近期,比特幣與其他數位貨幣的交易極度熱絡,不只是價格飆升,在實際應用上也不斷傳出好消息,特斯拉、Paypal、Visa 都相繼接受比特幣,美國金融科技公司 Square、中國軟體公司美圖秀秀等機構投資人大舉入場,再加上 NFT 交易平台的崛起,都為數位貨幣創造了前所未有的需求與應用。於此同時,如何追蹤數位貨幣的金流、如何確保交易所的風險、如何預防惡意詐騙、不當吸金與洗錢,對於交易所、投資人、普通用戶與主管機關,都是一大挑戰。
行政院近日正式劃定洗錢防制法第五條虛擬通貨平台及交易業務事業之範圍,被劃定在此條命令之下的相關業者,包括交易所、虛擬通貨間交換與移轉、提供保管與管理工具、參與及提供虛擬通貨發行或銷售之相關金融服務,都必須要落實認識客戶(know your customer, KYC)與洗錢防制之義務,執行身份驗證、實地查核、交易監控與通報等等,自今年 7 月 1 日起生效。
作為數位貨幣產業的一員,雖然 XREX 主要市場為海外新興市場,我們仍非常鼓舞於台灣行政院的決定,這展現了主管機關以正面且積極的態度,試圖對區塊鏈這個新一波的新科技浪潮做出規範,這將有利於台灣區塊鏈產業的發展。
過去兩年多以來,XREX 深刻體會,如果沒有好的反洗錢工具輔助,就很難將出「入金」的金流品質防守好,也就很難保障我們的用戶的「出金」安全:
一、 出金,一定都是非常乾淨的加密貨幣
二、 出金,不會不小心轉至不法錢包:恐怖組織、受制裁、犯罪、詐騙、槍枝毒品等
要防守好入金,就必須有技術與資料庫,分析入金來的加密貨幣,其過去金流所通過的交易所,是否為高風險的交易所。本文就讓我們帶大家進入加密貨幣反洗錢分析的世界,透過三個實例(Coinbase、LocalBitcoins、MorphToken)分享 XREX 過去使用的工具與經驗,以及 XREX 在自家產品中開發的洗錢防制功能,期待能與大家有更多的討論。
矽谷區塊鏈防洗錢機制 CipherTrace
XREX 使用美國矽谷的區塊鏈防洗錢機制 CipherTrace,一方面可以自動分析金流風險,一方面對於高風險指數的金流,我們的四位反洗錢分析師,可以用很直覺的方式,搜尋並了解一個加密貨幣平台(或錢包)的風險層級,並進一步分析出各平台的資金流向及分類。
目前 CipherTrace 的資料庫中,已經累積超過 80 個國家的 850 家數位資產服務商(virtual asset service providers,簡稱 VASPs)的數據與資料,包括著名的交易所幣安、Kraken、Coinbase、FTX等等,也涵蓋錢包服務供應商、比特幣 ATM 等服務商。
[實例一:Coinbase]
我們用 CipherTrace 來檢視知名加密貨幣交易所 Coinbase ,Coinbase 近日在納斯達克上市,交易代號「COIN」,作為首家公開上市的大型加密貨幣交易所,Coinbase 所受的關注極大。
站在反洗錢的角度看 Coinbase,CipherTrace 可以告訴我們什麼呢?
一、 數位貨幣出入金的最大對象,都是幣安,表示雙方使用者重疊度高,也表示雙方金流往來密切,金流的乾淨度,將彼此牽連。
二、 數位貨幣入金的第三大來源是火幣,第六大來源是 OKEx。(這代表什麼呢?中國用資金的入金很多?)
三、 數位貨幣出入金第五大來源,都是造市商 Cumberland,同時,造市商與服務商,佔入金的 11.59% 與出金的22.16%,表示 Coinbase 上機構投資人交易比例很重。
四、 數位貨幣出金的第二大對象,是神秘的「OTCTrader014」,但此單位卻不在前十大入金榜上。一種可能的解釋為:「OTCTrader014」過去兩個月內,主要透過法幣,入手大量比特幣,並且不留於 Coinbase 上,而自有外部的錢包。
五、 支援隱私幣
作為一家那斯達克掛牌的交易所,Coinbase 還能夠支援隱私幣(匿名幣),是很不容易的。隱私幣是利用區塊鏈技術刻意打造匿名且不易追蹤的特性,最著名的隱私幣是門羅幣 (Monero, 代號 XMR) 和Zcash。
當然,支援隱私幣不代表就是非法,許多商業資訊、個人資產的保密與隱私權的保護,讓隱私幣廣受歡迎;但是其特性也很容易被恐怖份子與非法活動利用,成為黃、賭、毒的最佳洗錢工具。支援隱私幣,必定增加 Coinbase 在反洗錢方面執行的困難度與風險指數。
加密貨幣產業,一直以來都嘗試在保護隱私與犯罪防治之間取得平衡,如何在確保自由、金融自主與隱私的同時,防止非法活動與惡意詐欺,確實是一大考驗。
六、 支援法幣
Coinbase 是一家「法幣交易所」,圖中可看出,CipherTrace 可以目前紀錄了 Coinbase 有跟五家傳統銀行合作,點進去,可以看到每一家傳統銀行的詳細資料、Coinbase 的帳號、以及 SWIFT 代碼等。這些資訊,對於法幣反洗錢的分析工作,非常有用。
七、 KYC 執行嚴格
在下方的平台截圖可以看到,Coinbase被標示為綠燈,代表其KYC的執行程度嚴格。
八、 金流往來對象單純
Coinbase 金流進出幾乎都在安全範圍內,99%來自一般交易所、數位貨幣服務商和礦工。
綜合來說,Coinbase 在美國管轄之下,屬於加密貨幣規範管制較為健全的環境,可以看出其在用戶資料、身份驗證與風險控管上,做出了非常多的努力,也直接體現在 CipherTrace 的評等與數據當中。
[實例二:LocalBitcoins]
再以場外交易的知名老牌交易所 LocalBitcoins 為例,先前我們就是透過 CipherTrace,偵測到 XREX 的第一起可疑比特幣洗錢案,後續我們近一步使用 CipherTrace 分析 LocalBitcoins 2009-2021 的資金流向,發現:
一、 KYC 評等目前是黃燈(前一陣子還是紅燈,因為沒有執行 KYC)。
二、 入金前五大來源:幣安、火幣、Kraken、Gemini、Bittrex,都是國際大交易所。這表示 LocalBitcoins 金流雖然不乾淨,卻還未不乾淨到被大部分大型交易所拒絕。
三、 出金數據看起來非常恐怖,前兩名是 AgoraMarket 與絲路,都是知名的黑市。第三名 BTC-e 是 2017 年被美國檢調查封的俄羅斯交易所。
四、 部分錢包住址被美國外國資產控制辦公室(The Office of Foreign Assets Control,簡稱OFAC)制裁,標識為北韓知名駭客組織 Lazarus 所使用。
[實例三:MorphToken]
去年 6 月,駭客組織 Blueleaks 洩露了一份美國聯邦調查局報告,報告指出,犯罪集團正在使用巴拿馬交易所 MorphToken,將非法來源的的比特幣換成門羅幣(XMR) 。因為 MorphToken 完全不做用戶的身份驗證,成了非常方便的洗錢工具。從 ARMADA 的系統中,可以看出:
一、 KYC 評等是紅燈。
二、 入金來源第一名 HydraMarket 是黑市,第二名 Rahakott 是高風險交易所。
三、 來自黑市的非法金流就佔了 23.6%,,來自「高風險交易所」佔了 9.52%。
四、 接受隱私幣(匿名幣)。
五、 被 CipherTrace 標示為高風險交易所。
從 CipherTrace 的分析調查可以得知,無論是 LocalBitcoins 還是 MorphToken,其金流的進出控管非常鬆散的,自然容易被用來從事不法活動,這類型交易所因此成為犯罪者及高危險族群(註1)的最佳洗錢工具。反之,一般使用者與正規交易所,應該極力避免與此類高風險交易所往來。
【註1】:高危險族群包括但不限於以下因素:它們是已知的不良行為者、有意試圖規避AML和KYC措施
[實例四:XREX]
以 CipherTrace 來檢驗 XREX,從上方平台截圖可以看出:
一、 KYC 評等和 Coinbase 一樣是綠燈。
二、金流的進出幾乎 100% 都是來自一般交易所與錢包,用戶使用 XREX 作為交易平台的風險極低。
XREX 錢包地址風險層級偵測 Risk Level Detector
除了使用國際著名的區塊鏈反洗錢工具外,我們也自行開發各種洗錢防制技術。
最新推出的功能是 Risk Level Detector,XREX 的用戶可以直接查看存幣與提幣錢包地址的風險層級,防止用戶在不知道風險的情況之下,掉入惡意陷阱或不小心涉入不法活動。
XREX Risk Level Detector 是一個獨特的風險偵測與管控工具,透過檢查錢包地址保護我們的用戶免於涉入黑市與惡意活動,無論是交易所、OTC 場外交易平台,幣幣交易系統或 Defi,我們都能為用戶偵到到可疑的不良行為,大幅降低交易風險。
在 XREX 的 app 上,用戶的存幣與提幣錢包地址會被標上紅色、橘色與綠色三個風險層級,不只是用戶可以依此判斷交易的風險,XREX 威脅分析團隊也會進一步採取必要行動,積極建立嚴格的風控與反洗錢機制。
虛擬通貨洗錢防制,台灣為什麼必須做?
虛擬資產(virtual assets)一詞,自 2018 年以來被全球最重要的打擊洗錢國際組織防制洗錢金融行動工作組織(The Financial Action Task Force,簡稱FATF)頻繁地提及。
依照 FATF 的描述,虛擬資產是一個革命性變革的科技產業,因該產業具有全世界快速移轉資產價值的特質,使得有些人士透過匿名的方式,規避應適用之規範。
許多國家已致力於避免數位貨幣產業遭到誤用,雖然許多傳統銀行與金融業者,還在猶豫是否要採用數位貨幣,暫時也不願意建立相關業務關係;但透過 G20 成員國的支持,FATF 已針數位貨幣公布建議及標準,使數位貨幣產業成為和金融業者一樣,具有打擊犯罪及資訊安全防護的角色,適用的範圍不僅限於涉及法定貨幣(Fiat Money)的業務或活動,也包含了數位資產的轉讓。
在公布虛擬資產的建議及標準後,FATF 也更新對國家評鑑的方法標準,並將虛擬資產產業納入國家評鑑的範圍。這也是為什麼,我們樂見台灣行政院採取動作祭出行政命令,這不只有利於台灣與國際接軌,也展現台灣對區塊鏈產業發展的重視與關注。
行政院洗錢防制法第五條,台灣數位貨幣業者應如何應對?
從行政院洗錢防制法第五條,台灣業者必須了解:
一、 金融犯罪防治是國際性準則,台灣行政院一定也得要遵循。
二、 即使行政院尚未規範,相關業者若不做好 KYC與反洗錢機制,很容易被像 CipherTrace 這樣的反洗錢資料庫及各大交易所,標示為高風險平台,往後將成為主流合規平台的拒絕往來戶,使用者從平台出金(提出)的數位資產,將被認定為高風險資產而遭拒收,甚至收後凍結。
三、 實名制、KYC、反洗錢的重點在於:恐怖組織、國際制裁、政治人物、犯罪、詐騙、槍枝毒品、人口販賣等,一但讓不法數位貨幣進入平台,則必定將花許多時間與各國檢調單位配合,除了龐大的時間成本,甚至有平台被查封的風險。
那麼作為數位貨幣平台的業者,該如何應對呢?以 XREX 自身的經驗為例:
一、 XREX 有一位專業的反洗錢分析師,擁有國際公認反洗錢師的資格認證(Certified Anti-Money Laundering Specialist,簡稱 CAMS),並有三位反洗錢分析師擁有 CipherTrace 的防洗錢調查員證照 CipherTrace Certified Examiner。
二、 在實名認證與 KYC 方面,導入國際知名廠商 Sum & Substance 技術。
三、 反洗錢方面,導入 CipherTrace 與 Cybavo 不法錢包黑名單技術。
四、 加入國際知名「加密捍衛者聯盟(Crypto Defenders Alliance)」,積極參與反洗錢回報、追蹤、與研究,經常分享不法錢包住址。
五、 為了遵循 FATF 的國際轉帳規則 (travel rule),加入 TRISA.io。
六、 積極調查 XREX 平台上發生的不法金流事件,並公布英文與中文調查報告(事件一、事件二)。
七、 聘請四大會計師,除每年財報與內稽內控稽核外,也額外稽核我們在實名制、KYC、反洗錢的執行,並在稽核通過後出具獨立報告。
八、 直接於網路上公佈 XREX 的金融犯罪防治施行原則。
九、 將反洗錢功能,直接規劃於產品面,如上述之 XREX Risk Level Detector,讓用戶了解自己每一筆出入金的「乾淨度」,進而增加風險意識。
從上述措施可以看出,在台灣行政院正式劃定洗錢防制法第五條之範圍,要求虛擬通貨平台及交易業務事業的相關業者必須執行 KYC 之前,XREX 在 KYC、風控與安全層級上,就已做到了國際級標準。
總結
區塊鏈與數位貨幣的發展,已是這個世界無法抵擋的新科技,更是奠定下一個世代金融體系的重要工具,台灣產官學界應該把握這個繼網路之後,影響人類社會發展最重要的科技,制定清楚的規範、創造穩定的環境、在管控風險的同時拉大新創產業的發展空間,才能在這波數位貨幣與區塊鏈的科技浪潮中掌握關鍵機遇。
特別感謝:XREX 團隊成員 Wayne 黃耀文、尤芷薇(印度尤)、Sun Huang 共同撰寫。
📍相關報導📍
反洗錢|支付服務法修正案通過,只要與「新加坡」有資金往來,都被納入監管
全球正擴大「反洗錢監管」力度,10月資安案件:中國CBDC詐騙、USDT博弈洗錢…
深度專欄|中國公安部研究員 : 基於區塊鏈的「數位貨幣犯罪資產」追蹤及取證
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務