律师解读:反洗钱法大修,Web3.0 行业六大赛道的安全风险现状
作者:邵诗巍、刘红林律师
2024年4月23日,《中华人民共和国反洗钱法(修订草案)》(以下简称“《修订草案》”)提请第十四届全国人大常委会第九次会议审议。这是自2007年《反洗钱法》出台后的首次大修。
复旦大学中国反洗钱研究中心执行主任严立新表示,当前最主要的、最紧迫的、也是最有必要上升到法律层面去解决的,就是涉及到虚拟资产的洗钱问题。利用加密货币、虚拟资产进行洗钱逐渐成为一个主流趋势,但我国法律对于虚拟资产的内涵和外延缺乏清晰的定义。
虚拟货币作为区块链技术的典型应用,因其具有的匿名性、跨境性、不可追溯性、高度流动性等特征,正在越来越广泛被用作违法犯罪行为洗钱的工具。据公安部第三研究所信息网络安全公安部重点实验室及欧科云链研究院统计数据显示,洗钱、诈骗、传销、赌博是2022年最常见的四种虚拟货币犯罪形式,其中54.72%的虚拟货币犯罪与洗钱相关,21.13%与诈骗相关。据不完全统计,目前超过60%以上的电信诈骗资金最后都通过虚拟货币洗白。
虽然全球各国对区块链、Web3.0、虚拟货币等的认识和态度有较大区别,各个国家的监管政策也并不统一,但在反洗钱和预防犯罪层面,是各国的共识。我国于2007年成为FATF(金融行动特别工作组,国际上最具影响力的政府间反洗钱和反恐怖融资组织)正式成员。2019年2月,我国基本通过了FATF的第四轮评估。FATF在我国第四轮评估后续报告中指出我国特定非金融机构反洗钱、受益所有人制度、反洗钱金融制裁、监管机构现场检查等供给存在不足等问题。我国将于2025年~2027年接受FATF的第五轮互评。
在未来,利用虚拟货币洗钱将会是一个主流趋势,应当作为我国未来监管的重点。2022年1月,公安部在京召开的新闻发布会上通报:2021年全国破获虚拟货币洗钱类案件259起,收缴虚拟货币价值110亿余元。据相关数据统计,当前新型网络犯罪中70%-80%与虚拟货币有关,据成都链安统计显示,2023年利用虚拟货币洗钱损失超273亿元。
对于Web3行业的创业者而言,在当前我国反洗钱法首次大修的背景下,需要全面了解行业内的潜在的洗钱等安全风险、法律风险及其可能引发的严重后果,并采取相应措施以防范和降低这些风险。这不仅关乎到项目的稳健运营,整个行业的健康发展,更关乎到国家安全、社会公共利益及金融秩序。
上述文字来自邵诗巍律师。
本次主题分为三大部分展开:
- Web3.0行业六大赛道的安全风险现状
- 无论是国内外,Web3.0创业者都应重视反洗钱合规
- 反洗钱监管全球趋严背景下,Web3.0行业创业者应如何应对?
本文是本次主题的第一部分——『Web3.0行业六大赛道的安全风险现状』
本节从Web3的六大行业角度出发,对Web3行业本身所固有的安全风险以及这些行业可能被用作洗钱工具的风险进行讲解。旨在揭示行业内的潜在威胁,并引发从业人员对于反洗钱风险意识、法律合规意识的重视。
公链、跨链桥、交易平台、钱包、DeFi和NFT作为Web3行业的六大主要赛道,在2023年共发生安全事件435起,造成损失约79.83亿美元(折合人民币约578亿元)。
公链
概述:
公链就是利用区块链技术搭建的去中心化云服务器,用来托管和运行各种去中心化应用,是Web3的基础网络服务,典型代表有BTC、ETH、BSC、SOL等。同时满足去中心化程度高、安全程度强、高性能这三点,是所有公链追求的目标,但这又是个“不可能三角”。例如BTC公链以牺牲性能换取了去中心化和安全性,ETH以牺牲安全性换取了去中心化与性能。
据不完全统计,截至2023年12月,目前公链有194 条。以公链生态市值来看,据coingecko数据,以太坊、BNB Chain、Solana 生态位居前三。当前,公链生态总市值已超万亿美元。截至2023年12月,据统计,公链赛道发生安全事件13起,累计损失资产金额超2.8亿美元。
当前,众多公链之间通过跨链桥技术实现了互联互通,这一特性使得一旦某个公链遭遇问题,其影响能迅速扩散至其他连接的公链,形成连锁反应。这种迅速的传播不仅问题严重,处理起来也相当棘手,会对整个公链生态体系的稳定性和安全性构成严重威胁。
典型案例:
2022年10月7日,智能合约平台币安链(BNB Chain)遭遇黑客攻击,短短2小时,黑客凭空增发200万个BNB,并跨链到其他公链上,再通过各自公链上的DEX市场将增发的“假BNB”换成真金白银,金额超过7亿美元。
跨链桥
概述:
由于每个公链之间是互不相通的,当投资者在不同的公链上进行投资、质押等活动时,受限于不同链上的共识机制,当投资者需要进行资产的整合或转移时,就需要跨链技术来实现。而跨链桥,就是进行技术和资产传输所必备的「桥」,它并不是物理意义上的“桥”,而是通过一些协议和技术,使用户能够在不同的公链之间,互相转移资产。据统计,仅2022年上半年发生的7起跨链桥攻击事件,共计损失金额约11亿3599万美元。
根据 Chainalysis 数据,2023 年,非法行为者利用桥接协议进行洗钱的情况大幅增加,尤其是在加密货币盗窃中。如图所示,桥接协议在 2023 年从非法地址接收了 7.438 亿美元的加密货币,而 2022 年仅为 3.122 亿美元。例如朝鲜黑客团伙Lazarus Group,将跨链桥与混币器技术相结合已成为其洗钱的重要手段。
典型案例:
2022年3月29日晚间,区块链游戏Axie Infinity背后的Ronin链上的资金被盗。此次被盗发生在3月23日,但直到3月29日才被发现。本次攻击造成的损失约6.24亿美元(包括173,600 ETH和 2550 万 USDC),这也是迄今损失最为惨重的跨链桥安全事故。Ronin的被盗资金并未能追回,最终由Axie Infinity 及 Ronin 链开发公司 Sky Mavis对用户进行了赔付。
2、跨链项目被用于洗钱
2022年8 月 10 日,区块链分析公司 Elliptic 表示,跨链协议 RenBridge 被用于至少 5.4 亿美元的非法资金洗钱交易。
2023年5月21日,知名的跨链项目Multichain首席执行官Zhao Jun被国内警方从家中带走,并与全球Multichain团队失去了联系。Multichain被抓,据公开媒体报道,其涉及为犯罪集团洗钱,金额巨大。
交易平台
概述:
交易平台,或者说数字货币交易所、加密货币交易所,主要功能包括:为用户提供虚拟货币买卖服务、为用户存储和管理虚拟资产、为用户提供虚拟资产借贷服务等。据coingecko数据,截至2023年12月,加密货币交易所共有887个,其中中心化交易所有224个,去中心化交易所有663个,衍生产品交易所94个。据统计,2023年,加密货币交易所发生安全事件19起,累计损失资产金额超12亿美元。
典型案例:
2023年11月21日,美国司法部官网发文称,运营着全球最大加密货币交易所Binance.com的币安控股有限公司(Binance Holdings Limited,简称Binance)承认参与涉嫌洗钱、无证汇款和违反制裁的行为,并同意支付43亿美元罚款(被没收25亿美元,以及支付18亿美元的刑事罚款)。同时,币安创始人兼首席执行官(CEO)赵长鹏承认自己未能维持有效的反洗钱计划,并已辞去Binance首席执行官的职务。
11月21日下午4点36分,币安创始人赵长鹏发布推文称,在当天辞去了币安首席执行官的职务,并表示“我犯了错误,我必须承担责任”。
美国司法部指出,币安没有实施有效的反洗钱计划。多年来,币安允许用户在不提交电子邮件地址以外的任何身份信息的情况下,开立账户和进行交易。同时,美国的制裁法禁止美国人与其受美国制裁的客户进行交易,包括伊朗等受到全面制裁的司法管辖区的客户。尽管如此,币安并没有实施阻止美国用户与伊朗用户交易的控制措施,在2018年1月至2022年5月,币安故意失职导致美国用户与通常居住在伊朗的用户之间的交易超过8.98亿美元。
“币安在追求利润的过程中对自己的法律义务视而不见。它的故意失职让资金通过它的平台流向恐怖分子、网络罪犯和虐待儿童者。”美国财政部长珍妮特·耶伦表示,“为了确保遵守美国法律法规,今天的历史性处罚和监督标志着虚拟货币行业的一个里程碑。任何想从美国金融体系中获益的机构,无论位于哪里,都必须遵守保护我们所有人免受恐怖分子、外国敌对势力和犯罪侵害的要求,否则将面临后果。”据科技网站GeekWire,琼斯法官在法庭上表示,币安具体违反联邦银行保密法的行为“在数量、规模和规模方面都是前所未有的”,且对潜在的恐怖主义融资和贩毒“基本上视而不见”。
2024年4月30日,币安创始人兼前首席执行官(CEO)赵长鹏因未能防止交易所洗钱被判处4个月监禁。
钱包
概述:
Web3的钱包,也称加密货币钱包或数字资产钱包,是存储和管理、使用数字货币的工具,据统计,截至2023年12月,数字钱包项目数量共有153个。2023年,数字钱包发生安全事件35起,累计损失资产金额超6亿美元。
数字钱包相关的洗钱犯罪主要体现在两个方面,首先是钱包自身的安全性能不足导致的被黑客攻击,用户资产丢失;其次是由于数字钱包无需KYC,且仅需提供地址(一连串的数字和字母的代码组成),不需要银行等提供中介服务,其匿名性、跨境性特征天然适合作为不法分子洗钱的工具。
典型案例:
1、热钱包被盗
概述:
DeFi,即去中心化金融,是一种用于构建开放式金融系统的去中心化协议。在当前的DeFi生态中,项目种类繁多,按功能划分,主要包括了交易、借贷、资产管理、稳定币、金融设施、保险、衍生品、交易平台等多个方面。据统计,从Web3各项目赛道来看,DeFi 仍然是最常受到攻击的领域。2023 年 DeFi 安全事件共 282 件,占事件总数的 60.77%,损失高达 7.73 亿美元。
DeFi大部分产品都是基于智能合约和交互协议构建,代码普遍开源,越来越庞大的DeFi生态中,不同DeFi产品间的组合流通和资产共享,导致由此产生的安全问题越来越多。根据国外区块链公司Chainalysis的报告数据显示,从非法地址发送到加密资产服务机构的资金总额中,DeFi 的占比越来越大。DeFi项目在2021年接收到的非法资金较2020年增长约1900%,占所有被监测到的非法资金的19%,到了 2022 年,DeFi 协议已成为非法资金的最大接收者,在与犯罪活动相关的地址发送的所有资金中占比 69%。
典型案例:
朝鲜黑客使用DeFi协议洗钱
NFT
概述:
NFT(Non-Fungible Token,非同质化代币),是存储在区块链上的一种数字资产,具有独一无二、稀缺、不可分割的属性。主要应用于游戏、艺术品以及域名等。据不完全统计,截至2023年12月,NFT赛道发生安全事件共计44起,累计损失资产金额约为6200万美元。
典型案例:NFT清洗交易
根据Chainalysis统计,在2021年的第三、四季度中,绝大多数涉NFT的非法加密资产来自于与诈骗相关的地址,这些地址以加密货币购买了NFT,此外还有大量被盗资金被发送到NFT市场中。
根据分析数据确认的清洗交易者获利情况,有262个地址用户属于习惯性的NFT清洗交易者,其中152个没有盈利,而另外的110个通过清洗交易获利近890万美元。