mua, bán và giao dịch tiền điện tử.

Trong blog này, chúng ta sẽ xem xét các thành phần tuân thủ trao đổi tiền điện tử, ví dụ về các chương trình tuân thủ trao đổi mạnh mẽ, v.v.

Hiểu về sự tuân thủ của sàn giao dịch tiền điện tử

Một phần lớn việc tuân thủ liên quan đến tiền mã hóa tập trung vào việc bảo mật hoạt động của nền tảng giao dịch tiền mã hóa. Điều này bao gồm việc thực hiện các biện pháp chống rửa tiền và chống tài trợ khủng bố (AML/CFT) trong nước và quốc tế để ngăn chặn việc lạm dụng các sản phẩm và dịch vụ của họ.

Thực hiện theo khuyến nghị Lực lượng đặc nhiệm hành động tài chính (FATF)

Là một sàn giao dịch crypto, các khu vực pháp lý mà một doanh nghiệp được đăng ký, thành lập và hoạt động sẽ xác định các quy định mà doanh nghiệp đó phải tuân theo. Lực lượng đặc nhiệm tài chính quốc tế (FATF) (Lực lượng đặc nhiệm hành động tài chính (FATF)) là một tổ chức quốc tế bảo vệ tính toàn vẹn của hệ thống tài chính toàn cầu bằng cách thiết lập các tiêu chuẩn pháp lý, quy định và hoạt động xung quanh vấn đề rửa tiền, tài trợ khủng bố và tài trợ phổ biến vũ khí hạt nhân. Các quy định cấp quốc gia và khu vực thường phản ánh các khuyến nghị Lực lượng đặc nhiệm hành động tài chính (FATF) đối với các doanh nghiệp dịch vụ tiền tệ và các dịch vụ được cấp phép khác. Các quy tắc này thuộc ba loại:

• Yêu cầu về Xác thực danh tính (KYC) (Kiểm Tra Danh Tính (KYC)) : Các quy tắc này quy định việc thu thập thông tin nhận dạng từ người dùng vì nhiều lý do, chẳng hạn như xác nhận người dùng không phải chịu lệnh trừng phạt, chặn những cá nhân cư trú tại các khu vực pháp lý bị cấm và trao quyền cho các cuộc điều tra chủ động trong trường hợp có hoạt động đáng ngờ trong tương lai. Thông tin này rất cần thiết để xác minh danh tính người dùng, giảm gian lận và đảm bảo tuân thủ các yêu cầu theo quy định.
• Giám sát giao dịch : CEX phải giám sát các giao dịch liên tục để phát hiện hoạt động đáng ngờ có thể tiết lộ hành vi rửa tiền, tài trợ khủng bố hoặc các hình thức tội phạm tài chính khác.
• Phản ứng với hoạt động rủi ro : Nếu giám sát giao dịch hiệu quả, doanh nghiệp chắc chắn sẽ gặp phải một số hành vi rủi ro đòi hỏi phải tiếp cận trực tiếp với khách hàng, cập nhật hồ sơ và báo cáo hoạt động đáng ngờ cho các cơ quan thực thi có liên quan. Điều này thường đòi hỏi phải tuân thủ các yêu cầu do luật và chính sách chống rửa tiền (AML) của khu vực pháp lý có liên quan đặt ra.

Chúng tôi sẽ đề cập đến từng lĩnh vực tuân thủ của sàn giao dịch crypto bên dưới.

Các thành phần tuân thủ sàn giao dịch crypto

Thu thập thông tin Xác thực danh tính (KYC) (Kiểm Tra Danh Tính (KYC))

Các thủ tục Kiểm Tra Danh Tính (KYC) rất cần thiết đối với CEX để xác minh danh tính người dùng, giảm rủi ro gian lận và đảm bảo tuân thủ luật pháp và quy định. Việc triển khai các quy trình Kiểm Tra Danh Tính (KYC) mạnh mẽ bao gồm việc thu thập và xác minh thông tin người dùng, sử dụng các công nghệ xác minh danh tính và duy trì hồ sơ an toàn. Dưới đây là một số loại thông tin Kiểm Tra Danh Tính (KYC) phổ biến nhất:

• Địa chỉ email
• Giấy tờ tùy thân do tiểu bang cấp hoặc giấy phép lái xe
• Ngày sinh
• Số an sinh xã hội hoặc số căn cước công dân
• Số điện thoại
• Địa chỉ thực tế
• Hóa đơn tiện ích hoặc giấy tờ tương tự để làm bằng chứng về địa chỉ

Hãy nhớ rằng không có quy tắc chung nào chỉ định chính xác thông tin nào phải được thu thập và khi nào. Ở nhiều khu vực pháp lý, mặc dù sàn giao dịch cho phép người dùng đăng ký và giao dịch chỉ bằng địa chỉ email là hợp pháp, nhưng việc sàng lọc tên vẫn rất quan trọng. Việc không thu thập thông tin Kiểm Tra Danh Tính (KYC) có thể chỉ ra các hoạt động có rủi ro cao, khiến các dịch vụ phải đối mặt với nhiều thách thức về hoạt động, quy định và pháp lý. Hầu hết các CEX chính thống đều yêu cầu nhiều hơn là chỉ tên và địa chỉ email — đặc biệt là đối với những người dùng giao dịch với số lượng lớn.

Một số sàn giao dịch thu thập rất nhiều thông tin Kiểm Tra Danh Tính (KYC) khi đăng ký, trong khi những sàn khác sử dụng hệ thống phân cấp trong đó giao dịch khối lượng tiền điện tử lớn hơn đòi hỏi nhiều Kiểm Tra Danh Tính (KYC) và giám sát hơn. Cách tiếp cận phù hợp phụ thuộc vào mô hình kinh doanh và cơ sở khách hàng.

Sau khi các doanh nghiệp thu thập và lưu trữ an toàn các tài liệu đã xác minh chứng minh danh tính của người dùng, họ thường tiến hành sàng lọc lệnh trừng phạt. Mục tiêu của sàng lọc này là để đảm bảo rằng người dùng mới và những người thân cận của họ không phải chịu lệnh trừng phạt. Các cơ quan chính phủ của nhiều quốc gia, bao gồm Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính tại Hoa Kỳ và Văn phòng Thực hiện Trừng phạt Tài chính tại Vương quốc Anh, duy trì danh sách trừng phạt của riêng họ. Cách dễ nhất để sàng lọc là sử dụng một dịch vụ như Thomson Reuters hoặc Refinitiv . Các dịch vụ này hợp nhất tất cả các danh sách trừng phạt có liên quan để các doanh nghiệp không phải kiểm tra từng danh sách riêng lẻ hoặc định kỳ.

Các doanh nghiệp cũng có thể sử dụng các dịch vụ này để tiến hành sàng lọc người có liên quan đến chính trị (PEP), cho họ biết liệu người dùng có phải là viên chức chính phủ có nguy cơ cao hơn về hối lộ hoặc các hình thức tham nhũng tài chính khác hay không, và sàng lọc phương tiện truyền thông bất lợi, tìm kiếm bằng chứng trên nhiều nguồn tin tức khác nhau cho thấy người dùng tiềm năng có thể tham gia vào hoạt động tội phạm. Ngoài ra, như trong TradFi, một số CEX có một thành phần điều tra chuyên dụng có nhiệm vụ là phản hồi các nhiệm vụ quan tâm và chủ động xác định, đánh dấu và ngăn chặn việc lạm dụng nền tảng và các hoạt động đáng ngờ khác.

Theo dõi và báo cáo giao dịch

Việc giám sát liên tục các giao dịch rất quan trọng để phát hiện các hoạt động đáng ngờ và đảm bảo tuân thủ các yêu cầu theo quy định. Bằng cách giám sát liên tục các giao dịch, CEX có thể xác định các rủi ro tiềm ẩn và thực hiện hành động kịp thời để giảm thiểu chúng, duy trì tính toàn vẹn của nền tảng. Việc thiết lập các hệ thống báo cáo tự động và duy trì hồ sơ chính xác là điều cần thiết để nộp các báo cáo bắt buộc đúng hạn và tuân thủ các tiêu chuẩn theo quy định.

Các doanh nghiệp tiền điện tử Custodial thường theo dõi các giao dịch mà người dùng của họ thực hiện từ các địa chỉ được lưu trữ trên nền tảng của doanh nghiệp để xác nhận rằng họ không gửi hoặc nhận tiền từ các thực thể tội phạm. Giữa các thành viên Lực lượng đặc nhiệm hành động tài chính (FATF) và các cơ quan khu vực theo kiểu FATF, hơn 200 quốc gia đã cam kết thực hiện các khuyến nghị Lực lượng đặc nhiệm hành động tài chính (FATF) , bao gồm việc lưu giữ và chia sẻ với các cơ quan chức năng hồ sơ về bất kỳ giao dịch đáng ngờ nào, tất cả các giao dịch vượt quá một quy mô nhất định và các trường hợp người dùng có thể cố gắng che giấu các hoạt động như vậy.

Giám sát hoạt động tội phạm

Để phát hiện khi người dùng gửi hoặc nhận tiền từ các địa chỉ tiền điện tử có liên quan đến hoạt động bất hợp pháp — chẳng hạn như các địa chỉ thuộc thị trường darknet, các thực thể bị trừng phạt, kẻ lừa đảo và tội phạm mạng khác — các doanh nghiệp cần có giải pháp giám sát mạnh mẽ.

Chainalysis Crypto Compliance Solutions có thể cung cấp cảnh báo khi người dùng giao dịch với các địa chỉ rủi ro. Các sàn giao dịch có thể cấu hình các quy tắc rủi ro linh hoạt trên các ngưỡng danh mục, nhóm tùy chỉnh và hoạt động theo hành vi tạo cảnh báo để các nhóm xem xét.

Vì Chainalysis liên tục theo dõi các giao dịch chuyển tiền — ngay cả khi mức độ phơi nhiễm thay đổi trong tương lai do hoạt động mới — các nhóm có tùy chọn được cảnh báo để giữ cho nền tảng an toàn. Sau khi được cảnh báo, các nhóm có thể cộng tác, quản lý các trường hợp và xác định xem có nên thực hiện hành động nào cho người dùng hay không.

Lượt xem của người dùng trong Chainalysis cung cấp thông tin chi tiết về hoạt động và mức độ tiếp xúc của người dùng, cảnh báo, v.v. Nếu cần điều tra thêm về hoạt động, có thể truy cập trực tiếp vào biểu đồ và câu chuyện của Crypto Investigations Solution từ cảnh báo và có thể giúp các doanh nghiệp theo dõi nguồn tiền đến các nguồn và đích đến của tiền của khách hàng.

Trách nhiệm báo cáo

Hầu hết các khu vực pháp lý yêu cầu các doanh nghiệp phải nộp và báo cáo một số loại giao dịch nhất định. Ví dụ, tại Hoa Kỳ, Mạng lưới thực thi tội phạm tài chính (FINCEN) yêu cầu các doanh nghiệp tiền điện tử phải nộp Báo cáo giao dịch tiền tệ (CTR) cho bất kỳ khoản tiền gửi hoặc rút tiền mặt nào bằng hoặc vượt quá 10.000 đô la. Hầu hết các quốc gia thành viên Lực lượng đặc nhiệm hành động tài chính (FATF) đều có các quy tắc tương tự. Ngoài ra, các doanh nghiệp tiền điện tử tại các quốc gia thành viên Lực lượng đặc nhiệm hành động tài chính (FATF) phải tuân thủ " Quy tắc du lịch ", yêu cầu Nhà cung cấp dịch vụ tài sản ảo (VASP, bao gồm các sàn giao dịch tiền điện tử) phải xác minh danh tính của khách hàng và xác định người khởi tạo và người thụ hưởng các khoản chuyển tiền trên 1.000 USD/EUR và chuyển thông tin đó cho đối tác VASP của họ, nếu có.

Điều quan trọng nữa là phải nhớ rằng các cơ quan quản lý cấp dưới thường áp đặt các quy tắc bổ sung của riêng họ. Ví dụ, các doanh nghiệp tiền điện tử hoạt động tại Tiểu bang New York phải xin giấy phép độc quyền từ Sở Dịch vụ Tài chính New York (DFS) và tuân thủ các quy tắc do DFS đặt ra về cấp phép, tuân thủ, yêu cầu Vốn , bảo vệ người tiêu dùng, an ninh mạng và các điều khoản khác.

Báo cáo hoạt động đáng ngờ

Giống như các tổ chức tài chính truyền thống, các doanh nghiệp tiền điện tử phải lưu giữ hồ sơ và đôi khi phải nộp báo cáo về các giao dịch, mặc dù không liên quan rõ ràng đến hoạt động bất hợp pháp hoặc vi phạm các khuyến nghị Lực lượng đặc nhiệm hành động tài chính (FATF) , nhưng có thể gợi ý về hoạt động đó hoặc đáng ngờ. Ví dụ bao gồm:

• Cấu trúc thanh toán . Đôi khi được gọi là "smurfing", cấu trúc thanh toán đề cập đến việc thực hiện nhiều giao dịch với số tiền thấp hơn một chút so với số tiền sẽ kích hoạt yêu cầu báo cáo. Ví dụ, nếu người dùng Hoa Kỳ thực hiện nhiều lần chuyển tiền đến một địa chỉ tại một dịch vụ khác với số tiền tiền điện tử trị giá dưới 3.000 đô la, các doanh nghiệp có thể cần phải báo cáo vì điều này có thể đại diện cho nỗ lực lách Luật du lịch.
• Tốc độ tăng . “Tốc độ tăng” đề cập đến trường hợp người dùng đột nhiên và tăng mạnh hoạt động giao dịch của họ. Ví dụ, người dùng nhanh chóng chuyển từ giao dịch một lần một tuần sang giao dịch hai mươi lần một tuần có thể cần phải điều tra thêm.
• Các bên đối tác chung . Hãy lưu ý bất kỳ địa chỉ không xác định nào mà nhiều người dùng đang giao dịch, đặc biệt là với khối lượng lớn. Ví dụ, nếu một doanh nghiệp nhận thấy rằng, trong tháng qua, 20 người dùng của mình đã bắt đầu gửi tiền đến một địa chỉ không liên quan đến bất kỳ dịch vụ nào đã biết, thì nên lưu ý để điều tra và phân tích trong tương lai trong trường hợp có thêm hoạt động đáng ngờ xảy ra sau này.
• Hoạt động bất thường . Hoạt động bất thường đề cập đến bất kỳ thay đổi đột ngột nào trong hành vi giao dịch của người dùng, bất thường, đặc biệt là sự gia tăng lớn về khối lượng giao dịch. Ví dụ, nếu một doanh nghiệp điều hành một sàn giao dịch và một người dùng đã giao dịch tiền điện tử trị giá khoảng 100 đô la mỗi tuần đột nhiên thực hiện các giao dịch trị giá 10.000 đô la trong một tuần, doanh nghiệp đó nên ghi lại và có thể báo cáo hoạt động đó là đáng ngờ.

Áp dụng phương pháp tiếp cận dựa trên rủi ro để ứng phó với hoạt động đáng ngờ

Các sàn giao dịch nên cân nhắc triển khai một kế hoạch giải quyết mọi tình huống có thể xảy ra để phát hiện hoạt động đáng ngờ — bao gồm các vùng xám và quy trình làm việc để đánh giá các tình huống không lường trước — và chuyển chúng thành các chính sách và quy trình được ghi chép rõ ràng cho nhóm tuân thủ của họ.

Không có chính sách tuân thủ chung nào có thể áp dụng cho mọi sàn giao dịch. Dưới đây là một số cân nhắc để đánh giá rủi ro hiệu quả.

Hiểu được khả năng chịu rủi ro và điều chỉnh phản ứng theo mức độ rủi ro

Đánh giá mức độ chấp nhận rủi ro của một tổ chức là điểm khởi đầu tốt và từ đó, các sàn giao dịch có thể xem xét các hành động phản hồi có liên quan cho mọi hình thức hoạt động đáng ngờ dựa trên mức độ rủi ro mà chúng gây ra. Mức độ rủi ro mà một giao dịch đáng ngờ hoặc bất hợp pháp gây ra phụ thuộc phần lớn vào số tiền được giao dịch và mức độ nghiêm trọng của bên đối tác rủi ro.

Chainalysis Compliance Solutions cung cấp bảng thông tin để giúp các dịch vụ có được cái nhìn tổng quan về toàn bộ nỗ lực giám sát giao dịch tiền điện tử của nền tảng kinh doanh của họ. Nó cung cấp khả năng hiển thị trên các cảnh báo, người dùng, mức độ tiếp xúc, khối lượng giao dịch chuyển khoản, v.v.

Thực hiện các phản hồi theo từng cấp độ

Hầu hết các sàn giao dịch đều phản hồi theo một hoặc nhiều cách sau đây khi người dùng thực hiện giao dịch có khả năng rủi ro, tùy thuộc vào mức độ rủi ro và hoạt động rủi ro trước đó của người dùng:

• Liên hệ trực tiếp với khách hàng để giải thích về các giao dịch trước khi quyết định có thực hiện hành động hay không
• Đóng băng tiền của người dùng
• Hạn chế người dùng giao dịch số tiền lớn hơn có thể kích hoạt cấp độ Kiểm Tra Danh Tính (KYC) tiếp theo (nếu doanh nghiệp thực sự sử dụng hệ thống thu thập Kiểm Tra Danh Tính (KYC) theo cấp độ)
• Cấm người dùng khỏi nền tảng

Một lần nữa, không có chính sách nào có ý nghĩa đối với mọi sàn giao dịch; do đó, điều quan trọng là phải xác định trước doanh nghiệp sẽ áp dụng phản ứng nào tùy thuộc vào mức độ rủi ro của hoạt động đang xem xét.

Giám sát và báo cáo tự động

Nếu hoạt động của người dùng bị coi là đáng ngờ để một doanh nghiệp thực hiện bất kỳ hành động nào nêu trên, thì có khả năng doanh nghiệp đó phải nộp Báo cáo hoạt động đáng ngờ (SAR) cho Mạng lưới thực thi tội phạm tài chính (FINCEN) hoặc tổ chức tương đương trong khu vực pháp lý có liên quan. SAR là bắt buộc trong các tình huống này và phải được nộp cho cơ quan thích hợp trong vòng 30 ngày kể từ hoạt động đáng ngờ. Điều này có nghĩa là khi một doanh nghiệp phát triển, cuối cùng có thể cần một hệ thống giám sát giao dịch tự động để theo kịp hoạt động đáng ngờ và nộp SAR kịp thời. Giống như các tổ chức tài chính truyền thống, hầu hết các doanh nghiệp tiền điện tử có khối lượng giao dịch lớn và chính sách tuân thủ đang hoạt động thường nộp một số lượng lớn SAR.

Hãy tham gia hội thảo trực tuyến của chúng tôi về cách nộp SAR với tư cách là doanh nghiệp tiền điện tử.

Kiểm tra an ninh thường xuyên

Kiểm tra bảo mật thường xuyên là điều cần thiết để xác định các lỗ hổng có thể bị khai thác để truy cập trái phép hoặc gian lận. Bằng cách thường xuyên xem xét các hệ thống, giao thức và lịch sử giao dịch, các sàn giao dịch có thể đi trước các mối đe dọa tiềm ẩn, đảm bảo tuân thủ các tiêu chuẩn quy định và tăng cường lòng tin của người dùng.

Đào tạo và hiểu biết về an ninh

Cung cấp đào tạo bảo mật liên tục cho nhân viên giúp tăng cường tuyến phòng thủ đầu tiên chống lại hoạt động đáng ngờ bằng cách đảm bảo rằng nhân viên được trang bị tốt để nhận biết và ứng phó với các mối đe dọa tiềm ẩn. Kiến thức này không chỉ giới hạn ở nhân viên CNTT, mà còn trao quyền cho tất cả các thành viên trong nhóm thực hiện các biện pháp tốt nhất trong việc xử lý dữ liệu nhạy cảm và bảo vệ thông tin người dùng.

Duy trì tài liệu và lưu giữ hồ sơ chính xác

Tài liệu chính xác là rất quan trọng trong việc theo dõi hoạt động đáng ngờ và đáp ứng các tiêu chuẩn tuân thủ, đặc biệt là khi được sao lưu bằng các bản sao được lưu trữ cả trực tuyến và ngoại tuyến. Bằng cách triển khai hệ thống lưu trữ hồ sơ toàn diện, CEX có thể duy trì quyền truy cập đáng tin cậy vào dữ liệu lịch sử để kiểm toán và điều tra, ngay cả trong trường hợp hệ thống bị lỗi hoặc dữ liệu bị hỏng.

Thực hiện chặn IP

Việc triển khai chặn IP cũng đã trở thành một phần cốt lõi của chương trình tuân thủ hiệu quả, đặc biệt là liên quan đến việc giảm thiểu rủi ro trừng phạt. Nhiều hành động thực thi của OFAC trong những năm gần đây đã trích dẫn các chương trình chặn IP không đầy đủ, vì vậy điều quan trọng là phải đảm bảo rằng các doanh nghiệp đang ngăn chặn người dùng truy cập vào nền tảng của họ từ các khu vực pháp lý bị cấm.

Chương trình tuân thủ trao đổi mạnh mẽ

Việc tạo ra và duy trì một chương trình tuân thủ toàn diện đòi hỏi phải đầu tư liên tục vào công nghệ và nhân sự. Các thành phần chính bao gồm:

• Đào tạo thường xuyên : Đảm bảo các nhóm tuân thủ luôn cập nhật các quy định mới nhất và các thông lệ tốt nhất. Chúng tôi cung cấp đào tạo về rủi ro và quy định được thiết kế để giúp các doanh nghiệp tiền điện tử luôn đi đầu trong công nghệ tuân thủ tiền điện tử mới nhất.
• Cập nhật chính sách liên tục : Thường xuyên xem xét và cập nhật các quy trình tuân thủ để thích ứng với các quy định đang thay đổi và rủi ro mới nổi. Nhóm chuyên gia chính sách tiền điện tử của chúng tôi thường xuyên chia sẻ các bản cập nhật được thiết kế để giúp các cơ quan quản lý, nhà hoạch định chính sách và chuyên gia tuân thủ nắm rõ thông tin về diễn biến tài sản kỹ thuật số toàn cầu.
• Tài liệu : Lưu giữ hồ sơ chi tiết về tất cả các hoạt động tuân thủ, quyết định và lý do.
• Báo cáo kịp thời : Nộp SAR cho cơ quan quản lý có thẩm quyền trong khung thời gian yêu cầu khi phát hiện hoạt động đáng ngờ.

Bảo mật cho doanh nghiệp tiền điện tử

Bảo mật cũng quan trọng như tuân thủ khi nói đến việc xây dựng một doanh nghiệp tiền điện tử an toàn và bền vững. Khi không được bảo mật đúng cách, các nền tảng tài sản kỹ thuật số có thể cực kỳ dễ bị tấn công mạng và các mối đe dọa khác. Tuy nhiên, các nền tảng chiếm các vectơ tấn công chính bị tin tặc xâm nhập có khả năng an toàn hơn đáng kể. Các vectơ tấn công này bao gồm:

• Khóa riêng tư
• Địa chỉ gửi tiền
• Khóa API

Chúng ta sẽ tìm hiểu cả ba chi tiết hơn ở phần dưới đây.

Khóa riêng tư

Tin tặc và những tác nhân độc hại khác (chẳng hạn như mối đe dọa nội bộ) có thể cố gắng xâm phạm khóa riêng của nạn nhân để truy cập vào ví của họ, nơi kiểm soát số tiền họ đã lưu trữ trên blockchain. Điều này cho phép kẻ tấn công chuyển tiền từ ví của nạn nhân đến bất kỳ đâu.

Sau đây là một số cách mà khóa riêng tư đã bị xâm phạm trước đây:

• Lây nhiễm máy chủ bằng phần mềm độc hại đánh cắp khóa riêng tư
• Đánh cắp mã thông báo xác thực mô - đun bảo mật phần cứng (HSM) và buộc HSM phải ký giao dịch rút tiền
• Một nhân viên nội bộ được ủy quyền đánh cắp khóa riêng

Ngày nay, các tổ chức trong không gian tài sản kỹ thuật số đang bảo mật khóa riêng bằng cách sử dụng Tính toán đa bên (MPC). MPC đại diện cho bước tiếp theo mạnh mẽ trong bảo mật khóa riêng và thậm chí còn hiệu quả hơn nếu khóa được bảo mật trong phần cứng (tức là Intel SGX, một vùng cách ly phần cứng cấp chip) và trên nhiều nhà cung cấp đám mây.

MPC là giải pháp ví mạnh mẽ vì nó cung cấp quyền truy cập ngay lập tức vào tài sản kỹ thuật số trong khi vẫn duy trì mức độ bảo mật cao nhất. Các khả năng cơ bản của MPC loại bỏ điểm xâm phạm duy nhất của khóa riêng tư. Đồng thời, bản chất phân tán của MPC cho phép các thành viên trong nhóm yêu cầu nhiều người ủy quyền cho một giao dịch và ký giao dịch mà không cần ở cùng một vị trí.

Địa chỉ gửi tiền

Địa chỉ tiền gửi là một mã định danh chữ số dài chỉ định địa chỉ công khai của ví. Để chuyển tiền cho bên đối tác, cả hai bên cần trao đổi địa chỉ tiền gửi. Tin tặc nhắm mục tiêu vào địa chỉ tiền gửi theo một số cách khác nhau:

• Cài đặt tiện ích mở rộng web Chrome gian lận chiếm quyền điều khiển trình duyệt web (tấn công man-in-the-browser)
• Làm giả địa chỉ khi sao chép và dán giữa trình duyệt web và ứng dụng ví
• Chặn và sửa đổi địa chỉ tiền gửi trong khi nó đang được gửi giữa các bên đối tác trên dịch vụ nhắn tin (ví dụ: Telegram)
• Đánh cắp mã trên trang web của sàn giao dịch để giả mạo địa chỉ gốc
• Phần mềm độc hại chiếm đoạt giao diện ví, trình điều khiển hoặc thiết bị của bên đối tác

Một số phương pháp đã được sử dụng để giảm thiểu mối đe dọa xâm phạm địa chỉ tiền gửi; một số phương pháp phổ biến nhất bao gồm chuyển tiền thử nghiệm, danh sách trắng và ví phần cứng.

Khóa API

Các sàn giao dịch và nhà cung cấp thanh khoản thường yêu cầu người dùng sử dụng khóa API để truy cập tự động vào nền tảng của họ. Những thông tin xác thực này dễ bị tấn công bởi các hình thức phần mềm độc hại truyền thống, chẳng hạn như keylogging và lừa đảo. Khóa API được lưu trữ trong phần mềm giao dịch cũng có thể bị đánh cắp nếu máy chủ hoặc kho lưu trữ mã bị xâm phạm.

Nhìn chung, khi tin tặc có được khóa API, họ có thể:

• Thực hiện rút tiền trái phép từ sàn giao dịch.
• Thao túng thị trường bằng cách sử dụng tài sản được cấp vốn trước trong một tài khoản bị xâm phạm.

Ngày nay, các tổ chức sử dụng nhiều phương pháp khác nhau để bảo vệ cơ sở hạ tầng API, bao gồm cả cách ly phần cứng cấp chip. Các thuộc tính bảo mật độc đáo của vùng bảo vệ phần cứng cấp chip đảm bảo tính bảo mật và tính toàn vẹn khi thực thi của chúng. Điều này ngăn chặn tin tặc và nhà cung cấp giải pháp truy cập khóa hoặc giả mạo tính xác thực của địa chỉ tiền gửi đến nơi chuyển tiền.

Tốt nhất là xử lý khóa API tương tự như khóa riêng bằng cách chia chúng thành các chia sẻ MPC ngoài việc bảo mật chúng trong phần cứng. Các phát triển gần đây về bảo mật API bao gồm thuật toán HMAC-MPC , áp dụng MPC cho thông tin xác thực khóa API bí mật — cho phép khách hàng truy cập vào các sàn giao dịch bằng khóa API phân tán và loại bỏ điểm xâm phạm duy nhất.

Nếu không được kiểm tra, khóa riêng tư, địa chỉ tiền gửi và khóa API có thể dẫn đến các vấn đề bảo mật nghiêm trọng — bao gồm các cuộc tấn công mạng của tin tặc và thậm chí là vi phạm bảo mật nội bộ. Nhưng có thể bảo vệ cả ba bằng phương pháp phòng thủ chuyên sâu, giảm thiểu mọi vectơ tấn công thông qua nhiều lớp bảo mật phần mềm và phần cứng.

Tương lai của bảo mật tiền điện tử và tuân thủ trao đổi

Tiền điện tử tiếp tục thu hút sự chú ý trên toàn thế giới và có vẻ như sẽ trở thành một tài sản đầu tư chính thống và Trung bình trao đổi. Tuy nhiên, để đạt được tầm nhìn này đòi hỏi những nỗ lực của toàn ngành nhằm triển khai các biện pháp bảo vệ người tiêu dùng mạnh mẽ cùng với các tiêu chuẩn tuân thủ nghiêm ngặt, giống như các tiêu chuẩn quản lý tiền tệ fiat. Thực hiện theo các bước được nêu trong hướng dẫn này có thể giúp các sàn giao dịch tăng cường bảo mật cho người dùng hiện tại và thiết lập các khuôn khổ tuân thủ chặt chẽ — điều cần thiết để thúc đẩy việc áp dụng rộng rãi hơn và nuôi dưỡng lòng tin trong thị trường.

Chainalysis cung cấp một bộ giải pháp và dịch vụ tuân thủ để giúp các sàn giao dịch điều hướng bối cảnh pháp lý phức tạp. Để tìm hiểu thêm về cách chúng tôi có thể hỗ trợ các nỗ lực tuân thủ của bạn, hãy yêu cầu bản demo .

Hành trình trưởng thành của tiền điện tử năm 2024

Tài chính truyền thống có thể áp dụng tiền điện tử theo từng giai đoạn như thế nào

Nhận bản sao của bạn ngay bây giờ

Trang web này chứa các liên kết đến các trang web của bên thứ ba không nằm trong quyền kiểm soát của Chainalysis, Inc. hoặc các chi nhánh của công ty (gọi chung là “Chainalysis”). Việc truy cập vào thông tin đó không ngụ ý sự liên kết, xác nhận, chấp thuận hoặc khuyến nghị của Chainalysis đối với trang web hoặc các nhà điều hành của trang web đó và Chainalysis không chịu trách nhiệm về các sản phẩm, dịch vụ hoặc nội dung khác được lưu trữ trong đó.

Tài liệu này chỉ nhằm mục đích cung cấp thông tin và không nhằm mục đích cung cấp lời khuyên về tuân thủ, pháp lý, thuế, tài chính hoặc đầu tư. Người nhận nên tham khảo ý kiến ​​cố vấn của riêng mình trước khi đưa ra những quyết định như vậy. Chainalysis không chịu trách nhiệm hoặc nghĩa vụ pháp lý đối với bất kỳ quyết định nào được đưa ra hoặc bất kỳ hành vi hoặc thiếu sót nào khác liên quan đến việc Người nhận sử dụng tài liệu này.

Chainalysis không đảm bảo hoặc bảo hành tính chính xác, đầy đủ, kịp thời, phù hợp hoặc hợp lệ của thông tin trong báo cáo này và sẽ không chịu trách nhiệm cho bất kỳ khiếu nại nào do lỗi, thiếu sót hoặc sự không chính xác khác của bất kỳ phần nào trong tài liệu đó.

Bài đăng Giới thiệu về tuân thủ sàn giao dịch tiền điện tử xuất hiện đầu tiên trên Chainalysis .