2023年4 月6 日,美國財政部發布了2023 DeFi 非法金融活動評估報告,這是世界上首份基於DeFi 的非法金融活動評估報告,亦是對2022 年3 月白宮發布的虛擬資產監管框架的回應。無論是美國財政部下屬的美國金融犯罪執法局(FinCEN),還是美國海外資產控制辦公室(OFAC),都是美國虛擬資產行業的重要監管部門,都具有域外的執法權限。 FinCEN 負責防範和懲罰國內外洗錢活動、打擊恐怖主義融資和其他金融犯罪,以及負責收集和分析金融交易信息,通過研究金融機構的強制性披露信息,追踪可疑人員和活動,OFAC 則負責管理和執行所有基於美國國家安全和對外政策的經濟和貿易制裁。

美國、香港:DeFi 即將面臨監管?看美國財政部 2023 DeFi 非法金融活動評估報告

近日,香港證監會(SFC)官員在2023 香港Web3 嘉年華的演講中發聲,表示需要加強對DeFi 的監管。 DeFi 的金融穩定性(DeFi 與虛擬資產生態,DeFi 與傳統金融)、DeFi 數據的匿名而導致的不透明、DeFi 與虛擬資產行業的市場缺乏誠信、DeFi 網絡黑客網絡安全等這些問題都對現行監管框架提出了挑戰。如何確定DeFi 項目的責任主體、如何解決DeFi 項目的中心化、如何解決DeFi 項目的監管套利等這些問題都是監管迫切需要回應的。香港官員的發言,也在一定程度體現了美國財政部2023 DeFi 非法金融活動評估報告中的內容。

SFC 的監管目的是出於其對於證券代幣規管的邏輯,在此基礎上,不僅要從反洗錢的角度,還要從投資者保護的角度來對虛擬資產服務提供商進行監管(Celsius、 FTX 的崩盤對中小投資者造成巨大的影響)。

SFC 官員表示:“在遵循SFC “相同風險,相同方法”的原則下,DeFi 將受到與傳統金融機構相同的監管要求約束。從事或執行此類活動的人員應遵守許可要求並受SFC 監管。如果去中心化平台允許的交易構成SFO 規定的證券或期貨,那麼該平台及其服務提供商將需要獲得第7類受監管活動的許可證……繼立法會通過《2022 年反洗錢和反恐融資修正案》後,SFC 正在尋求實施涵蓋中心化虛擬資產服務提供商的新發牌制度。當該制度於今年6 月1 日生效時,無論虛擬資產服務提供商是否提供證券代幣或非證券代幣交易,都必須獲得SFC 的許可。”

吳說報導:

https://mp.weixin.qq.com/s/u_7uqkEqNhNEN1h13JNmNA

無論如何,如何監管DeFi 一直是全球各個司法轄區正在積極探索的問題。美國財政部從它的角度率先給出的這份42 頁的報告就十分值得學習、借鑒了。

報告首先概述了DeFi 生態系統的市場結構,然後演示了非法行為者如何濫用DeFi 服務從事非法活動並從中獲利,特別是勒索軟件攻擊、盜竊、詐騙、毒品販運和擴散融資。然後,報告識別出犯罪分子利用DeFi 服務進行非法金融行為的漏洞,包括不履行反洗錢/反恐怖主義融資(AML/CFT)和製裁的義務,去中介化的風險,以及在海外司法轄區缺乏履行國際AML/CFT 的標準的監管真空。最後,報告提出解決其中一些漏洞的緩解措施,以及對美國政府的幾項建議,為針對DeFi 的監管和執法活動提供參考。

2023 DeFi Illicit Finance Risk Assessment 鏈接如下:

https://home.treasury.gov/news/press-releases/jy1391

美國、香港:DeFi 即將面臨監管?看美國財政部 2023 DeFi 非法金融活動評估報告

一、DeFi 的定義

目前,即使在業內也沒有對DeFi 有明確定義,也沒有明確到底需要包含哪些特徵才會使DeFi 產品、服務、協議或活動變得“去中心化”。 DeFi 泛指虛擬資產的協議和服務,即允許某種形式的自動點對點(P2P)交易,通常基於區塊鏈代碼自我執行(智能合約)。

報告中的DeFi 服務泛指包括去中心化交易所(DEX)、去中心化借貸平台、質押池(Yield Protocols)、跨鏈橋、流動性質押、去中心化算法穩定幣等的DeFi 平台、交易所、應用、組織以及其他形態,但是不包括通過自託管錢包之間進行的交易的DeFi 服務。

美國、香港:DeFi 即將面臨監管?看美國財政部 2023 DeFi 非法金融活動評估報告

報告將DeFi 分為4 個層級:

結算層——區塊鏈共識層,包括Layer 1 和Layer 2 的解決方案,在這個層面交易被記錄,參與者可以持有虛擬資產的地址並通過智能合約與其他參與者交互。

資產層——DeFi 服務中使用的虛擬資產(Coins and Tokens)。

協議層——部署到區塊鏈,並在其上執行的代碼,包括智能合約,還可能包括輔助軟件。

應用層——前端用戶界面、應用程序編程接口(API)和其他允許參與者與智能合約交互的代碼。

在DeFi 服務中,用戶通常將其虛擬資產集中並鎖定在DeFi 服務智能合約的流動性池(Liquidity Pools)中,DeFi 服務則可以從智能合約的流動性池中獲取虛擬資產,用於交易、借貸和其他金融服務。由於DeFi 服務特性,用戶可以不提供任何個人信息而使用服務,這區別於中心化交易所要求的KYC/AML/CFT 以及經貿制裁等相關合規義務。

二、DeFi 服務的中心化

報告發現,DeFi 這個詞在虛擬資產行業被廣泛地應用,但是實際上大部分所謂的DeFi 還是中心化的(或者正在去中心化的過程中),通常由一個組織控制,並提供一定程度的中心化管理和治理。而且,使用不透明組織架構開發的DeFi 服務,對於識別哪些自然人或法人應該對DeFi 服務負責的難度較大。

2.1 治理層面的中心化

許多DeFi 服務聲稱不依賴於中心化的治理結構,聲稱其服務是基於代碼自主運行的。然而,在實踐中,許多DeFi 服務依舊依賴中心化治理結構(如,實現管理功能,修復代碼問題,或在某種程度上調整智能合約的功能)。

一些DeFi 服務通過去中心化自治組織(DAO)來進行治理,而在DAO 內,相關人士通過DAO 的治理代幣持有、提案、投票、表決、通過議案、執行這一系列程序對DAO 進行治理。這些具體程序每個DAO 都不同,如對於持有多少代幣能夠提出議案、投票表決的程序以及通過率等。在一些情況下,DeFi 服務的早期投資者、發起人及核心團隊通常持有大部分比例的治理代幣,並且行使代理投票權的情況下,左右DAO 的治理,或者說是對於DeFi 的治理,這種情況下的治理依舊是中心化的。如2022 年9 月,CFTC 針對Ooki DAO 違反美國商品法(CEA)及CFTC 法律法規的執法行動中,就認為Ooki DAO 的發起人及主要負責人對DAO 的治理有較大責任,並進行了處罰。

2.2 應用層面的中心化

對於應用層面的開發者,他們可能對用戶有效使用DeFi 服務產生重要的影響,即使他們聲稱不“控制”DeFi 服務的智能合約,或者不在DeFi 服務的治理層面發揮作用。

2.3 結算層面的中心化

不同的區塊鏈亦具有不同程度的去中心化,雖然擁有少量驗證者的區塊鏈可以加快區塊鏈的結算時間,並可能降低費用,但它也可能集中決策批准交易。這可能使一小群人能夠決定區塊鏈支持的交易類型,包括批准某些交易的能力,或交易結算的順序。

2.4 託管層面的中心化

雖然一些DeFi 服務是由用戶通過錢包對其虛擬資產自行託管的,但是大部分的DeFi 服務都要求用戶將其虛擬資產存入、鎖定進其智能合約。同時,DeFi 服務的小部分人士控制著智能合約的Key。

三、非法金融活動

報告發現,非法行為人,包括網絡犯罪分子、詐騙者和朝鮮民主主義人民共和國(DPRK)的黑客,都在使用DeFi 服務對其非法所得進行轉移和洗錢。非法行為人利用美國和外國有關AML/CFT 的監管和執法漏洞,以及DeFi 服務中的技術漏洞,以實現其目的,如犯罪分子通過DEXs、混幣器、跨鏈橋、流動性資產池等的這類DeFi 服務對非法虛擬資產進行洗錢,然後通過缺乏AML/CFT 要求的虛擬資產服務提供商(VASPs)進行虛擬資產與法幣的兌換。

美國、香港:DeFi 即將面臨監管?看美國財政部 2023 DeFi 非法金融活動評估報告

四、DeFi 服務的漏洞

在美國,根據《銀行保密法》(BSA)和相關法規規定,金融機構有義務協助美國政府機構偵察和防範洗錢。 BSA 能對大部分金融機構施加這種義務,其能夠根據一個實體(包括DeFi 服務)的具體金融活動和事實,來確定其是否屬於金融機構。如果DeFi 服務被定義為BSA 項下的金融機構,那麼無論該服務是中心化的還是去中心化的,都必須履行BSA 項下的義務,包括AML/CFT,即使DeFi 服務聲稱是,或將來是"完全去中心化的",這並不影響其在BSA 下作為金融機構的定義。如根據FinCEN 於2019 年的一項指導意見,一個DeFi 服務如涉及虛擬資產的接受/傳輸,那麼就與法定貨幣的接受/傳輸沒有區別,屬於Money Transmitter,應履行AML/CFT 義務。

4.1 不履行AML/CFT 義務的DeFi 服務

儘管如此,BSA 項下許多DeFi 服務未能履行AML/CFT 義務,這是非法行為者得以利用的一個漏洞。此外,市場參與者對於AML/CFT 義務如何適用於DeFi 服務也缺乏共識,這同樣加劇了這種風險。在一些情況下,市場參與者可能會故意將其虛擬資產服務去中心化,以避免觸發AML/CFT 義務,但他們沒有認識到只要他們繼續提供服務,依然屬於BSA 的監管範疇。同時,一些以不透明的組織形式開發的DeFi 服務可能會給監督帶來嚴重的挑戰,如果DeFi 服務不履行其AML/CFT 義務,那麼可能影響適用的法律和監管的執行。

依然是上述提到的CFTC 針對Ooki DAO 的執法案例。 Ooki DAO 的主要負責人聲稱通過Ooki DAO 的運作將能夠使其規避CEA 以及CFTC 的監管,即規避AML/CFT 等義務的履行。這樣的後果使潛在犯罪分子能夠利用這一漏洞進行非法金融活動。報告特別發現,目前最嚴重的非法金融風險來自不履行目前現有AML/CFT 義務的DeFi 服務。

4.2 去中介化的風險

報告還發現,如果DeFi 服務不屬於BSA 項下金融機構的定義,即本報告中所稱的“去中介”(disintermediation),那麼這類DeFi 服務選擇履行AML/CFT 義務的可能性會降低,可能導致DeFi 服務在識別和阻止非法活動,以及在識別和向相關執法部門報告可疑活動等方面出現漏洞。

4.3 其他國家並未執行國際AML/CFT 的標準

其他已查明的漏洞還包括很多國家沒有執行國際AML/CFT 的標準,這使得非法行為人能夠在缺乏AML/CFT 要求的司法轄區內使用DeFi 服務而不受懲罰。這種跨境的監管套利行為將使DeFi 規避了AML/CFT 的要求。

4.4 網絡基礎設施的漏洞

此外,DeFi 服務不完善的網絡安全設施,可能使用戶受到欺詐並使其資產被盜,這也給國家安全、消費者和虛擬資產行業帶來風險。

五、監管建議

報告建議加強美國AML/CFT 的監管,並在可能的情況下加強對虛擬資產活動(包括DeFi 服務)的執法,以提高虛擬資產服務提供商對BSA 義務的合規性。同時,監管機構應根據以往的指導意見、公開聲明和執法行動,與行業進一步接觸,來解釋現行的相關法律法規(包括證券、商品和貨幣傳輸法規)該如何適用於DeFi 服務,並在必要時採取額外的監管行動或發布進一步的指導意見。

財政部將繼續更新美國的AML/CFT 要求,以確保監管框架有效地保護美國金融系統免受各種威脅和非法金融活動的影響,無論是由法定貨幣還是虛擬資產促成的。報告建議加強適用於DeFi 服務的美國AML/CFT 制度,消除BSA 中任何已識別的漏洞,使DeFi 服務納入BSA 對金融機構的定義範圍。

在全球範圍內,根據金融行動特別工作組(FATF)制定的AML/CFT 全球標準,像DeFi 服務這類缺乏一個實體對服務進行有效控製或影響的,可能不受AML/CFT 義務的明確約束,這可能導致DeFi 服務在其他司法管轄區出現監管分歧。報告建議加強與外國監管機構等的合作,以推動實施國際AML/CFT 標準,並倡導虛擬資產公司完善網絡安全設施,以減少這些漏洞的出現。

報告強調,隨著美國現有的AML/CFT 監管框架,以及適用於虛擬資產的全球AML/CFT 標準的逐步實施,能夠在有限程度上緩解已識別漏洞產生的風險,就比如對虛擬資產服務提供商(VASP)出入金業務的監管。這是由於DeFi 服務目前依賴中心化的虛擬資產服務提供商(VASP)來兌換法幣,中心化的VASP 往往比DeFi 服務有更簡單的內部結構,總是被覆蓋在FATF 標準的監管範圍內,並且比DeFi 服務更有可能實施AML/CFT 措施。

此外,在為DeFi 服務制定行業合規解決方案外,對區塊鏈公開數據進行分析也可以幫助防範一些非法金融風險。然而,這些合規方案和基於透明公鏈的數據分析並不能完全解決DeFi 服務已識別的漏洞,這些措施並不能取代受監管金融中介機構應用AML/CFT 措施的重要性。儘管如此,美國政府也應通過負責任的創新形式,尋求促進該行業合規措施,私營部門的參與者已經在尋求這一途徑。

該報告認識到,包括DeFi 服務在內的虛擬資產生態系統正在迅速變化。美國政府將繼續進行研究,並與私營部門合作以了解並支持DeFi 生態系統的發展,並且評估這些發展將如何影響應對非法金融風險的威脅、漏洞和緩解措施。最後,報告提出了幾個問題,這些問題將被視為報告建議行動的一部分,以解決非法金融風險,包括與處理不屬於BSA 金融機構定義的DeFi 服務有關的問題,以及需要進一步明確的監管領域的問題。

——END——

本文僅供學習、參考,希望對您有所幫助,不構成任何法律、投資意見,not your lawyer,DYOR。