文/ TRM Insights,譯/金色財經xiaozou
近日,美國財政部發布了《去中心化金融非法金融風險評估》(Illicit Finance Risk Assessment of Decentralized Finance)(以下簡稱“評估”)。
該評估是對2022年9月白宮數字資產框架的回應,該框架特別要求財政部為去中心化金融(DeFi)進行風險評估。該評估致力於對DeFi進行明確定義——根據美國財政部的說法,DeFi一詞“在虛擬資產行業經常被濫用”——並列舉了一些非法金融風險。
然而,最值得注意的是,財政部認為DeFi活動應需履行《銀行保密法》(BSA)反洗錢(AML)義務。這是我們第一次看到美國政府對DeFi如此強烈鮮明的態度。最後,評估尋求行業參與,以了解在去中心化領域裡可行的合規形式,特別是如何激勵DeFi服務實施某種形式的“反洗錢”管控。
該評估內容包含了迄今為止美國政府對DeFi進行的最全面的討論,並提出了一種觀點,那就是即使是真正的(或多或少)去中心化服務也應該實施“反洗錢”合規操作。在某些方面,大力實施傳統的“反洗錢”合規有悖於DeFi的發展——DeFi依賴於非中介化軟件,而不是合規團隊。
以下是評估的關鍵內容:
(1)定義很重要
在DeFi領域,有很多關於定義的討論,因為去中心化金融有很多種形式。
在金融行動特別工作組(FATF)2021年10月發布的指導意見中,全球“反洗錢”標準制定者提出了“所有者/運營商”測試,認為“有控製或影響力的創造者、所有者和運營商”應是負有“反洗錢”義務的虛擬資產服務提供商,即使項目看起來可能是去中心化的。 FATF在第一次進行DeFi和AML討論時曾指出,“控制”包括對項目施加控製或與用戶保持持續性關係。
財政部借鑒了FATF的觀點,指出:“目前,即使在行業參與者中,也沒有達成普遍認可的DeFi定義,或者對可以使產品、服務、安排或活動’去中心化’的特徵達成一致。”財政部解釋說,這個術語廣泛用於指代通過使用自動執行軟件實現點對點交易的協議和服務。財政部和FATF一樣,試圖區分真正的去中心化軟件和只是簡單地聲稱自己為DeFi但實際上具有中心化屬性的實體。
雖然評估在定義上投入了不少時間,但並沒有得到一個確定的定義。服務是否是去中心化的,或者“僅是名義上的DeFi”,仍然屬於個案。在確定監管義務時,這種個案審查將變得非常重要。
(2)重大新聞:某些DeFi服務可能負有BSA規定的反洗錢義務
評估報告指出,美國的“反洗錢”義務是基於活動的,並聲稱BSA要求像金融機構一樣運營的實體“建立並實施有效的反洗錢計劃”,並遵守OFAC的製裁。財政部聲稱,“雖然一個人的中心化程度可能會影響其提供的服務,但從事BSA所定義的金融機構活動的人,無論他們是集中的還是分散的,都將負有這些義務。”
上面提到的這一點非常重要,因為它可能會將完全基於軟件的DeFi服務與擁有合規團隊和其他執行“反洗錢”義務所需資源的大型金融機構劃歸同一範疇。
“例如,如果一個DeFi服務業務完全或大部分在美國開展,並以任何方式在一個人和另一個人或地點間接受並傳輸虛擬資產,那麼它很可能具有貨幣傳輸主體資格,並負有與提供法定貨幣服務的貨幣傳輸主體相同的反洗錢/反恐融資義務。只要服務符合這個定義,去中心化程度就與這些義務無關。”
(3)犯罪分子仍然需要提取資金
評估列舉了DeFi生態系統中的一些非法融資風險。這些風險本質上與中心化加密領域中的風險相同。該報告指出了洗錢、勒索軟件、盜竊(如閃電貸和黑客攻擊),以及殺豬盤等騙局。
在洗錢方面,評估討論了跨鏈橋、去中心化交易所(DEX)、混幣器和流動性池等“DeFi服務”被用於洗錢的現象。換句話說,評估報告稱,DeFi正在被用於洗錢過程中的非法資金的分層。然而,該報告確實指出——與我們在鏈上看到的情況一致——非法行為者依靠中心化交易所提取資金並將其轉換為更加可用的法幣。換句話說,對於洗錢來說“條條大路通VASP(虛擬資產服務提供商)”。中心化VASP必須實施“反洗錢”管控,而那些沒有這麼做的VASP,以及它們所在的國家,都是監管機構和國際標準制定者的目標。
報告中強調的DeFi的一個顯著漏洞是DeFi生態系統中黑客和盜竊行為的激增。據TRM稱,2022年是黑客攻擊的創紀錄一年,約37億美元資金被盜。針對DeFi項目的攻擊尤為常見,大約80%的被盜資金(30億美元)殃及到DeFi用戶。跨鏈橋黑客攻擊的規模是其他攻擊的15倍。然而,我們也看到區塊鏈情報工具和事件響應程序在追踪DeFi生態被盜資金方面變得越來越先進。
(4)有一些方法可以降低風險
雖然評估的重點是風險,但評估確實花了大量時間研究如何降低這些風險,包括使用當前的“反洗錢”監管框架(如BSA),以及在全球範圍內實施FATF標準。雖然報告指出,公共區塊鏈允許更高透明度,可以在金融犯罪調查中使用區塊鏈情報信息,但財政部稱,調查受錢包和交易匿名性的限制,很難將它們與現實世界中的實體聯繫起來。財政部認為,這是隨著混幣器的應用以及加密貨幣的匿名性而加劇的,但同時,像TRM這樣的區塊鏈情報工具也不斷隨著這些新興技術發展演變。
財政部指出,潛在的技術解決方案可以降低風險,如區塊鏈情報工具、數字身份和零知識證明,“潛在的解決方案都旨在支持履行AML/CFT義務的各種要素,同時最大限度地提高用戶隱私,包括通過數字身份技術支持DeFi服務的身份驗證,可以通過用戶在公共區塊鏈上的交易歷史幫助驗證。”
(5)財政部呼籲各方共同努力
雖然報告的大部分內容是關於風險和漏洞,但在最後幾頁呼籲美國政府與業界合作,“進一步闡明適用法規如何應用於DeFi服務”,並根據反饋進一步給出指導意見。財政部還呼籲繼續研究不斷發展的技術、私營部門的參與,以及關注DeFi領域的網絡彈性。此外,財政部還呼籲美國政府與開發工具的私營實體進行合作,努力推動創新解決方案。
報告的建議總結如下:
-
加強美國對虛擬資產活動的反洗錢/反恐融資監管。
-
評估適用於DeFi服務的美國反洗錢/反恐融資監管制度的優化可能性。
-
繼續進行研究,加大私營部門參與力度,以支持對DeFi生態系統發展的理解。
-
繼續與外國夥伴合作。
-
倡導加強虛擬資產公司的網絡彈性、代碼測試和強大的風險信息共享。
-
促進負責任的降低風險措施創新。
結論
儘管美國財政部明確表示,風險評估並沒有“設立新的監管預期”,但它提供了一個內容詳實的窗口,讓我們了解美國財政部如何看待“反洗錢”義務在DeFi生態系統中的作用,並概述了在一個真正去中心化的領域裡,由誰監管以及如何監管的更廣泛的全球討論。
該風險評估報告確實實現了預設目標,即評估風險。但同樣重要的是,要認識到DeFi為金融和打擊金融犯罪所帶來的機遇。 TRM的Ari Redbord在最近的CFTC技術諮詢委員會(TAC)會議上的開場講話中強調了這一點。簡而言之,正如Ari所說的那樣,“DeFi實現了一個點對點金融服務的生態系統,擺脫了困擾我們當前系統的諸多問題。以互聯網的速度進行點對點跨境價值轉移。這就是承諾。”正如報告所認同的那樣,區塊鏈技術也有能力提高金融犯罪合規的有效性,因為監管機構現在有能力在不可篡改的賬本上實時查看金融交易。