以下是文章的簡體中文翻譯:
加密相關合規對加密行業的穩定性和可信度至關重要。隨著
加密貨幣使用者數量不斷增加,託管加密貨幣業務的前景仍然看好。但歷史告訴我們,這些業務 — 特別是中心化交易所(CEX) — 在安全和合規方面仍面臨重大風險。
在過去一年裡,幾家區域性CEX遭到駭客攻擊,包括日本交易所
DMM Bitcoin(3.05億美元)和印度交易所
WazirX(2.35億美元)。與此同時,一些主要的國際交易所也因合規問題而面臨罰款,突顯了該行業持續受到監管審查。隨著監管機構尋求進一步編纂和執行
加密貨幣特定法規,這種情況可能會更加頻繁發生。
當然,避免遭到駭客攻擊和監管機構的罰款遠不是認真對待安全和合規義務的唯一原因。它們對於贏得新使用者的信任也至關重要 — 特別是隨著加密貨幣成為一種越來越受歡迎的資產類別,散戶投資者尋求CEX的穩定性和安全性來買賣和交易加密貨幣。
在這篇部落格中,我們將探討加密貨幣交易所合規的組成部分、強大的交易所合規計劃的示例等。
瞭解加密貨幣交易所合規
加密相關合規的很大一部分集中在保護加密交易所的平臺運營。這包括實施本地和國際反洗錢和反恐融資(AML/CFT)措施,以防止濫用其產品和服務。
遵循FATF建議
作為一家加密貨幣交易所,企業註冊、註冊和運營的司法管轄區將決定其必須遵守的法規。
金融行動特別工作組(FATF)是一個國際組織,透過制定有關洗錢、恐怖融資和擴散融資的法律、監管和操作標準,來保護全球金融體系的完整性。國家和地區層面的法規通常反映了FATF對貨幣服務企業和其他持牌服務的
建議。這些規則分為三類:
瞭解您的客戶(KYC)要求:這些規則要求收集使用者的身份資訊,目的有多種,如確認使用者不受制裁、阻止居住在禁止管轄區的個人,以及在將來出現可疑活動時啟動主動調查。這些資訊對於驗證使用者身份、減少欺詐和確保遵守監管要求至關重要。
交易監控:CEX必須持續監控交易,以發現可能涉及洗錢、恐怖融資或其他形式金融犯罪的可疑活動。
應對風險行為:如果有效監控交易,企業無疑會遇到一些需要直接與客戶溝通、更新記錄和向相關執法機構報告可疑活動的風險行為。這通常需要遵循相關司法管轄區的反洗錢(AML)法律和政策規定的要求。
我們將在下面介紹這些加密交易所合規領域。
加密交易所合規的組成部分
收集了解您的客戶(KYC)資訊
KYC程式對於CEX驗證使用者身份、降低欺詐風險和確保遵守法律法規至關重要。實施強大的KYC流程包括收集和驗證使用者資訊、利用身份驗證技術以及維護安全記錄。以下是一些最常見的KYC資訊型別:
- 電子郵件地址
- 政府頒發的身份證或駕駛執照
- 出生日期
- 社會保障號或國民身份號
- 電話號碼
- 實際地址
- 水電費單或類似檔案作為地址證明
請注意,沒有統一的規則規定必須收集哪些資訊以及何時收集。在許多司法管轄區,儘管交易所允許使用者只用電子郵件地址註冊和交易,但仍然重要的是要對名稱進行篩查。未能收集KYC資訊可能表明存在高風險操作,使服務面臨各種運營、監管和法律挑戰。大多數主流CEX要求的不僅僅是名稱和電子郵件地址 — 特別是對於交易大量加密貨幣的使用者。
一些交易所在註冊時收集大量KYC資訊,而其他交易所採用分級制度,即交易更高數量的加密貨幣需要更多的KYC和審查。合適的方法取決於業務模式和客戶群。
在企業收集並安全儲存證明使用者身份的驗證檔案後,通常會進行制裁篩查。這種篩查的目的是確保新使用者及其密切關聯者不受制裁。包括美國財政部海外資產控制辦公室(OFAC)和英國金融制裁執行辦公室在內的多個國家政府機構都維護著自己的制裁名單。最簡單的方法是使用
湯森路透或
Refinitiv等服務。這些服務將所有相關的制裁名單整合在一起,這樣企業就不必單獨或定期檢查每一個名單。
企業還可以使用這些服務來進行政治敏感人物(PEP)篩查,瞭解使用者是否為有賄賂或其他形式金融腐敗風險的政府官員,以及負面新聞篩查,檢視潛在使用者是否涉及犯罪活動。此外,與傳統金融一樣,一些CEX也設有專門的調查部門,負責響應感興趣的任務,並主動識別、標記和阻止平臺濫用和其他可疑活動。
交易監控和報告
持續監控交易對於檢測可疑活動和確保遵守監管要求很重要。透過持續監控交易,CEX可以識別潛在風險並及時採取行動來緩解這些風險,維護平臺的完整性。建立自動報告系統和保持準確記錄對於及時提交所需報告並保持符合監管標準很關鍵。
託管加密業務通常會監控其使用者從託管在該業務平臺上的地址進行的交易,以確認他們沒有向或從犯罪實體傳送或接收資金。在FATF成員國和FATF風格的區域性機構之間,超過200個國家已承諾遵守FATF建議,其中包括保留並與當局分享任何可疑交易、所有超過某一金額的交易以及使用者可能試圖隱藏此類活動的情況的記錄。
監控犯罪活動
為了檢測使用者是否向或從與非法活動(如暗網市場、受制裁實體、騙子和其他網路罪犯)相關的加密貨幣地址傳送資金,企業需要強大的監控解決方案。
Chainalysis加密合規解決方案可以在使用者與風險地址進行交易時發出警報。交易所能夠配置跨類別閾值、自定義群組和行為活動的靈活風險規則,從而建立供團隊審查的警報。
隨著Chainalysis不斷監控轉賬 — 即使未來由於新的活動而暴露發生變化 — 團隊有選擇接收警報以保持平臺安全。收到警報後,團隊能夠協作、管理案件,並確定是否應對使用者採取行動。
使用者檢視在Chainalysis提供了關於使用者活動和暴露、警報等的洞見。如果需要進一步調查活動,
加密調查解決方案的圖表和故事可以直接從警報中訪問,並有助於企業追蹤客戶資金的來源和目的地。
報告責任
大多數司法管轄區都要求企業提交和報告某些型別的交易。例如,在美國,FinCEN要求加密貨幣企業對任何等於或超過10,000美元的現金存款或取款提交
貨幣交易報告(CTR)。大多數FATF成員國都有類似的規則。此外,FATF國家的加密貨幣企業還必須遵守"
旅行規則"",該規則要求虛擬資產服務提供商(VASP,包括加密貨幣交易所)驗證其客戶的身份,並識別超過1,000美元/歐元的轉賬的發起人和受益人,並將該資訊傳遞給其VASP對應方(如果存在)。
同時也要注意,地方當局通常會施加自己的額外規則。例如,在紐約州經營的加密貨幣企業必須從紐約州金融服務部(DFS)獲得獨特的許可,並遵守DFS制定的有關許可、合規、資本要求、消費者保護、網路安全和其他條款的規則。
可疑活動報告
與傳統金融機構一樣,加密貨幣企業必須保留並有時提交報告涉及可疑交易的記錄,即使這些交易並未明確與非法活動或違反FATF建議相關,也可能表明存在此類活動或其他可疑情況。例如:
支付結構化。有時被稱為"螞蟻搬家",支付結構化指進行多筆金額剛好低於觸發報告要求的交易。例如,如果一名美國使用者向另一家服務機構的地址進行多筆略低於3,000美元的加密貨幣轉賬,企業可能需要報告,因為這可能代表試圖規避旅行規則。
交易速度增加。"交易速度增加"指使用者突然大幅增加交易活動。例如,如果一名使用者從每週交易一次變為每週交易20次,這可能需要進一步調查。
共同交易對手。注意任何大量使用者正在與之交易的未知地址,尤其是大額交易。例如,如果一家企業注意到在過去一個月裡,它的20名使用者開始向一個不屬於任何已知服務的地址傳送資金,值得記錄下來以備將來調查和分析,以防出現更多可疑活動。
異常活動。異常活動指使用者交易行為的任何突然變化,尤其是交易量大幅增加。例如,如果一家經營交易所的企業發現一名使用者從每週交易約100美元的加密貨幣變為一週內進行10,000美元的交易,該企業應該記錄並可能報告該活動為可疑。
採取基於風險的方法應對可疑活動
交易所應該考慮實施一個計劃,解決檢測可疑活動的所有可能情況 — 包括灰色地帶和評估意外情況的工作流程 — 並將其轉化為合規團隊的明確記錄的政策和程式。
沒有一種統一的合規政策適用於每一家交易所。以下是有效評估風險的一些考慮因素。
瞭解風險承受能力並根據風險水平採取相應措施
評估組織的風險承受能力是一個好的起點,從那裡開始,交易所可以根據可疑或非法交易引入的風險程度,考慮對所有形式的可疑活動採取相關的響應行動。
Chainalysis合規解決方案提供
儀表板功能,
實施漸進式響應
當用戶進行可能存在風險的交易時,大多數交易所會根據引入的風險水平和使用者之前的風險行為採取以下一種或幾種方式進行響應:
- 在決定是否採取行動之前,直接聯絡客戶,瞭解交易的原因
- 凍結使用者資金
- 限制使用者進行觸發下一個KYC等級的較大金額交易(如果該業務確實使用分級KYC收集系統)
- 禁止使用者使用該平臺
同樣,沒有一種單一的政策適用於每個交易所;因此,事先確定業務將根據所涉活動的風險程度採取哪些響應措施非常重要。
自動監控和報告
如果認為使用者的活動可疑,需要採取上述任何行動,那麼該業務很可能必須向FinCEN或相關管轄區的同等組織提交可疑活動報告(SAR)。在這些情況下,SAR是強制性的,必須在可疑活動發生後30天內提交給相關機構。這意味著,隨著業務的發展,最終可能需要一個自動化的交易監控系統,以跟上可疑活動並及時提交SAR。與傳統金融機構一樣,大多數擁有大量交易量並制定合規政策的加密貨幣企業通常會提交大量SAR。
檢視我們關於如何作為加密貨幣企業提交SAR的網路研討會。
定期安全審計
頻繁的安全審計對於識別可能被利用進行未經授權訪問或欺詐的漏洞至關重要。透過定期審查系統、協議和交易歷史,交易所可以提前應對潛在威脅,確保符合監管標準並增強使用者信任。
安全知識和培訓
為員工提供持續的安全培訓可以增強第一道防線,確保員工能夠識別和應對潛在威脅。這種知識不僅限於IT員工,還應該賦能所有團隊成員遵循處理敏感資料和保護使用者資訊的最佳實踐。
保持準確的文件和記錄
準確的文件記錄對於跟蹤可疑活動和滿足合規標準至關重要,尤其是當有線上和線下備份時。透過實施全面的記錄儲存系統,中心化交易所可以在系統故障或資料損壞的情況下,仍能可靠地訪問歷史資料進行審計和調查。
實施IP封鎖
實施IP封鎖也已成為有效合規計劃的核心組成部分,特別是在減輕制裁風險方面。近年來,多起OFAC執法行動都提到了缺乏完善的IP封鎖計劃,因此確保企業阻止使用者從禁止的管轄區訪問其平臺非常重要。
健全的交易所合規計劃
建立和維護全面的合規計劃需要持續投資於技術和人員。關鍵組成部分包括:
- 定期培訓:確保合規團隊瞭解最新的法規和最佳實踐。我們提供風險和監管培訓,旨在讓加密企業保持最新的加密合規技術。
- 持續更新政策:定期審查和更新合規程式,以適應不斷變化的法規和新興風險。我們的加密政策專家定期分享更新,旨在讓監管機構、決策者和合規專業人士瞭解全球數字資產的最新發展。
- 文件記錄:詳細記錄所有合規活動、決策和理由。
- 及時報告:在發現可疑活動時,在規定時間內向相關監管機構提交SAR。
加密貨幣企業的安全
在構建安全可持續的加密貨幣企業中,安全性與合規性同等重要。如果沒有得到適當的保護,數字資產平臺可能極易遭受網路攻擊和其他威脅。然而,如果平臺能夠應對駭客利用的主要攻擊向量,它們很可能會更加安全。這些攻擊向量包括:
我們將在下面更詳細地探討這三個方面。
私鑰
駭客和其他惡意行為者(如內部威脅)可能試圖破壞受害者的私鑰,以訪問他們在區塊鏈上儲存的錢包,從而控制其資金。這使攻擊者能夠將資金從受害者的錢包轉移到任何地方。
私鑰曾經被以下方式洩露:
- 將伺服器感染惡意軟體,竊取私鑰
- 竊取硬體安全模組(HSM)身份驗證令牌,並強制HSM簽署提款交易
- 獲授權的內部員工竊取私鑰
如今,數字資產領域的機構正在使用多方計算(MPC)來保護私鑰。MPC代表了私鑰安全的強大下一步,如果將金鑰儲存在硬體(即Intel SGX,一種晶片級硬體隔離環境)並跨多個雲提供商,它會更加有效。
MPC是一個強大的錢包解決方案,因為它提供即時訪問數字資產,同時保持最高級別的安全性。MPC的基本功能消除了私鑰的單一破壞點。同時,MPC的分散式性質允許團隊成員在不同位置要求多個授權人進行交易並簽署交易。
存款地址
存款地址是一個長的字母數字識別符號,表示錢包的公共地址。要向交易對手轉賬,雙方需要交換存款地址。駭客以多種方式針對存款地址:
- 安裝欺騙性的Chrome網路擴充套件,劫持網路瀏覽器(中間人攻擊)
- 在網路瀏覽器和錢包應用程式之間複製貼上時偽造地址
- 攔截並修改透過訊息服務(如Telegram)傳送的存款地址
- 劫持交易所網站上的程式碼,在源頭偽造地址
- 利用惡意軟體劫持錢包介面、驅動程式或交易對手的裝置
已採用多種方法來減輕存款地址被盜的風險,最常見的包括測試轉賬、地址白名單和硬體錢包。
API金鑰
交易所和流動性提供商通常讓使用者使用API金鑰來自動訪問其平臺。這些憑據容易受到傳統惡意軟體(如鍵盤記錄和網路釣魚)的攻擊。如果交易軟體的伺服器或程式碼庫被入侵,儲存在其中的API金鑰也可能被盜。
總的來說,一旦駭客獲得API金鑰,就可能:
- 未經授權從交易所提取資金。
- 利用被入侵賬戶上的預付資產操縱市場。
如今,機構使用各種方法來保護API基礎設施,包括晶片級硬體隔離。晶片級硬體環境的獨特安全屬性保證了其機密性和執行完整性。這可以防止駭客和解決方案提供商訪問金鑰或偽造存款地址以轉移資金。
最好像對待私鑰一樣,將API金鑰分成MPC份額,並存儲在硬體中。API安全的最新進展包括HMAC-MPC演算法,它將MPC應用於API金鑰秘密憑證 - 有效地讓客戶使用分散式API金鑰訪問交易所,消除了單點故障。
如果不加控制,私鑰、存款地址和API金鑰都可能導致嚴重的安全問題,包括駭客的網路攻擊,甚至內部安全漏洞。但透過採取縱深防禦的方法,利用多層軟體和硬體安全,可以保護所有這三個方面,緩解所有攻擊向量。
加密貨幣安全和交易所合規的未來
加密貨幣正在全球範圍內獲得關注,似乎有望成為主流投資資產和支付工具。然而,實現這一願景需要全行業共同努力,實施強大的消費者保護措施和嚴格的合規標準,就像管理法定貨幣一樣。按照本指南中概述的步驟,交易所可以加強當前使用者的安全性,並建立強大的合規框架 - 這對於推動更廣泛的採用和培養市場信任至關重要。
Chainalysis提供一套合規解決方案和服務,幫助交易所應對複雜的監管環境。要了解我們如何支援您的合規工作,請申請演示。
本網站包含指向第三方網站的連結,這些網站不受Chainalysis, Inc.或其關聯公司(統稱為"Chainalysis")的控制。訪問此類資訊並不意味著Chainalysis認可、批准或推薦該網站或其運營商,Chainalysis也不對其託管的產品、服務或其他內容負責。
本材料僅供參考,並非旨在提供合規、法律、稅務、財務或投資建議。收件人應諮詢自己的顧問,然後做出這些型別的決定。Chainalysis對收件人做出的任何決定或其他行為或不作為概不負責。
Chainalysis不保證或保證本報告中資訊的準確性、完整性、及時性、適用性或有效性,也不對任何由此產生的索賠負責。
本文最初發表於Chainalysis。
