TRM:DeFi 平台應該如何遵守制裁?

語言: CN / TW / HK
編譯 | GaryMa 吳説區塊鏈

前言

2021年,TRM labs 完成了完成 6000 萬美元 B 輪融資,Tiger Global 領投,它的業務是通過分析區塊鏈數據並將其打包到統計分析系統(SAS)應用程序和 API,使其客户能夠篩選錢包。在最新的 Tornado Cash 制裁事件中,孫宇晨等不少 AAVE 用户因為遭到 0.1 ETH 粉塵攻擊一度禁封,就是出自 TRM Labs 手筆,因為“在 Aave IPFS 前端集成了 TRM 的 API”。隨後 AAVE 在遭到大量投訴後解除了對粉塵攻擊受害者的前端封鎖。TRM 如何看待 Tornado Cash 事件對 DeFi 行業帶來的挑戰,又應該如何遵守與應對,請閲讀以下全文:

在美國財政部外國資產控制辦公室(OFAC)於 2022 年 8月 8 日對基於以太坊的去中心化加密貨幣混合服務 Tornado Cash 進行制裁後,DeFi 實體一直在努力瞭解如何最好地減輕制裁風險。

以下是關於這一過程如何運作的一些重要細節:

  • 所有美國人和實體,無論位於何處,都必須遵守 OFAC 的制裁。這意味着所覆蓋的 DeFi 實體必須遵守美國的制裁,否則將面臨嚴重的處罰。
  • 由於對違規行為的處罰可能很嚴重,許多 DeFi 實體已經實施了制裁合規計劃。每個實體都根據自己獨特的環境和風險容忍度制定了自己的制裁計劃和政策。
  • 選擇遵守美國製裁法的實體通常利用第三方數據供應商,如 TRM 實驗室,來獲得區塊鏈地址的制裁風險數據。就 TRM 而言,我們不參與任何對特定地址的封鎖,並將我們的風險數據提供給客户,供其在合規計劃中使用。使用 TRM 的組織配置他們自己的設置和風險閾值,以確定哪些地址需要封鎖或凍結。
  • 在 Tornado Cash 的例子中,它允許人們在沒有該錢包所有者參與的情況下向一個地址發送資金,以前沒有造成問題(例如,封禁與受制裁地址進行交易的地址等)的政策決定,現在由於粉塵攻擊導致了一些問題。
  • 這些情況引發了許多 DeFi 接口審查和重新配置其設置的迫切需要,我們的團隊與客户密切合作,為他們提供額外的選擇,以便在這些新情況下更好地過濾交易數據。同時,也導致了許多 “無意”受到制裁的用户被平台拒之門外。
  • 由於這些制裁具有前所未有的性質,行業領導者正在與政府官員接觸,以傳達這些問題對 DeFi 平台的複雜性,並瞭解在處理那些無意中與受制裁地址進行交易的地址方面存在哪些法律要求。
  • TRM 將繼續與行業合作,提高制裁合規實施的有效性。例如,TRM 引入了 "有時間限制的歸屬",避免將制裁風險傳播給在指定前與 Tornado Cash 互動的地址。
  • 如果未來的指導意見要求對 TRM 對鏈上制裁敞口數據的披露方式做出任何改變,並且行業集體對這些 OFAC 制裁的範圍和應用更加清晰,我們將採取必要的行動,繼續提供準確的數據集,為加密貨幣行業遵守適用法律和法規的能力提供最佳支持。

制裁如何適用於加密貨幣行業

在美國,OFAC 負責管理和執行鍼對外國目標國家、地理區域、實體和個人的經濟制裁,以促進美國的外交政策和國家安全目標。作為這些工作的一部分,OFAC 維護了一個特別指定國民(SDN)名單,其中包括指定的實體和個人。自 2018 年以來,OFAC 已將388 個區塊鏈地址添加到 SDN 列表中,其中包括 45 個最近添加的與 Tornado Cash 相關的地址。

一般來説,如果 OFAC 將個人或實體列入 SDN 名單,則意味着該人在美國的資產和/或財產可以被封禁,並且禁止所有美國個人和/或美國實體與指定方進行交易。

違反制裁的後果很嚴重。OFAC 可以根據嚴格的法律責任標準對違反制裁規定的行為進行民事處罰。這意味着,美國個人或企業可能會因違反制裁而承擔民事責任,即使不知道或沒有理由知道它正在違反制裁。然而,在違反制裁的刑事起訴方面,政府的標準要高得多,即政府必須在合理懷疑之外證明違反了制裁。

關於 DeFi 協議和前端應用於監管環境(目前是圍繞受監管的金融機構形成的)的爭論仍在繼續,但即便如此,大多數法律專家仍同意,與任何美國相關的 DeFi 前端應用都必須遵守美國的制裁法律。對不合規的懲罰可能會很嚴厲,因此大多數加密公司都實施了制裁合規計劃。每家公司都制定自己的制裁計劃,並根據公司所在地、提供的產品和服務以及最終由誰監管等因素設定自己的風險承受能力。

對於加密公司來説,這通常包括阻止加密貨幣地址使用其在 OFAC 的 SDN 列表中明確列出的服務,以及阻止來自制裁國家的 IP 地址。加密貨幣公司和非加密貨幣公司都可能選擇採取額外措施來減輕制裁和其他法律風險,例如進行 KYC,對資金來源進行調查(例如,查看地址的資金是否來自制裁地址或來自最近的協議黑客),或針對制裁國家篩選 IP 地址。

Tornado Cash 為遵守制裁帶來了新的挑戰

Tornado Cash 的指定是 OFAC 第一次制裁以太坊區塊鏈上的一套智能合約。智能合約本質上是一個上傳至區塊鏈的軟件程序,通常任何人都可以與之互動。智能合約可以被編程為 "不可篡改的",這意味着它們不能被刪除或更新。

從歷史上看,當一個人被添加到 SDN 名單上時,無論是 TradFi 還是加密貨幣,任何向該人發送資金或從該人那裏接收資金的人通常都違反了制裁法。這是因為,在絕大多數情況下,個人顯然是故意與受制裁的人或實體進行交易的。

從合規和執法的角度來看,Tornado Cash 的指定具有挑戰性,因為任何將資金存入 Tornado Cash 的人都可以觸發 Tornado Cash 的智能合約,將資金髮送到任何其他以太坊地址。理論上,有人可以向 Tornado Cash 發送資金,然後指定將這些資金存入一個完全不相關的加密貨幣地址,屬於一個隨機的、毫無戒心的、甚至不願意的人。

在被指定後的幾天裏,我們看到參與者利用這種能力,可能是為了抗議OFAC 制裁 Tornado Cash 智能合約的新決定,主動從 Tornado Cash 發送資金到與知名人士和名人相關的加密貨幣地址。

這些所謂的粉塵攻擊為試圖遵守制裁法律的加密公司帶來了許多重大問題,包括:

1、加密行業實體是否應封禁與受制裁地址(如 Tornado Cash)進行交易的地址?即使這些地址沒有被制裁,如果加密貨幣公司和與 Tornado Cash 交易過的地址互動,是否會面臨制裁風險?

2、如果是的話,加密貨幣公司應該如何對待那些從粉塵攻擊中未經請求而收到資金的地址?是否期望加密貨幣公司確定制裁或相關敞口是 "真實的" 還是"非故意的"?

3、對 "DeFi前端" 或為用户提交交易到區塊鏈提供接口的網站的要求,是否不同於對受監管的金融機構或甚至 web2 公司的託管網站的要求?

關於 DeFi 前端

去中心化金融("DeFi")協議通常是指一個或多個智能合約,它們共同促進區塊鏈上的金融活動。智能合約是在區塊鏈網絡上運行的持久性計算機程序。智能合約與傳統的計算機程序不同,因為它們可以在開源網絡上運行,任何人都可以使用。智能合約的獨特之處還在於,它們可以作為永久的計算機程序安裝在區塊鏈上,不能被修改。

任何人都可以通過 JSON-RPC 和 web3.js 等開源軟件協議和庫與 DeFi 協議和以太坊上的其他智能合約直接交互。然而,大多數人使用由第三方建立的網絡應用程序和錢包,簡化了與 DeFi 協議的交互。這類似於電子郵件。雖然任何人都可以用 SMTP 協議發送電子郵件,但大多數人使用第三方電子郵件客户端,如 Gmail 或 QQ 郵箱,將 SMTP 協議包裝在一個易於使用的界面後面。可能有多個錢包供應商和網站("DeFi前端"),讓人們輕鬆連接到特定的 DeFi 協議,就像有多個流行的電子郵件客户端建立在通用的 SMTP 協議上一樣。

DeFi 前端(也被稱為 DeFi 接口)通常被設計成自動運行,只需最小的人工干預。它們可能是無服務器的,託管在 IPFS 等點對點數據網絡上,並使用開源代碼。

DeFi 前端正越來越多地實施制裁規定

根據 OFAC 提供的指導,許多主流的 DeFi 前端已經實施了制裁篩查,以從他們的網站上阻止列入 SDN 名單的區塊鏈地址。

雖然任何人都可以手動搜索 OFAC 的網站,查看加密貨幣地址是否被制裁,但許多企業選擇使用第三方數據供應商,該供應商從多個制裁機構(如美國、英國、聯合國)彙總數據,與公共區塊鏈的交易數據配對,並通過 API 交付。這就是允許平台在一天內處理數十萬筆交易,而不對用户體驗造成重大延誤或干擾的原因。

DeFi 前端如何使用 TRM 錢包篩查來遵守制裁規定

TRM 的錢包篩選功能允許組織查詢關於鏈上地址或交易的數據,以檢測制裁或反洗錢風險。當一個組織向 TRM 請求關於一個地址的數據時,它只向 TRM 發送區塊鏈地址。沒有其他標識符被髮送到 TRM。

請求機構可以從 TRM 的 API 中獲得的可選數據點包括:

  • 地址是否出現在制裁列表中,或是否與制裁列表中的實體相關聯(“所有權風險”)
  • 地址是否已與受制裁的地址進行過交易(“交易對手方風險”)
  • 地址是否從一個受制裁的地址收到資金或通過多個 "跳轉" 向其發送資金("間接風險")

TRM 客户能夠配置他們的設置,以指定他們想從 TRM 的錢包篩選 API 中檢索哪些信息。

DeFi 前端可以選擇查詢 TRM 的 API,只檢測"所有權制裁風險",或本身受到制裁的地址,並阻止任何受到制裁的地址。

中心化交易所可以選擇查詢 TRM 的 API,以檢測 "所有權制裁風險" 和 "對手方制裁風險"。鑑於額外的反洗錢要求,中心化服務供應商通常會查詢更大範圍的風險。他們通常還保留合規工作人員,在採取緩解措施之前審查風險警報。

TRM 如何與行業合作,以確定更有效的制裁篩選實踐

TRM 通過允許組織根據許多參數查詢數據來實現細化配置:

  • 區分多種類型的制裁風險,包括所有權風險、對手方風險和間接風險。
  • 根據資金轉移的規模定製數量閾值。
  • 過濾一個地址的對手方風險,只顯示與受制裁地址在制裁指定日期後發生的交易。

每個組織根據自己的情況和風險容忍度制定自己的制裁政策。各組織可能會根據它們的運營地點、它們的建立方式(中心化、去中心化或介於兩者之間)、它們提供的服務以及它們是否有額外的監管要求(如反洗錢/ KYC)而採取不同的方法。值得注意的是,關於一個組織選擇在其平台上允許哪些地址和交易的決定,仍然是平台本身的唯一自由裁量權;TRM 不能阻止任何區塊鏈地址或交易。

隨着粉塵攻擊的出現,將對手方的制裁風險傳播到無辜地址,TRM 正在開發向客户提供額外數據點的方法,使他們能夠估計 "真實" 和"來路不明" 的制裁風險。然而,如果沒有監管機構對粉塵攻擊影響的明確指導,TRM 無法在不給客户帶來風險的情況下駁回可疑的粉塵交易,因為這些客户依賴 TRM 提供真實和完整的鏈上數據。

展望未來

TRM 致力於打造創新產品,最終支持加密經濟的增長。具體來説,通過使加密公司和平台遵守適用的法律,並限制威脅行為者使用加密貨幣進行非法活動的能力,如恐怖主義融資和黑客攻擊,這些活動影響成千上萬的加密用户的生計。我們將繼續與整個加密生態系統的客户和領導者合作,以構建更安全的金融體系。