2023年4月7日,美國財政部發布了去中心化金融(DeFi)非法金融風險評估(DeFi Illicit Finance Risk Assessment)。該評估是對2022年9月美國白宮數字資產框架的回應,白宮數字資產框架特別要求財政部為DeFi 提供風險評估。
據美國財政部的說法,這是世界上第一個針對DeFi進行的非法金融風險評估。金色財經帶你速覽DeFi非法融資風險評估要點。
這項風險評估探討了非法行為者如何濫用通常被稱為去中心化金融(DeFi)的服務,以及DeFi服務特有的脆弱性。評估結果將為確定和解決美國反洗錢和打擊資助恐怖主義(AML/CFT)監管、監督和執行製度中針對DeFi的潛在執法提供參考。
目前,即使在行業參與者中,也沒有普遍接受的DeFi定義,或者哪些特徵會使產品、服務、安排或活動”去中心化”。該術語泛指虛擬資產協議和服務,聲稱允許某種形式的自動點對點(P2P)交易,通常通過使用基於區塊鏈技術的自我執行代碼,即”智能合約”。一個所謂的DeFi服務在多大程度上實際上是去中心化的,是一個事實和情況問題,本風險評估發現,DeFi服務通常有一個控制組織,提供一定程度的中心化管理和治理。
該評估發現,非法行為人,包括勒索軟件網絡犯罪分子、小偷、騙子和朝鮮民主主義人民共和國(DPRK)網絡行為人,正在利用DeFi服務轉移和洗錢其非法所得。為了實現這一目標,非法行為人正在利用美國和外國反洗錢/打擊資助恐怖主義的監管、監督和執法制度以及支持DeFi服務的技術中的漏洞。特別是,評估發現,該領域目前最重要的非法金融風險來自於不符合現有反洗錢/打擊恐怖主義義務的DeFi服務。
在美國,《銀行保密法》(BSA)和相關法規規定,金融機構有義務協助美國政府機構偵查和防止洗錢。 《銀行保密法》對廣泛的金融機構規定了這種義務,而確定一個實體,包括所謂的DeFi服務,是否是一個金融機構將取決於其金融活動的具體事實和情況。然而,作為BSA定義的金融機構的DeFi服務,無論該服務是中心化的還是去中心化的,都必須遵守BSA義務,包括反洗錢/打擊恐怖主義的義務。 DeFi服務聲稱它是或計劃是”完全去中心化的”,並不影響其在BSA下作為金融機構的地位。
儘管如此,BSA所涵蓋的許多現有DeFi服務未能遵守反洗錢/打擊資助恐怖主義的義務,這是非法行為者利用的一個弱點。行業參與者對AML/CFT義務如何適用於DeFi服務缺乏共同理解,加劇了這種風險。在某些情況下,行業供應商可能故意尋求去中心化虛擬資產服務,以避免觸發反洗錢/打擊恐怖主義的義務,而沒有認識到只要供應商繼續提供BSA監管涵蓋的服務,這些義務仍然適用。同時,一些以不透明的組織結構開發的DeFi服務可能會給監督帶來嚴重的挑戰,對於DeFi服務沒有遵守其反洗錢/打擊恐怖主義義務的情況,也會給適用的法定和監管義務的執行帶來挑戰。
該評估建議加強美國反洗錢/反恐融資監管,並在相關情況下對包括DeFi服務在內的虛擬資產活動進行執法,以提高虛擬資產公司對BSA義務的遵守。同時,聯邦監管機構應根據以前的指導意見、公開聲明和執法行動,與業界進一步接觸,解釋相關法律法規,包括證券、商品和貨幣傳輸法規如何適用於DeFi服務,並在必要時採取額外的監管行動和發布基於這種接觸的進一步指導意見。
該評估還發現,如果DeFi服務不屬於BSA規定的金融機構的現行定義範圍,即本評估中所說的“去中介”(disintermediation),則可能存在漏洞,因為這種DeFi服務選擇實施反洗錢/打擊恐怖主義措施的可能性降低。在DeFi服務不屬於BSA範圍的情況下,這可能導致DeFi服務在識別和阻止非法活動以及識別和向執法部門和其他主管部門報告可疑活動方面出現漏洞。在全球範圍內,根據反洗錢/打擊恐怖主義的全球標準制定機構金融行動特別工作組(FATF)制定的標準,缺乏對服務有足夠控製或影響的實體的DeFi服務可能不受反洗錢/打擊恐怖主義義務的明確約束,這可能導致DeFi服務在其他司法管轄區出現潛分歧。本評估建議加強美國的反洗錢/打擊資助恐怖主義的監管制度,彌補《銀行保密法》中任何已查明的漏洞,因為這些漏洞使某些DeFi服務不屬於《銀行保密法》中金融機構的定義範圍。
其他已查明的漏洞包括很多其他國家沒有執行國際反洗錢/打擊資助恐怖主義的標準,這使得非法行為人能夠在缺乏反洗錢/打擊資助恐怖主義要求的管轄範圍內使用DeFi服務而不受懲罰。此外,DeFi服務的糟糕網絡安全措施,使用戶資產被盜和欺詐,也給國家安全、用戶和虛擬資產行業帶來風險。該評估建議加強與外國合作夥伴的接觸,以推動更有力地實施國際反洗錢/打擊恐怖主義標準,並倡導虛擬資產公司改善網絡安全做法,以減少這些漏洞。
該評估強調,美國現有的反洗錢/反恐融資監管框架,加上適用於虛擬資產的全球反洗錢/反恐融資標準的逐步實施,在有限程度上緩解了已確定的脆弱性。這部分是由於DeFi服務目前依賴中心化虛擬資產服務提供商(VASP)來獲取法幣。中心化的VASP,在本報告中指的是沒有聲稱是去中心化的VASP,往往比DeFi服務有更簡單的內部結構,總是被覆蓋在FATF標準的監管範圍內,並且比DeFi服務更有可能實施反洗錢/反恐措施。
除了為DeFi服務制定行業驅動的合規解決方案外,使用公鏈數據的能力也可以幫助減輕一些非法金融風險。然而,這些措施和公鏈提供的透明度本身並不能充分解決已確定的漏洞,區塊鏈分析不能取代受監管的金融中介機構應用反洗錢/打擊恐怖主義控制的重要性。儘管如此,美國政府也應尋求進一步促進該行業合規工具的負責任的創新,私營部門的許多人已經在尋求這一途徑。
該評估認識到,包括DeFi服務在內的虛擬資產生態系統正在迅速變化。美國政府將繼續進行研究,並與私營部門接觸,以支持了解DeFi生態系統的發展,以及這些發展如何影響威脅、脆弱性和緩解措施,以應對非法金融風險。最後,本評估提出了幾個問題,這些問題將作為評估的建議行動的一部分來考慮,以解決非法金融風險,包括與處理不屬於BSA金融機構定義的DeFi服務有關的問題,以及需要進一步澄清的監管領域。
財政部歡迎利益相關者對這些問題提出意見。