金色观察 | 详解美国财政部的DeFi风险评估报告

文/TRM Insights，金融xiaozou

最近，美国财政部发布了去中心化金融非法金融风险评估（Illicit Finance Risk Assessment of Decentralized Finance）(以下简称“评估”)。

该评估是对2022年9月白宫数字资产框架的回应，特别要求财政部为分散金融（DeFi）进行风险评估。该评估致力于明确DeFi的定义——根据美国财政部的说法，DeFi一词“经常被滥用在虚拟资产行业”——并列出了一些非法的金融风险。

然而，最值得注意的是，财政部认为，DeFi活动应该执行《银行保密法》（BSA）反洗钱（AML）义务。这是我们第一次看到美国政府对DeFi有如此强烈和独特的态度。最后，评估寻求行业参与，了解分散领域可行的合规形式，特别是如何鼓励DeFi服务实施某种形式的“反洗钱”控制。

评估内容包括美国政府迄今为止对DeFi的最全面的讨论，并提出了一种观点，即即使是真正的（或多或少）分散服务也应该实施“反洗钱”合规操作。在某些方面，大力实施传统的“反洗钱”合规与DeFi的发展相反——DeFi依赖于非中介软件，而不是合规团队。

以下是评估的关键内容：

(1)定义很重要

在Defi领域，有很多关于定义的讨论，因为分散金融有很多形式。

金融行动特别工作组（FATF）在2021年10月发布的指导意见中，全球“反洗钱”标准制定者提出了“所有者/运营商”测试，认为“控制或有影响力的创造者、所有者和运营商”应该是具有“反洗钱”义务的虚拟资产服务提供商，即使项目看起来可能是分散的。FATF在第一次DeFi和AML讨论中指出，“控制”包括控制项目或与用户保持持续关系。

财政部借鉴FATF的观点，指出：“目前，即使在行业参与者中，也没有达成普遍认可的DeFi定义，或者就可以“分散”产品、服务、安排或活动的特点达成一致。财政部解释说，这个术语广泛用于指使用自动执行软件实现点对点交易的协议和服务。和FATF一样，财政部试图区分真正的分散软件和简单地声称自己是DeFi但实际上具有分散属性的实体。

虽然评估在定义上花了很多时间，但还没有得到确定的定义。无论服务是分散的，还是“名义上的Defi”，它仍然是一个案例。在确定监管义务时，这种案件审查将变得非常重要。

(2)重大新闻:一些DeFi服务可能有BSA规定的反洗钱义务

评估报告指出，美国的“反洗钱”义务是基于活动的，并声称BSA要求金融机构运营的实体“建立和实施有效的反洗钱计划”，并遵守OFAC的制裁。财政部声称，“虽然一个人的集中可能会影响他提供的服务，但从事BSA定义的金融机构活动的人将承担这些义务，无论他们是集中的还是分散的。”

上面提到的这一点非常重要，因为它可能将完全基于软件的DeFi服务与具有合规团队和其他执行“反洗钱”义务所需资源的大型金融机构划分为同一类别。

“例如，如果一个DeFi服务业务完全或大部分在美国开展，并以任何方式接受和传输虚拟资产在一个人和另一个人或地点，它很可能具有货币传输主体的资格，并承担与提供法定货币服务的货币传输主体相同的反洗钱/反恐融资义务。只要服务符合这一定义，分散化程度就与这些义务无关。”

(3)犯罪分子仍需提取资金

评估列出了DeFi生态系统中的一些非法融资风险。这些风险本质上与集中加密领域的风险相同。该报告指出了洗钱、勒索软件、盗窃（如闪电贷款和黑客攻击）、杀猪板和其他骗局。

在洗钱方面，评估讨论了跨链桥和去中心化交易所（DEX）、“DeFi服务”，如混币器和流动性池，被用来洗钱。换句话说，评估报告称，DeFi在洗钱过程中被用来分层非法资金。然而，该报告确实指出，违法者依靠集中交易所提取资金，并将其转换为更可用的法定货币，这与我们在链上看到的一致。换句话说，“条条大路通VASP(虚拟资产服务提供商)”洗钱。集中VASP必须实施“反洗钱”控制，而那些没有这样做的VASP及其国家是监管机构和国际标准制定者的目标。

DeFi在DeFi生态系统中强调的一个显著漏洞是黑客和盗窃的激增。据TRM介绍，2022年是黑客攻击创纪录的一年，约37亿美元被盗。对DeFi项目的攻击尤为常见，约80%的被盗资金(30亿美元)影响到DeFi用户。跨链桥黑客攻击规模是其他攻击的15倍。然而，我们也看到区块链情报工具和事件响应程序在跟踪DeFi生态被盗资金方面变得越来越先进。

(4)有一些方法可以降低风险

虽然评估的重点是风险，但它确实花了很多时间来研究如何降低风险，包括使用当前的“反洗钱”监管框架（如BSA）和全球FATF标准。虽然报告指出，公共区块链允许在金融犯罪调查中使用更高的透明度和区块链情报信息，但财政部表示，由于钱包和交易匿名性的限制，很难将其与现实世界中的实体联系起来。财政部认为，这是随着混合货币的应用和加密货币的匿名性而加剧的，但与此同时，TRM等区块链情报工具也随着这些新兴技术的发展而发展。

财政部指出，潜在的技术解决方案可以降低风险，如区块链情报工具、数字身份和零知识证明。“潜在的解决方案旨在支持AML/CFT义务履行的各种因素，最大限度地提高用户隐私，包括通过数字身份技术支持Defi服务的身份验证，并帮助验证用户在公共区块链上的交易历史。”

(5)财政部呼吁各方共同努力

虽然报告的大部分内容都是关于风险和漏洞的，但它呼吁美国政府在最后几页与行业合作，“进一步阐明如何应用适用法律法规”，并根据反馈进一步提供指导。财政部还呼吁继续研究不断发展的技术、私营部门的参与以及关注DeFi领域的网络弹性。此外，财政部还呼吁美国政府与开发工具的私营实体合作，努力推动创新解决方案。

报告建议总结如下：

• 加强对虚拟资产活动的反洗钱/反恐融资监管。

• 对美国反洗钱/反恐融资监管制度的优化可能性进行评估。

• 继续研究，增加私营部门的参与，以支持对DeFi生态系统发展的理解。

• 继续与外国合作伙伴合作。

• 提倡加强虚拟资产公司的网络弹性、代码测试和强大的风险信息共享。

• 推进负责任的风险降低措施创新。

结论

虽然美国财政部明确表示，风险评估没有“建立新的监管预期”，但它提供了一个详细的窗口，让我们了解美国财政部如何看待“反洗钱”义务在DeFi生态系统中的作用，并总结了更广泛的全球讨论谁监督和如何监督在一个真正分散的领域。

风险评估报告确实实现了预设目标，即风险评估。但同样重要的是要认识到Defi给金融和打击金融犯罪带来的机会。TRM的Ari 最近CFTC技术咨询委员会的Redbord（TAC）这一点在会议的开场演讲中得到了强调。简而言之，正如Ari所说，“Defi实现了一个点对点金融服务的生态系统，摆脱了困扰我们当前系统的许多问题。点对点跨境价值转移以互联网的速度进行。这就是承诺。“正如报告所认可的，区块链技术也有能力提高金融犯罪合规性的有效性，因为监管机构现在有能力在不可篡改的账簿上实时查看金融交易。