以下是文章的简体中文翻译:
加密相关合规对加密行业的稳定性和可信度至关重要。随着
加密货币用户数量不断增加,托管加密货币业务的前景仍然看好。但历史告诉我们,这些业务 — 特别是中心化交易所(CEX) — 在安全和合规方面仍面临重大风险。
在过去一年里,几家区域性CEX遭到黑客攻击,包括日本交易所
DMM Bitcoin(3.05亿美元)和印度交易所
WazirX(2.35亿美元)。与此同时,一些主要的国际交易所也因合规问题而面临罚款,突显了该行业持续受到监管审查。随着监管机构寻求进一步编纂和执行
加密货币特定法规,这种情况可能会更加频繁发生。
当然,避免遭到黑客攻击和监管机构的罚款远不是认真对待安全和合规义务的唯一原因。它们对于赢得新用户的信任也至关重要 — 特别是随着加密货币成为一种越来越受欢迎的资产类别,散户投资者寻求CEX的稳定性和安全性来买卖和交易加密货币。
在这篇博客中,我们将探讨加密货币交易所合规的组成部分、强大的交易所合规计划的示例等。
了解加密货币交易所合规
加密相关合规的很大一部分集中在保护加密交易所的平台运营。这包括实施本地和国际反洗钱和反恐融资(AML/CFT)措施,以防止滥用其产品和服务。
遵循FATF建议
作为一家加密货币交易所,企业注册、注册和运营的司法管辖区将决定其必须遵守的法规。
金融行动特别工作组(FATF)是一个国际组织,通过制定有关洗钱、恐怖融资和扩散融资的法律、监管和操作标准,来保护全球金融体系的完整性。国家和地区层面的法规通常反映了FATF对货币服务企业和其他持牌服务的
建议。这些规则分为三类:
了解您的客户(KYC)要求:这些规则要求收集用户的身份信息,目的有多种,如确认用户不受制裁、阻止居住在禁止管辖区的个人,以及在将来出现可疑活动时启动主动调查。这些信息对于验证用户身份、减少欺诈和确保遵守监管要求至关重要。
交易监控:CEX必须持续监控交易,以发现可能涉及洗钱、恐怖融资或其他形式金融犯罪的可疑活动。
应对风险行为:如果有效监控交易,企业无疑会遇到一些需要直接与客户沟通、更新记录和向相关执法机构报告可疑活动的风险行为。这通常需要遵循相关司法管辖区的反洗钱(AML)法律和政策规定的要求。
我们将在下面介绍这些加密交易所合规领域。
加密交易所合规的组成部分
收集了解您的客户(KYC)信息
KYC程序对于CEX验证用户身份、降低欺诈风险和确保遵守法律法规至关重要。实施强大的KYC流程包括收集和验证用户信息、利用身份验证技术以及维护安全记录。以下是一些最常见的KYC信息类型:
- 电子邮件地址
- 政府颁发的身份证或驾驶执照
- 出生日期
- 社会保障号或国民身份号
- 电话号码
- 实际地址
- 水电费单或类似文件作为地址证明
请注意,没有统一的规则规定必须收集哪些信息以及何时收集。在许多司法管辖区,尽管交易所允许用户只用电子邮件地址注册和交易,但仍然重要的是要对名称进行筛查。未能收集KYC信息可能表明存在高风险操作,使服务面临各种运营、监管和法律挑战。大多数主流CEX要求的不仅仅是名称和电子邮件地址 — 特别是对于交易大量加密货币的用户。
一些交易所在注册时收集大量KYC信息,而其他交易所采用分级制度,即交易更高数量的加密货币需要更多的KYC和审查。合适的方法取决于业务模式和客户群。
在企业收集并安全存储证明用户身份的验证文件后,通常会进行制裁筛查。这种筛查的目的是确保新用户及其密切关联者不受制裁。包括美国财政部海外资产控制办公室(OFAC)和英国金融制裁执行办公室在内的多个国家政府机构都维护着自己的制裁名单。最简单的方法是使用
汤森路透或
Refinitiv等服务。这些服务将所有相关的制裁名单整合在一起,这样企业就不必单独或定期检查每一个名单。
企业还可以使用这些服务来进行政治敏感人物(PEP)筛查,了解用户是否为有贿赂或其他形式金融腐败风险的政府官员,以及负面新闻筛查,查看潜在用户是否涉及犯罪活动。此外,与传统金融一样,一些CEX也设有专门的调查部门,负责响应感兴趣的任务,并主动识别、标记和阻止平台滥用和其他可疑活动。
交易监控和报告
持续监控交易对于检测可疑活动和确保遵守监管要求很重要。通过持续监控交易,CEX可以识别潜在风险并及时采取行动来缓解这些风险,维护平台的完整性。建立自动报告系统和保持准确记录对于及时提交所需报告并保持符合监管标准很关键。
托管加密业务通常会监控其用户从托管在该业务平台上的地址进行的交易,以确认他们没有向或从犯罪实体发送或接收资金。在FATF成员国和FATF风格的区域性机构之间,超过200个国家已承诺遵守FATF建议,其中包括保留并与当局分享任何可疑交易、所有超过某一金额的交易以及用户可能试图隐藏此类活动的情况的记录。
监控犯罪活动
为了检测用户是否向或从与非法活动(如暗网市场、受制裁实体、骗子和其他网络罪犯)相关的加密货币地址发送资金,企业需要强大的监控解决方案。
Chainalysis加密合规解决方案可以在用户与风险地址进行交易时发出警报。交易所能够配置跨类别阈值、自定义群组和行为活动的灵活风险规则,从而创建供团队审查的警报。
随着Chainalysis不断监控转账 — 即使未来由于新的活动而暴露发生变化 — 团队有选择接收警报以保持平台安全。收到警报后,团队能够协作、管理案件,并确定是否应对用户采取行动。
用户视图在Chainalysis提供了关于用户活动和暴露、警报等的洞见。如果需要进一步调查活动,
加密调查解决方案的图表和故事可以直接从警报中访问,并有助于企业追踪客户资金的来源和目的地。
报告责任
大多数司法管辖区都要求企业提交和报告某些类型的交易。例如,在美国,FinCEN要求加密货币企业对任何等于或超过10,000美元的现金存款或取款提交
货币交易报告(CTR)。大多数FATF成员国都有类似的规则。此外,FATF国家的加密货币企业还必须遵守"
旅行规则"",该规则要求虚拟资产服务提供商(VASP,包括加密货币交易所)验证其客户的身份,并识别超过1,000美元/欧元的转账的发起人和受益人,并将该信息传递给其VASP对应方(如果存在)。
同时也要注意,地方当局通常会施加自己的额外规则。例如,在纽约州经营的加密货币企业必须从纽约州金融服务部(DFS)获得独特的许可,并遵守DFS制定的有关许可、合规、资本要求、消费者保护、网络安全和其他条款的规则。
可疑活动报告
与传统金融机构一样,加密货币企业必须保留并有时提交报告涉及可疑交易的记录,即使这些交易并未明确与非法活动或违反FATF建议相关,也可能表明存在此类活动或其他可疑情况。例如:
支付结构化。有时被称为"蚂蚁搬家",支付结构化指进行多笔金额刚好低于触发报告要求的交易。例如,如果一名美国用户向另一家服务机构的地址进行多笔略低于3,000美元的加密货币转账,企业可能需要报告,因为这可能代表试图规避旅行规则。
交易速度增加。"交易速度增加"指用户突然大幅增加交易活动。例如,如果一名用户从每周交易一次变为每周交易20次,这可能需要进一步调查。
共同交易对手。注意任何大量用户正在与之交易的未知地址,尤其是大额交易。例如,如果一家企业注意到在过去一个月里,它的20名用户开始向一个不属于任何已知服务的地址发送资金,值得记录下来以备将来调查和分析,以防出现更多可疑活动。
异常活动。异常活动指用户交易行为的任何突然变化,尤其是交易量大幅增加。例如,如果一家经营交易所的企业发现一名用户从每周交易约100美元的加密货币变为一周内进行10,000美元的交易,该企业应该记录并可能报告该活动为可疑。
采取基于风险的方法应对可疑活动
交易所应该考虑实施一个计划,解决检测可疑活动的所有可能情况 — 包括灰色地带和评估意外情况的工作流程 — 并将其转化为合规团队的明确记录的政策和程序。
没有一种统一的合规政策适用于每一家交易所。以下是有效评估风险的一些考虑因素。
了解风险承受能力并根据风险水平采取相应措施
评估组织的风险承受能力是一个好的起点,从那里开始,交易所可以根据可疑或非法交易引入的风险程度,考虑对所有形式的可疑活动采取相关的响应行动。
Chainalysis合规解决方案提供
仪表板功能,
实施渐进式响应
当用户进行可能存在风险的交易时,大多数交易所会根据引入的风险水平和用户之前的风险行为采取以下一种或几种方式进行响应:
- 在决定是否采取行动之前,直接联系客户,了解交易的原因
- 冻结用户资金
- 限制用户进行触发下一个KYC等级的较大金额交易(如果该业务确实使用分级KYC收集系统)
- 禁止用户使用该平台
同样,没有一种单一的政策适用于每个交易所;因此,事先确定业务将根据所涉活动的风险程度采取哪些响应措施非常重要。
自动监控和报告
如果认为用户的活动可疑,需要采取上述任何行动,那么该业务很可能必须向FinCEN或相关管辖区的同等组织提交可疑活动报告(SAR)。在这些情况下,SAR是强制性的,必须在可疑活动发生后30天内提交给相关机构。这意味着,随着业务的发展,最终可能需要一个自动化的交易监控系统,以跟上可疑活动并及时提交SAR。与传统金融机构一样,大多数拥有大量交易量并制定合规政策的加密货币企业通常会提交大量SAR。
查看我们关于如何作为加密货币企业提交SAR的网络研讨会。
定期安全审计
频繁的安全审计对于识别可能被利用进行未经授权访问或欺诈的漏洞至关重要。通过定期审查系统、协议和交易历史,交易所可以提前应对潜在威胁,确保符合监管标准并增强用户信任。
安全知识和培训
为员工提供持续的安全培训可以增强第一道防线,确保员工能够识别和应对潜在威胁。这种知识不仅限于IT员工,还应该赋能所有团队成员遵循处理敏感数据和保护用户信息的最佳实践。
保持准确的文档和记录
准确的文档记录对于跟踪可疑活动和满足合规标准至关重要,尤其是当有线上和线下备份时。通过实施全面的记录保存系统,中心化交易所可以在系统故障或数据损坏的情况下,仍能可靠地访问历史数据进行审计和调查。
实施IP封锁
实施IP封锁也已成为有效合规计划的核心组成部分,特别是在减轻制裁风险方面。近年来,多起OFAC执法行动都提到了缺乏完善的IP封锁计划,因此确保企业阻止用户从禁止的管辖区访问其平台非常重要。
健全的交易所合规计划
创建和维护全面的合规计划需要持续投资于技术和人员。关键组成部分包括:
- 定期培训:确保合规团队了解最新的法规和最佳实践。我们提供风险和监管培训,旨在让加密企业保持最新的加密合规技术。
- 持续更新政策:定期审查和更新合规程序,以适应不断变化的法规和新兴风险。我们的加密政策专家定期分享更新,旨在让监管机构、决策者和合规专业人士了解全球数字资产的最新发展。
- 文档记录:详细记录所有合规活动、决策和理由。
- 及时报告:在发现可疑活动时,在规定时间内向相关监管机构提交SAR。
加密货币企业的安全
在构建安全可持续的加密货币企业中,安全性与合规性同等重要。如果没有得到适当的保护,数字资产平台可能极易遭受网络攻击和其他威胁。然而,如果平台能够应对黑客利用的主要攻击向量,它们很可能会更加安全。这些攻击向量包括:
我们将在下面更详细地探讨这三个方面。
私钥
黑客和其他恶意行为者(如内部威胁)可能试图破坏受害者的私钥,以访问他们在区块链上存储的钱包,从而控制其资金。这使攻击者能够将资金从受害者的钱包转移到任何地方。
私钥曾经被以下方式泄露:
- 将服务器感染恶意软件,窃取私钥
- 窃取硬件安全模块(HSM)身份验证令牌,并强制HSM签署提款交易
- 获授权的内部员工窃取私钥
如今,数字资产领域的机构正在使用多方计算(MPC)来保护私钥。MPC代表了私钥安全的强大下一步,如果将密钥存储在硬件(即Intel SGX,一种芯片级硬件隔离环境)并跨多个云提供商,它会更加有效。
MPC是一个强大的钱包解决方案,因为它提供即时访问数字资产,同时保持最高级别的安全性。MPC的基本功能消除了私钥的单一破坏点。同时,MPC的分布式性质允许团队成员在不同位置要求多个授权人进行交易并签署交易。
存款地址
存款地址是一个长的字母数字标识符,表示钱包的公共地址。要向交易对手转账,双方需要交换存款地址。黑客以多种方式针对存款地址:
- 安装欺骗性的Chrome网络扩展,劫持网络浏览器(中间人攻击)
- 在网络浏览器和钱包应用程序之间复制粘贴时伪造地址
- 拦截并修改通过消息服务(如Telegram)发送的存款地址
- 劫持交易所网站上的代码,在源头伪造地址
- 利用恶意软件劫持钱包界面、驱动程序或交易对手的设备
已采用多种方法来减轻存款地址被盗的风险,最常见的包括测试转账、地址白名单和硬件钱包。
API密钥
交易所和流动性提供商通常让用户使用API密钥来自动访问其平台。这些凭据容易受到传统恶意软件(如键盘记录和网络钓鱼)的攻击。如果交易软件的服务器或代码库被入侵,存储在其中的API密钥也可能被盗。
总的来说,一旦黑客获得API密钥,就可能:
- 未经授权从交易所提取资金。
- 利用被入侵账户上的预付资产操纵市场。
如今,机构使用各种方法来保护API基础设施,包括芯片级硬件隔离。芯片级硬件环境的独特安全属性保证了其机密性和执行完整性。这可以防止黑客和解决方案提供商访问密钥或伪造存款地址以转移资金。
最好像对待私钥一样,将API密钥分成MPC份额,并存储在硬件中。API安全的最新进展包括HMAC-MPC算法,它将MPC应用于API密钥秘密凭证 - 有效地让客户使用分布式API密钥访问交易所,消除了单点故障。
如果不加控制,私钥、存款地址和API密钥都可能导致严重的安全问题,包括黑客的网络攻击,甚至内部安全漏洞。但通过采取纵深防御的方法,利用多层软件和硬件安全,可以保护所有这三个方面,缓解所有攻击向量。
加密货币安全和交易所合规的未来
加密货币正在全球范围内获得关注,似乎有望成为主流投资资产和支付工具。然而,实现这一愿景需要全行业共同努力,实施强大的消费者保护措施和严格的合规标准,就像管理法定货币一样。按照本指南中概述的步骤,交易所可以加强当前用户的安全性,并建立强大的合规框架 - 这对于推动更广泛的采用和培养市场信任至关重要。
Chainalysis提供一套合规解决方案和服务,帮助交易所应对复杂的监管环境。要了解我们如何支持您的合规工作,请申请演示。
本网站包含指向第三方网站的链接,这些网站不受Chainalysis, Inc.或其关联公司(统称为"Chainalysis")的控制。访问此类信息并不意味着Chainalysis认可、批准或推荐该网站或其运营商,Chainalysis也不对其托管的产品、服务或其他内容负责。
本材料仅供参考,并非旨在提供合规、法律、税务、财务或投资建议。收件人应咨询自己的顾问,然后做出这些类型的决定。Chainalysis对收件人做出的任何决定或其他行为或不作为概不负责。
Chainalysis不保证或保证本报告中信息的准确性、完整性、及时性、适用性或有效性,也不对任何由此产生的索赔负责。
本文最初发表于Chainalysis。
