随着加密货币用户数量的不断增加以及像JP Morgan这样的金融机构对这个行业的热身,托管型加密货币业务的前景仍然乐观。但是,正如历史所证明的那样,这些业务(尤其是交易所)面临着安全性和合规性方面的重大风险。
考虑到被入侵多年来多次交流:Upbit有$ 49亿美元的cryptocurrency在去年的事件被盗,Coincheck年$ 534万在此之前,和Mt. Gox(也就是著名的门头沟事件)在2014年亏损4.73亿美元后臭名昭著地被迫关闭,该榜单还在不断增加。同时,由于消费者保护和反洗钱计划不足,近年来,美国和日本的监管机构对交易所征收巨额罚款。随着监管机构寻求进一步编纂和执行特定于加密货币的法规,这可能会变得更加频繁。
当然,避免负面影响并不是认真对待安全性和合规性的唯一原因。它们对于与潜在的新用户建立信任也至关重要,尤其是在加密货币成为主流且新手寻求最安全的服务时。因此,在此博客中,我们与Fireblocks联手为您提供全面指南,以指导您必须采取的步骤,以遵守FATF法规并保护客户的资金免受网络犯罪分子的侵害。
加密货币业务合规性:如何遵守FATF法规 作为一种加密货币业务,您运营所在的司法管辖区将确定您必须遵循的确切法规,但它们很有可能会在很大程度上模仿FATF为货币服务业务制定的法规。这些规则通常属于以下三类之一:
了解您的客户(KYC)。这些规则要求从用户那里收集识别信息,既要确认它们不受制裁,又要在将来进行可疑活动时备案。
交易监控。每个货币服务业务都必须持续监视交易,以发现可疑活动,这些活动表明洗钱,恐怖主义融资或其他形式的金融犯罪。
应对危险活动。如果您正在有效地监视交易,那么毫无疑问,您将遇到一些需要与用户直接打交道,记录保存以及向相关执法机构报告的风险行为。
下面,我们将更详细地介绍这三个合规性领域。
收集KYC信息 KYC流程是一种将其平台上的每个帐户连接到真实世界身份的加密货币业务的方式。在KYC流程中,您可能会要求用户提供以下信息:
电子邮件地址
国家签发的身份证或驾驶证
出生日期
社会安全号码
电话号码
实际地址
水电费单或类似文件作为地址证明
请记住,没有规则明确规定必须收集哪些信息以及何时收集。在大多数管辖区中,加密货币业务让用户注册并开始使用电子邮件地址进行交易是完全合法的,尽管当今美国交易所的标准是在注册时要求提供身份证明。但是,只有当用户开始进行大笔交易(通常每笔交易10,000美元)时,企业在法律上才需要开始保存包含姓名和地址等信息的记录。因此,虽然一些加密货币企业选择在注册时收集所有可能的KYC信息,但其他企业则采用了一种分层系统,其中要求的KYC越多,用户想要进行交易的价值就越高。正确的方法取决于您的业务模型和客户群。
Paxful被认为是最安全的点对点加密货币交易所之一,它提供了一个基于客户的终生交易量的分层KYC策略的出色示例:
第1层:$ 0-$ 1,500。电子邮件和电话验证
第2层:$ 500-$ 10,000。带有照片证件的验证
第3层:$ 10,000-$ 50,000。物理地址验证。
第4级:> 50,000美元。加强尽职调查。
无论您是在客户生命周期中的什么时间进行收集,一旦拥有可证明用户身份的经过验证的文档,下一步便是进行制裁筛选。此处的目的是弄清楚用户是否受到制裁。多个国家的政府机构,包括美国的OFAC(迄今唯一在其制裁名单中包括任何加密货币地址)和英国的英格兰银行,都维护自己的制裁名单,因此最简单的筛选方法是使用像服务汤森路透或Refinitiv。这些服务合并了所有相关的制裁列表,因此您不必单独检查每一个制裁或定期检查现有用户自加入以来是否已受到制裁。除了制裁筛选之外,您还可以使用这些服务进行政治暴露人员(PEP)筛选,以告诉您用户是否是受贿或其他形式的金融腐败风险较高的政府官员,以及不利的媒体筛选,从各种新闻来源中寻找潜在用户可能参与犯罪活动的证据。
交易监控
作为托管式加密货币业务,您需要从用户托管在平台上的地址监视用户进行的交易,以确认他们没有从犯罪实体接收资金。与FATF保持一致的管辖区通常还具有规定,规定您保留并共享任何可疑交易,超过一定规模的所有交易以及用户可能试图隐藏此类活动的实例的记录。
让我们从监视犯罪活动开始。您需要某种方式来知道您的用户何时从与非法活动相关的加密货币地址中收发资金,例如那些属于暗网市场,受制裁的个人,骗子和其他网络犯罪分子的地址,以便您迅速采取行动(我们将介绍具体操作很快)。幸运的是,像Chainalysis这样的服务都知道您的交易(KYT)可以实时告诉您用户何时直接与有风险的地址进行交易。但是,您还需要考虑间接暴露。您的举报责任超出了从外部向您的服务汇款的第一个地址的范围,并且不良行为者设置第三个地址作为您的平台与那些犯罪地址之间的中介的工作很简单。因此,要覆盖您的所有基础,您还应该考虑使用更高级的调查工具,例如Chainalysis Reactor,该工具可以显示客户资金的间接来源和目的地,而不是与服务进行交互的第一个地址。
除了监视明确的风险活动外,您所在的辖区可能还要求您提交和报告某些类型的交易。例如,FinCEN要求加密货币业务(以及所有其他货币服务业务)提交货币交易报告(CTR),以进行任何等于或等于更高的价值到$ 10,000。大多数FATF成员国在某种形式上都具有等效的规则。FATF国家/地区的加密货币业务也必须遵守旅行规则,这要求他们在价值3,000美元以上的加密货币进行任何转移时,识别发送和接收的用户,并将该信息转移到交易另一侧的服务,前提是第二种服务也是托管的加密货币业务(已知作为虚拟资产服务提供商或FATF的VASP)。同样重要的是要牢记,辖区中的特定州或地区通常会在国家/地区级别上强加自己的规则。例如,在纽约州运营的加密货币企业必须从纽约金融服务部获得唯一的许可证,并遵循其可以促进使用的特定代币周围的唯一规则。
最后,加密货币企业必须保留有关交易的记录,有时还要提交交易报告,这些交易虽然没有明确地与非法活动相关联或违反了FATF规则,但似乎构成了隐藏此类活动的尝试或具有其他可疑性。示例包括:
付款结构。当用户执行多个交易时,其金额刚好低于根据FATF规则触发报告的金额时,就会发生结构化。例如,如果一名美国用户多次转移到另一项服务,该服务的另一项服务的价值不到3,000美元的加密货币,则需要举报该行为,因为这可能表示企图规避旅行规则。
速度增加。速度增加是指用户突然大量增加其交易活动的情况。例如,一个用户迅速从每周一次交易变为每周二十次交易的用户将在您的记录中值得注意。
共同的交易对手。您应该注意许多用户正在与之进行交易的任何未知地址,尤其是在大量交易时。例如,如果您注意到在最近一个月中有20位用户开始将资金发送到与任何已知服务都不相关的地址,则有必要记录下来,以防以后发生更多可疑活动。
活动异常。异常活动是指用户交易行为的任何突然变化,尤其是交易量的大幅增加。例如,如果您经营一家交易所,并且每周交易大约100美元价值的加密货币的用户突然在一周内进行价值10,000美元的交易,则应记录并可能将该活动记录为可疑。
诸如Chainalysis KYT之类的事务监视工具既可以实时分析事务,也可以在发生上述任何情况时提醒您,以便您可以立即采取行动。
应对可疑活动 监视交易中的可疑活动后,发现交易时该怎么办?在真正面对可疑活动之前,请确保先问这个问题。至关重要的是,为所有可能的方案制定一个计划,包括灰色区域和用于评估不可预见方案的工作流,并将其转化为针对合规团队的文档齐全的政策和程序。
我们对任何合规政策的建议?采取基于风险的方法。
没有适用于所有加密货币业务的单一全面合规政策。但是,每项政策都应从了解组织的风险承受能力开始,然后根据引入的风险程度,针对所有形式的可疑活动制定应对措施。一笔可疑或非法交易引入的风险量在很大程度上取决于交易资金的数量和风险交易对手的严重程度-向暗网市场发送价值数千美元的加密货币的用户显然应被视为比向交易者发送风险的风险高得多。几百元的赌博服务价值。当用户进行风险交易时,大多数加密货币企业会以下列方式之一做出响应,具体取决于所引入的风险等级和用户先前表现出的风险活动:
在决定是否采取行动之前,请与客户联系以获取交易说明 冻结用户资金 限制用户进行大笔交易,否则将触发下一个KYC层(如果企业确实使用了分层的KYC收集系统) 禁止用户进入平台 同样,没有任何一项政策适合每次交易,因此您需要根据相关活动的风险性预先考虑将采用哪种应对措施。
无论如何,如果用户的活动可疑到足以使您采取上述任何步骤,这还意味着您应向FinCEN或相关管辖区中的等效组织提交可疑活动报告(SAR)。在这些情况下,SAR是强制性的,必须在可疑活动发生后的30天内向相应的机构提起SAR。这意味着随着您业务的增长,您最终将需要一个自动化的交易监控系统来及时处理可疑活动并及时提交SAR报告-几乎不可能进行任何交易量大且合规性政策量大的加密货币业务。将提交大量SAR。有关如何将SAR提交为加密货币业务的完整指南,您可以在此处查看有关该主题的网络研讨会。
遵守法规并不容易。但是,如果您对团队进行投资,使用正确的工具武装自己并完成上述步骤,则您应该能够在金融监管机构中保持良好的信誉,并为用户构建安全的加密货币平台。
加密货币业务的安全性 建立安全的加密货币业务时,安全性与合规性同样重要。如果没有适当的保护,则数字资产交易可能极易受到网络攻击和其他威胁的攻击。实际上,在过去的8年中,超过150亿美元的数字资产在加密交易黑客中被盗。
但是,如果您考虑了黑客往往会破坏的主要攻击媒介,则交易过程会更加安全。这些攻击媒介包括:
私钥 存款地址 API密钥 我们将在下面更详细地探讨这三个。
私钥 黑客和其他恶意行为者(例如内部串通者)可能试图破坏受害者的私钥,以访问其钱包,该钱包控制着他们存储在区块链上的资金。这使攻击者能够将资金从受害人的钱包转移到任何地方,即转移到他们自己的钱包中。最近的一个例子是2019年1月的Cryptopia黑客攻击,其中专业黑客通过破坏Cryptopia的钱包系统窃取了1600万美元。
之前私钥已被泄露的一些方法包括:
使用窃取私钥的恶意软件感染服务器。 窃取HSM(硬件安全模块)身份验证令牌并强制HSM签署提款交易。 授权的内部员工会窃取私钥。 如今,数字资产空间中的机构正在使用MPC(多方计算)来保护私钥。MPC代表着私钥安全性迈出的强大的下一步,如果以硬件(即Intel SGX,芯片级硬件隔离区)和多个云提供商进行安全保护,则MPC会更加有效。
MPC是一种强大的钱包解决方案,因为它可以立即访问数字资产,同时保留最高级别的安全性。MPC的基本功能消除了私钥泄露的单点问题,使之成为“流动”形式,其中每个用户都有自己的私钥。同时,MPC的分布式特性使团队成员可以要求多个授权人进行交易并在不位于同一位置的情况下签署交易。
存款地址 存款地址是一个长字母数字字符串,表示钱包的公共地址。要将资金转移到交易对手,双方必须交换存款地址。黑客在此过程中的很多时候都瞄准了这个存款地址交换过程。他们通过以下方式破坏存款地址:
欺骗性的Chrome Web扩展,它们会劫持网络浏览器(浏览器中的人)。 在网络浏览器和钱包应用之间复制和粘贴时欺骗地址。 在存入地址在消息服务(例如,电报)的交易对手之间发送时,拦截和修改该存入地址。 在交易所网站上劫持代码以欺骗来源地址-例如,依赖于Web服务StatCounter的代码泄露的gate.io交易所黑客。 劫持钱包接口,驱动程序或交易对手计算机的恶意软件。 在一项著名的攻击中,黑客通过中间人攻击窃取了14万美元的BTC,该攻击将复制粘贴的存款地址变成了黑客的选择。
已经采用了许多方法来减轻存款地址受损的威胁。保护存款地址最常用的方法包括测试转账,白名单和硬件钱包。
如今,Fireblocks Asset Transfer Network之类的解决方案通过自动进行地址认证,轮换和管理,解决了存款地址问题。该网络上的机构不再需要考试转学和白名单。
API密钥 交易所和流动性提供商经常让用户利用API密钥来自动访问其平台。这些凭据容易受到传统形式的恶意软件(例如,键盘记录和网络钓鱼)的攻击。如果服务器或代码存储库遭到破坏,存储在交易软件中的API密钥也可能被盗。
Binance交换黑客(2019年5月)是基于泄露的API密钥进行攻击的最著名例子之一。黑客使用网络钓鱼和病毒来获取大量的两因素身份验证代码和API密钥。他们仅通过一项交易就获得了7,074个BTC,在攻击发生时的价值超过4000万美元。
通常,一旦黑客获得了API密钥,他们就有可能:
指示未经授权从交易所提取资金。 使用受损帐户中的预注资金来操纵市场。 如今,机构使用各种方法来保护API机密,包括芯片级硬件隔离。芯片级硬件飞地的独特安全性可确保机密性和执行完整性。这样可以防止黑客和解决方案提供商访问密钥或将存款地址的真实性欺骗到资金转移到的地方。
最好将API密钥与私钥类似,方法是将它们拆分为MPC共享,同时将其保护在硬件中。API安全性的最新发展包括HMAC-MPC算法,该算法将MPC应用于API密钥机密凭证-有效地使客户能够访问具有分布式API密钥的交换并消除单点妥协。
如果不加以检查,私钥,存款地址和API密钥可能会导致严重的安全问题,包括黑客的网络攻击甚至内部安全漏洞。但是,如果采用纵深防御方法(通过多层软件和硬件安全性减轻所有攻击媒介的侵害),则绝对有可能保护这三者。
加密货币的下一步 加密货币继续受到关注,并有望成为主流投资资产和交换媒介。但是要做到这一点,我们行业中需要确保加密货币具有与用户习惯在使用法定货币时所能获得的相当的消费者保护措施和合规性流程。通过遵循本指南中概述的步骤,加密货币企业可以为其当前用户实现必要的安全性和合规性水平,并为新的用户继续采用铺平道路。
甚至更好的是,Chainalysis和Fireblock现在可以一起工作,以通过我们的集成解决方案轻松遵循安全性和合规性最佳实践。
长文活动接受币友建议进行一定的改变,取消第三轮红包,改为精评活动,一、二轮照常发放。
每天二轮KEY红包,每轮1000KEY。 第一轮红包在文中“,”处。随文章一同发出。 第二轮红包在文中“。”处。第一轮抢完即发第二轮。
精评活动字数和转发都不进行强制要求,主要评选标准就是评论和文章内容的契合度。一共是1000KEY奖励。
—-
编译者/作者:勇哥柒
玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。
|